Question#64(ANS-C01)
ある企業は、AWS上で外部向けウェブサイトをホストする計画を立てています。ウェブサイトは、ウェブサーバー、アプリケーションロジックサービス、データベースなどの複数の層で構成されます。企業は、ネットワークセキュリティのためにAWS Network Firewall、AWS WAF、VPCセキュリティグループを使用したいと考えています。
企業は、Network Firewallファイアウォールが関連するVPCに適切にデプロイされていることを確認する必要があります。また、Network FirewallおよびAWS WAFルールにデプロイされるポリシーを一元的に管理できるようにする必要があります。さらに、アプリケーションチームが独自のセキュリティグループを管理できるようにしつつ、セキュリティグループが過度に寛容なアクセスを許可しないようにする必要があります。これらの要件を満たす、最も運用効率の高いソリューションはどれですか?
正解:D
この問題では、以下の要件を満たすソリューションを選択する必要があります:Network Firewallの適切なデプロイ:関連するVPCにNetwork Firewallファイアウォールが適切にデプロイされていること。 一元的なポリシー管理:Network FirewallとAWS WAFのポリシーを一元的に管理できること。 アプリケーションチームのセキュリティグループ管理:アプリケーションチームがセキュリティグループを管理できるが、過度に寛容なアクセスを防ぐ必要がある。 運用効率:ソリューションが運用効率を最大化すること。 選択肢4は、AWS CloudFormationを使用して初期デプロイをコード化し、AWS Firewall Managerを使用してNetwork Firewall、AWS WAFv2ウェブACL、VPCセキュリティグループを一元的に管理します。さらに、Amazon GuardDutyを使用して過度に寛容なルールを監視します。これにより、すべての要件が効率的に満たされます。特に、AWS Firewall Managerは一元的なポリシー管理に特化しており、複数のVPCやリソースにわたるセキュリティポリシーの管理を簡素化します。CloudFormationによるコードベースのデプロイは再現性と自動化を確保し、GuardDutyによる監視はセキュリティの強化に役立ちます。
コメント