ある企業が AWS Organizations で管理するマルチアカウント環境で、ネットワークセキュリティを強化したいと考えています。すべてのアカウントのアウトバウンドインターネットトラフィックを中央の検査ポイントを経由させ、悪意のある通信を検知・ブロックしたいと考えています。また、許可された通信パターンのみを通過させる FQDN(完全修飾ドメイン名)ベースのフィルタリングが必要です。この要件を満たすために使用するべきサービスを2つ選択してください。
- A. AWS WAF を全アカウントの ALB に設定し、悪意のあるリクエストをブロックする
- B. AWS Network Firewall を集中型 Egress VPC に配置し、ステートフルルール(FQDN フィルタリング、侵入防止システム)でアウトバウンドトラフィックを検査する
- C. Transit Gateway を使って全アカウントの VPC を集中型 Egress VPC に接続し、アウトバウンドトラフィックを Network Firewall 経由にルーティングする
- D. Amazon GuardDuty でアウトバウンドトラフィックを監視し、不審な通信を検出したら SNS でアラートを送信する
- E. 各アカウントに個別にセキュリティグループを設定し、許可する送信先 IP アドレスをホワイトリスト化する
解答と解説を見る
正解: B, C
AWS Network Firewall(B)はステートフルな深いパケット検査(DPI)、侵入防止システム(IPS)、FQDN ベースのフィルタリング(ドメイン名での許可/拒否リスト)を提供します。集中型 Egress VPC に配置することで、全アカウントのアウトバウンドトラフィックを一元的に検査できます。Transit Gateway(C)は全アカウントの VPC を集中型 Egress VPC に接続するルーティングハブとして機能し、アウトバウンドトラフィックを Network Firewall 経由に強制するルートテーブル設計が実現できます。 E: セキュリティグループの IP ホワイトリストは FQDN ベースのフィルタリングに対応しておらず、ドメイン名での制御は直接できません。また各アカウントへの個別設定は管理が分散します。 D: GuardDuty は脅威検出と通知が目的であり、リアルタイムのトラフィックブロック(防止)機能はありません。 A: WAF は Web アプリケーション(HTTP/HTTPS)への受信トラフィックの制御に特化しており、アウトバウンドの FQDN フィルタリングには対応していません。
📚 関連サービスの解説: Amazon VPC ・ AWS Transit Gateway