助け合いフォーラム
AWS ソリューションアーキテクト - アソシエイト(SAA-C03)
問題ID : 30617
問題を開く
ALBの配下にEC2インスタンスで実行されているWebサーバーがある。ある日ソリューションアーキテクトは特定のIPアドレスからWebサーバーへ不審なアクセス要求があることを発見した。該当のIPアドレスをブロックするためにソリューションアーキテクトが行う設定はどれか。(2つ選択)
正解
ALBにAWS WAFを割り当てて、Web ACLで該当のIPアドレスを拒否する条件を追加する
ALBがあるサブネットのネットワークACLで、該当のIPアドレスの拒否ルールを追加する
解説
AWS WAF(Web Application Firewall)は、脆弱性を突く攻撃(クロスサイトスクリプティングやSQLインジェクションなど)から、Webアプリケーションを保護するサービスです。「Web ACL」というアクセスコントロールリストで、IPアドレス、HTTPヘッダー、HTTP本文、URI文字列などに対してフィルタリングの条件を設定できます。
AWS WAFは、Amazon CloudFront、Application Load Balancer、Amazon API Gateway、AWS AppSyncに割り当てて利用します。
ネットワークACLはVPC上でネットワークアクセスをサブネットごとに制御するファイアウォールです。IPアドレスを元に許可ルールと拒否ルールの両方を設定可能です。ルールはユーザーが付与したルール番号の順番に評価され、ルール間で矛盾がある場合は小さい数字のルールが適用されます。デフォルトの設定ではインバウンド通信(外部から内部への通信)、アウトバウンド通信(内部から外部への通信)ともにすべての通信が許可されています。
したがって正解は
・ALBにAWS WAFを割り当てて、Web ACLで該当のIPアドレスを拒否する条件を追加する
・ALBがあるサブネットのネットワークACLで、該当のIPアドレスの拒否ルールを追加する
です。
その他の選択肢については、以下のとおりです。
・ALBにAWS Shieldを割り当てて、該当のIPアドレスを拒否する条件を追加する
AWS Shieldは、DDoS攻撃からの保護に特化したサービスです。
AWS Shieldは特定のIPアドレスをブロックする設定はできないため、誤りです。
・ALBのセキュリティグループで、該当のIPアドレスの拒否ルールを追加する
セキュリティグループで設定できるのは許可ルールのみです。
特定のIPアドレスをブロックするための拒否ルールは設定できないため、誤りです。
・ALBがあるサブネットのルートテーブルで、該当のIPアドレスからの通信をドロップするルールを追加する
ルートテーブルは、データをどこに転送するかを定義する機能です。
特定のIPアドレスからの通信をドロップする機能はないので、誤りです。
AWS WAFは、Amazon CloudFront、Application Load Balancer、Amazon API Gateway、AWS AppSyncに割り当てて利用します。
ネットワークACLはVPC上でネットワークアクセスをサブネットごとに制御するファイアウォールです。IPアドレスを元に許可ルールと拒否ルールの両方を設定可能です。ルールはユーザーが付与したルール番号の順番に評価され、ルール間で矛盾がある場合は小さい数字のルールが適用されます。デフォルトの設定ではインバウンド通信(外部から内部への通信)、アウトバウンド通信(内部から外部への通信)ともにすべての通信が許可されています。
したがって正解は
・ALBにAWS WAFを割り当てて、Web ACLで該当のIPアドレスを拒否する条件を追加する
・ALBがあるサブネットのネットワークACLで、該当のIPアドレスの拒否ルールを追加する
です。
その他の選択肢については、以下のとおりです。
・ALBにAWS Shieldを割り当てて、該当のIPアドレスを拒否する条件を追加する
AWS Shieldは、DDoS攻撃からの保護に特化したサービスです。
AWS Shieldは特定のIPアドレスをブロックする設定はできないため、誤りです。
・ALBのセキュリティグループで、該当のIPアドレスの拒否ルールを追加する
セキュリティグループで設定できるのは許可ルールのみです。
特定のIPアドレスをブロックするための拒否ルールは設定できないため、誤りです。
・ALBがあるサブネットのルートテーブルで、該当のIPアドレスからの通信をドロップするルールを追加する
