Question#6(ANS-C01)

ある企業は、TCP インターネットトラフィックを分析したいと考えています。このトラフィックは、同社の VPC 内にある Amazon EC2 インスタンスから発生しています。 EC2 インスタンスは NAT ゲートウェイを介して接続を開始しています。企業は、次の情報を含むトラフィックデータをキャプチャしたいと考えています：・送信元および宛先の IP アドレス・ポート・TCP セグメントの先頭 8 バイト企業は、これらすべてのデータポイントを収集、保存、および分析する必要があります。要件を満たすソリューションはどれですか？

A. EC2 インスタンスを VPC トラフィックミラーのソースに設定する。トラフィックミラーのターゲットにソフトウェアをデプロイし、データを Amazon CloudWatch Logs に転送する。CloudWatch Logs Insights を使用してデータを分析する。
B. NAT ゲートウェイを VPC トラフィックミラーのソースに設定する。トラフィックミラーのターゲットにソフトウェアをデプロイし、データを Amazon S3 バケットに転送する。Amazon Athena を使用してデータを分析する。
C. EC2 インスタンスに対して VPC フローログを有効化する。デフォルト形式を指定し、Amazon CloudWatch Logs をログの保存先に設定する。CloudWatch Logs Insights を使用してフローログデータを分析する。
D. EC2 インスタンスに対して VPC フローログを有効化する。カスタム形式を指定し、Amazon S3 をログの保存先に設定する。Amazon Athena を使用してフローログデータを分析する。

正解と解説ディスカッション 0

正解：B

問題の最大のポイントは以下の部分です：・TCP セグメントの先頭 8 バイト VPC Flow Logs では、L3/L4 メタデータ（IP、ポートなど）は取得できますが、TCP セグメントの中身（ペイロード）までは取得できません。 TCP セグメントの中身（先頭 8 バイト）をキャプチャするには VPC Traffic Mirroring が必要です。 Traffic Mirroring はパケットのコピーを取り、パケットヘッダーだけでなくペイロードもキャプチャできます。さらに NAT Gateway をミラーソースにすることで、EC2 から外向きのインターネットトラフィックをまとめてキャプチャできるため、個々の EC2 をミラーするより管理負荷が低いです。データを S3 に送って Athena で分析するのは、大量データ分析に最適でコスト効率も高い。

Question#6(ANS-C01)

コメント

コメント

コメントするコメントをキャンセル

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル