AWS CLF 問題1677-1680:AWSのセキュリティ制御

AWS クラウドプラクティショナー 問題集Ⅳ|完全無料&徹底解説

AWS クラウドプラクティショナー 問題集Ⅳ:無料  「AWS認定クラウドプラクティショナー問題集Ⅳ」には、600問を収録しています。この問題集を使用することで、AWSクラウド…

AWS CLF 問題1677-1680:AWSのセキュリティ制御

問題1677:AWSのセキュリティグループに関する次の記述のうち、正しいものはどれですか?

A) セキュリティグループは通信許可と通信拒否のルールを設定できる。
B) セキュリティグループはサブネット単位で通信を制御する。
C) セキュリティグループの通信許可ルールは、送信元アドレス、プロトコル、ポート番号を指定して制御する。
D) セキュリティグループはステートレスなファイアウォールです。

解答解説を開く
【正解】
C) セキュリティグループの通信許可ルールは、送信元アドレス、プロトコル、ポート番号を指定して制御する。

【解説】
A) セキュリティグループは通信許可のルールを設定できますが、通信拒否のルールは設定できません。セキュリティグループはホワイトリスト形式のファイアウォールで、許可された通信以外は拒否されます。
B) セキュリティグループはサブネット単位ではなく、AWSリソース(例: EC2インスタンス)単位で通信を制御します。
C) 正しい選択肢です。セキュリティグループの通信許可ルールは送信元アドレス(IP範囲またはセキュリティグループ)、プロトコル(TCP、UDP、ICMPなど)、ポート番号を指定して通信制御を行います。
D) セキュリティグループはステートフルなファイアウォールです。ステートフルな制御は通信の状態を追跡し、許可した通信のレスポンスを許可します。

問題1678:ネットワークACLとセキュリティグループの主な違いは何ですか?(2つ選択)

A) ネットワークACLは通信をステートレスに制御し、セキュリティグループはステートフルに制御する。
B) ネットワークACLはサブネット単位で通信を制御し、セキュリティグループはリソース単位で通信を制御する。
C) ネットワークACLは通信許可のルールを送信元アドレス、プロトコル、ポート番号を指定して設定し、セキュリティグループは通信拒否のルールを設定する。
D) ネットワークACLはアウトバウンド通信を制御し、セキュリティグループはインバウンド通信を制御する。

解答解説を開く
【正解】
A) ネットワークACLは通信をステートレスに制御し、セキュリティグループはステートフルに制御する。
B) ネットワークACLはサブネット単位で通信を制御し、セキュリティグループはリソース単位で通信を制御する。

【解説】
A) ネットワークACLは通信をステートレスに制御します。これは通信の状態を追跡しない制御方法で、インバウンド通信とアウトバウンド通信を別々に設定する必要があります。一方、セキュリティグループはステートフルに制御します。ステートフルな制御は通信の状態を追跡し、許可された通信のレスポンスを許可します。

B) ネットワークACLはサブネット単位で通信を制御します。一つのネットワークACLルールが複数のリソースに適用されますが、それらのリソースは同じサブネット内に存在する必要があります。一方、セキュリティグループはAWSリソース(例:EC2インスタンス)単位で通信を制御します。

C) ネットワークACLは、たとえば、インバウンドドルールでは通信許可または拒否のルールを送信元アドレス、プロトコル、ポート番号を指定して設定しします。セキュリティグループは通信許可のルールを設定し、拒否を設定することはできません。

D) ネットワークACLとセキュリティグループは、どちらもインバウンド通信とアウトバウンド通信の両方を制御できます。ネットワークACLはサブネットのレベルで制御し、セキュリティグループはAWSリソースのレベルで制御します。

問題1679:AWSでセキュリティ制御を強化するための最適な方法は何ですか?

A) セキュリティグループを使用し、ネットワークACLは使用しない。
B) ネットワークACLを使用し、セキュリティグループは使用しない。
C) セキュリティグループとネットワークACLを組み合わせて使用し、通信要件に応じて適切な制御を行う。
D) セキュリティグループとネットワークACLの選択は通信量に依存せず、どちらか一方を選択すれば十分である。

解答解説を開く
【正解】
C) セキュリティグループとネットワークACLを組み合わせて使用し、通信要件に応じて適切な制御を行う。

【解説】
A) セキュリティグループを使用することはセキュリティ制御の一部ですが、通信制御を強化するためにはネットワークACLも活用することが重要です。セキュリティグループとネットワークACLは異なる特性を持ち、組み合わせて使用することでセキュリティを強化できます。

B) ネットワークACLを使用することもセキュリティ制御の一部ですが、通信制御を強化するためにはセキュリティグループも活用することが重要です。セキュリティグループとネットワークACLは異なる役割を果たし、両方を使用することでセキュリティを強化できます。

D) セキュリティグループとネットワークACLは異なる特性を持ち、通信要件やセキュリティポリシーに応じて組み合わせて使用することが一般的です。通信量に依存せず、両方を活用することでセキュリティをより確実に強化できます。

問題1680:AWSのセキュリティグループとネットワークACLの設定を管理する際に考慮すべきポイントは何ですか?

A) セキュリティグループとネットワークACLは同じルールを共有するため、設定が矛盾しないように注意する。
B) セキュリティグループとネットワークACLは独立して設定できますが、設定が競合しないように調整することが重要です。
C) セキュリティグループとネットワークACLは独立して設定でき、重複して設定しても問題ない。
D) セキュリティグループとネットワークACLの設定は自動的に競合を解決するため、設定の順序に注意する必要はない。

解答解説を開く
【正解】
B) セキュリティグループとネットワークACLは独立して設定できますが、設定が競合しないように調整することが重要です。

【解説】
A) セキュリティグループとネットワークACLは独立して設定されるため、同じルールを共有することはありません。

B) 正しい選択肢です。セキュリティグループとネットワークACLは独立して設定できますが、設定が競合する可能性があるため、設定を調整して競合を防ぐことが重要です。例えば、ネットワークACLで特定のIPアドレスからの通信を拒否し、同じ通信をセキュリティグループで許可する場合、競合が発生します。

C) セキュリティグループとネットワークACLは独立して設定できますが、設定が重複することは通常避けるべきです。重複した設定がある場合、予期しない挙動やセキュリティ上の問題が発生する可能性があります。

D) セキュリティグループとネットワークACLの設定は自動的に競合を解決することはありません。また、設定の順序にも注意する必要があります。たとえば、ネットワークACLでは、ルール番号の小さいほうから通信の内容が照合されます。