SAA-C03セキュアなアーキテクチャの設計MEDIUM単一選択

ある企業が、Amazon ECS タスクで動作するコンテナアプリケーションのネットワークセキュリティを強化したい。特定の ECS タスクが特定の外部エンドポイント(ドメイン名)のみと通信できるよう制限し、それ以外の外部通信をすべてブロックしたい。最も適切な方法はどれか。

  1. A. ECS タスクのセキュリティグループで許可する IP アドレスをインバウンドルールに追加する。
  2. B. Lambda 関数で ECS タスクのネットワークトラフィックをプロキシして、許可リストのドメインのみに転送する。
  3. C. Amazon Route 53 リゾルバーのファイアウォールルールを設定して特定のドメイン名解決を拒否する。
  4. D. AWS Network Firewall をVPC のアウトバウンドに配置し、許可するドメイン名(FQDN)のルールグループを設定して、それ以外のアウトバウンドをブロックする。
解答と解説を見る

正解: D

AWS Network Firewall は VPC のアウトバウンドトラフィックに対してドメイン名(FQDN)ベースのフィルタリングが可能なマネージドネットワークファイアウォールである。許可するドメイン名のリストを定義したステートフルルールグループを設定すると、ECS タスクからのアウトバウンドトラフィックのうち、指定したドメインへの通信のみを許可し、それ以外をブロックする。IP アドレスが動的に変わるドメインに対しても FQDN で制御できる。選択肢AのECS タスクのセキュリティグループのインバウンドルールは外部からECS タスクへの通信制限であり、ECS タスクから外部への通信制限(アウトバウンド)には対応が限定的。またドメイン名ベースの制御はセキュリティグループでできない。選択肢CのRoute 53 リゾルバーファイアウォールはDNS クエリをブロックできるが、DNS ブロックを回避した直接 IP 通信は防げない。Network Firewall の方が確実。選択肢BのLambda プロキシはカスタム実装が必要で複雑であり、高スループットや低レイテンシーが必要な場合に課題がある。

📚 関連サービスの解説: Amazon VPC
▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題