Question#58(ANS-C01)
ある企業は、従業員が使用する内部ウェブベースアプリケーションを運用しています。このアプリケーションは、企業のオンプレミスネットワーク内のVPN経由でホストされています。アプリケーションは、プライベートサブネット内のAmazon EC2インスタンスのフリート上で動作し、同じサブネット内のNetwork Load Balancer(NLB)の背後に配置されています。インスタンスはAmazon EC2 Auto Scalingグループに属しています。
最近のセキュリティインシデントで、アプリケーションにSQLインジェクションが発生しました。ネットワークエンジニアは、将来のSQLインジェクション攻撃を防止するソリューションを導入する必要があります。この要件を満たすステップの組み合わせはどれですか?(3つ選択)
(3つ選択)
正解:A, C, E
AWS WAFウェブACLを作成し、AWS管理ルールAWSManagedRulesSQLiRuleSetを追加(例:aws wafv2 create-web-acl --name my-web-acl --scope REGIONAL --default-action Allow --rules json)。SQLインジェクション(例:UNION SELECT *)を検出・ブロック。WAFはALB(E)またはCloudFront(F)に統合可能で、SQLインジェクション防止に必須(https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-baseline.html)。 正解の理由: WAFルールはSQLインジェクション防止の基盤。必須。 NLB(L4)をALB(L7)に置き換え(例:aws elbv2 create-load-balancer --type application --subnets subnet-12345678 --scheme internal)。ALBはHTTPトラフィックを処理し、WAF統合をサポート。プライベートサブネットに配置可能で、VPN経由のオンプレミスアクセスに対応。Auto ScalingグループのターゲットをALBに更新。SQLインジェクション(L7攻撃)防止に必須(https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html)。 正解の理由: ALBはWAF統合に必要。NLBでは不可。 WAFウェブACLをALBに設定(例:aws wafv2 associate-web-acl --resource-arn arn:aws:elasticloadbalancing:region:account:loadbalancer/app/my-alb/12345678)。ALBがHTTPトラフィックをWAFに送信し、SQLインジェクションをブロック。VPN経由のオンプレミスからのトラフィックも保護。ALB(C)作成後に適用(https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-associating.html)。 正解の理由: WAFをALBに統合し、SQLインジェクションを防止。
コメント