AWS CLF　問題1677-1680：AWSのセキュリティ制御

【正解】
C) セキュリティグループの通信許可ルールは、送信元アドレス、プロトコル、ポート番号を指定して制御する。

【解説】
A) セキュリティグループは通信許可のルールを設定できますが、通信拒否のルールは設定できません。セキュリティグループはホワイトリスト形式のファイアウォールで、許可された通信以外は拒否されます。
B) セキュリティグループはサブネット単位ではなく、AWSリソース（例: EC2インスタンス）単位で通信を制御します。
C) 正しい選択肢です。セキュリティグループの通信許可ルールは送信元アドレス（IP範囲またはセキュリティグループ）、プロトコル（TCP、UDP、ICMPなど）、ポート番号を指定して通信制御を行います。
D) セキュリティグループはステートフルなファイアウォールです。ステートフルな制御は通信の状態を追跡し、許可した通信のレスポンスを許可します。

【正解】
A) ネットワークACLは通信をステートレスに制御し、セキュリティグループはステートフルに制御する。
B) ネットワークACLはサブネット単位で通信を制御し、セキュリティグループはリソース単位で通信を制御する。

【解説】
A) ネットワークACLは通信をステートレスに制御します。これは通信の状態を追跡しない制御方法で、インバウンド通信とアウトバウンド通信を別々に設定する必要があります。一方、セキュリティグループはステートフルに制御します。ステートフルな制御は通信の状態を追跡し、許可された通信のレスポンスを許可します。

B) ネットワークACLはサブネット単位で通信を制御します。一つのネットワークACLルールが複数のリソースに適用されますが、それらのリソースは同じサブネット内に存在する必要があります。一方、セキュリティグループはAWSリソース（例：EC2インスタンス）単位で通信を制御します。

C) ネットワークACLは、たとえば、インバウンドドルールでは通信許可または拒否のルールを送信元アドレス、プロトコル、ポート番号を指定して設定しします。セキュリティグループは通信許可のルールを設定し、拒否を設定することはできません。

D) ネットワークACLとセキュリティグループは、どちらもインバウンド通信とアウトバウンド通信の両方を制御できます。ネットワークACLはサブネットのレベルで制御し、セキュリティグループはAWSリソースのレベルで制御します。

【正解】
C) セキュリティグループとネットワークACLを組み合わせて使用し、通信要件に応じて適切な制御を行う。

【解説】
A) セキュリティグループを使用することはセキュリティ制御の一部ですが、通信制御を強化するためにはネットワークACLも活用することが重要です。セキュリティグループとネットワークACLは異なる特性を持ち、組み合わせて使用することでセキュリティを強化できます。

B) ネットワークACLを使用することもセキュリティ制御の一部ですが、通信制御を強化するためにはセキュリティグループも活用することが重要です。セキュリティグループとネットワークACLは異なる役割を果たし、両方を使用することでセキュリティを強化できます。

D) セキュリティグループとネットワークACLは異なる特性を持ち、通信要件やセキュリティポリシーに応じて組み合わせて使用することが一般的です。通信量に依存せず、両方を活用することでセキュリティをより確実に強化できます。

【正解】
B) セキュリティグループとネットワークACLは独立して設定できますが、設定が競合しないように調整することが重要です。

【解説】
A) セキュリティグループとネットワークACLは独立して設定されるため、同じルールを共有することはありません。

B) 正しい選択肢です。セキュリティグループとネットワークACLは独立して設定できますが、設定が競合する可能性があるため、設定を調整して競合を防ぐことが重要です。例えば、ネットワークACLで特定のIPアドレスからの通信を拒否し、同じ通信をセキュリティグループで許可する場合、競合が発生します。

C) セキュリティグループとネットワークACLは独立して設定できますが、設定が重複することは通常避けるべきです。重複した設定がある場合、予期しない挙動やセキュリティ上の問題が発生する可能性があります。

D) セキュリティグループとネットワークACLの設定は自動的に競合を解決することはありません。また、設定の順序にも注意する必要があります。たとえば、ネットワークACLでは、ルール番号の小さいほうから通信の内容が照合されます。