CLF-C02セキュリティとコンプライアンスMEDIUM単一選択

ある企業が、VPC内のEC2インスタンスへのインバウンドトラフィックを制御したいと考えています。セキュリティグループとネットワークACL(NACL)の違いとして最も正確な説明はどれですか?

  1. A. どちらも同じ機能を持ち、どちらか一方だけ設定すればよい
  2. B. セキュリティグループはサブネットレベルで動作し、NACLはインスタンスレベルで動作する
  3. C. セキュリティグループはインスタンスレベルで動作しステートフル、NACLはサブネットレベルでステートレス
  4. D. NACLはデフォルトですべてのトラフィックを拒否し、セキュリティグループはすべて許可する
解答と解説を見る

正解: C

セキュリティグループはEC2インスタンスに紐づく仮想ファイアウォールでステートフル(戻りトラフィックは自動許可)、NACLはサブネットレベルで動作しステートレス(インバウンド・アウトバウンドを個別に設定が必要)です。②逆の説明になっています。①両者は異なる粒度で動作し、多層防御の観点から併用が推奨されます。④デフォルトでNACLはすべて許可、セキュリティグループはすべて拒否(インバウンド)です。

▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題