Question#31(ANS-C01)
ある企業は、複数のAmazon EC2インスタンスでセキュアなウェブアプリケーションをホストする計画です。このアプリケーションは、Amazon Route 53ホストゾーンに関連付けられたDNSドメインを持ちます。
企業は、DNSポイズニング攻撃からドメインを保護したいと考えています。また、ウェブブラウザが信頼できるサードパーティを使用してアプリケーションに認証できるようにする必要があります。
この要件を満たすアクションの組み合わせはどれですか?
正解:C
解説: DNSSECは、DNSレコードにデジタル署名を追加し、ポイズニング攻撃を防ぎます。公開CA署名のX.509証明書は、ウェブブラウザが信頼できるサードパーティ(CA)を通じてアプリケーションを認証できるようにします。DNSSECはRoute 53で設定可能で、公開CA証明書はACMまたは外部CAから取得可能(例:Let’s Encrypt)。この組み合わせは、両方の要件(DNS保護、ブラウザ認証)を効率的に満たし、AWSのセキュリティベストプラクティスに準拠します(https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-configuring-dnssec.html、https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)。 正解の理由: DNSSECでDNSポイズニングを防止し、公開CA証明書でブラウザ認証を実現。シンプルかつ標準的。
コメント