ある企業が、AWS Network Firewall を使って VPC のインターネット向けトラフィックを保護している。内部から外部への不審なドメイン名(マルウェアの C&C サーバー等)への通信を自動的にブロックしたい。セキュリティチームが管理する既知の悪意あるドメインリストを使用し、新しいドメインが追加された際に自動的に反映されるようにしたい。最も適切な方法はどれか。
- A. VPC セキュリティグループで既知の悪意あるドメインの IP アドレスをアウトバウンドルールでブロックする。
- B. AWS Network Firewall のドメインリストルールグループを使用し、ブロックするドメインのリストを設定する。AWS Managed Threat Intelligence フィード(Amazon Guard Duty の脅威インテリジェンスと統合可能)を参照するか、カスタムのドメインリストを管理する。ルールグループの更新は自動的にファイアウォールに反映される。
- C. Amazon Route 53 リゾルバーのファイアウォールルールグループでブロックドメインリストを設定する。
- D. Security Group のアウトバウンドルールで FQDN ベースの制御を設定する。
解答と解説を見る
正解: B
AWS Network Firewall のドメインリストルールグループは、FQDN(完全修飾ドメイン名)ベースでアウトバウンドトラフィックを制御できる。DNS クエリと TLS SNI の両方を検査して悪意あるドメインへの通信をブロックする。ルールグループの更新は即座にファイアウォールに反映されるため、新しいドメインの追加も自動適用される。選択肢AのVPC セキュリティグループは IP アドレスベースの制御のみで、FQDN ベースのドメインブロックはできない。ドメインの IP が頻繁に変わる C&C サーバーには特に効果が低い。選択肢CのRoute 53 リゾルバーファイアウォールは DNS クエリレベルでのブロックに有効だが、DNS を経由しない直接 IP アクセスには対応できない。Network Firewall と組み合わせると多層防御になる。選択肢DのVPC セキュリティグループは FQDN ベースのルールをサポートしていない(IP アドレスまたはセキュリティグループ参照のみ)。