ルートテーブルは、データをどこに転送するかを定義する機能です。
特定のIPアドレスからの通信をドロップする機能はないので、誤りです。
参考
【AWSリソースの保護】
不特定多数のユーザーがアクセスするWebサービスには、インターネットからの攻撃に対して保護が必要です。AWSではAWSリソースを保護するためのサービスとして「AWS WAF」と「AWS Shield」が提供されています。どちらもマネージド型のサービスです。
【AWS WAF】
AWS WAF(Web Application Firewall)は、脆弱性を突いた外部からの攻撃や不正アクセスから、Webアプリケーションを保護するサービスです。具体的には、ウェブサイトに悪意のあるデータを送り込むことで情報を盗み出す「SQLインジェクション」や、ユーザーになりすまして不正な操作を行う「クロスサイトスクリプティング」などを防御します。
ユーザーは「Web ACL」と呼ばれるアクセス制御リストで、訪問者のIPアドレスや、ウェブページへのリクエスト内容(例:HTTPヘッダー、HTTP本文、ウェブページのアドレスなど)に基づいて、どのようなアクセスを許可し、どのようなアクセスを遮断するかを細かく決めることができます。例えば、特定の国からのアクセスを全て遮断したり(地理的一致ルール)、短時間に異常に多くのリクエストを送ってくるIPアドレスを自動的にブロックする(レートベースのルール)などの設定が可能です。
AWS WAFは、Amazon CloudFront、Application Load Balancer、Amazon API Gatewayなどに割り当てて利用します。
[WAFのイメージ図]
【AWS Shield】
AWS Shieldは、DDoS攻撃からの保護に特化したサービスです。DDoS攻撃とは、ウェブサイトやサーバーに大量のアクセスを送り込むことで、サービスを停止させる攻撃のことです。AWS Shieldには、すべてのAWSユーザーが無償で利用できる「AWS Shield Standard」と、有償版の「AWS Shield Advanced」があります。
○AWS Shield Standard
ネットワーク層およびトランスポート層への一般的なDDoS攻撃からAWSリソースを保護します。デフォルトで有効になっています。
○AWS Shield Advanced
EC2インスタンス、Elastic Load Balancing、Amazon CloudFrontなどを標的としたDDoS攻撃に対して、高度な保護サービスを利用できます。例えば、高度化された大規模な攻撃からの保護、DDoS攻撃発生時のモニタリングやレポート、AWSのDDoS対応チームによるサポート、攻撃によって増加したAWS利用料金の補填などがあります。
【AWS Firewall Manager】
AWS Firewall Managerは、複数のAWSアカウントやサービスを対象に、firewallのルールを一元的に設定・管理するセキュリティ管理サービスです。セキュリティルールを中央で一元的に管理することにより、セキュリティ対策の手間とコストを削減します。AWS WAF、AWS Shield Advancedなどと連携し、包括的なセキュリティガバナンスを実現します。
[Firewall Managerのイメージ図]
不特定多数のユーザーがアクセスするWebサービスには、インターネットからの攻撃に対して保護が必要です。AWSではAWSリソースを保護するためのサービスとして「AWS WAF」と「AWS Shield」が提供されています。どちらもマネージド型のサービスです。
【AWS WAF】
AWS WAF(Web Application Firewall)は、脆弱性を突いた外部からの攻撃や不正アクセスから、Webアプリケーションを保護するサービスです。具体的には、ウェブサイトに悪意のあるデータを送り込むことで情報を盗み出す「SQLインジェクション」や、ユーザーになりすまして不正な操作を行う「クロスサイトスクリプティング」などを防御します。
ユーザーは「Web ACL」と呼ばれるアクセス制御リストで、訪問者のIPアドレスや、ウェブページへのリクエスト内容(例:HTTPヘッダー、HTTP本文、ウェブページのアドレスなど)に基づいて、どのようなアクセスを許可し、どのようなアクセスを遮断するかを細かく決めることができます。例えば、特定の国からのアクセスを全て遮断したり(地理的一致ルール)、短時間に異常に多くのリクエストを送ってくるIPアドレスを自動的にブロックする(レートベースのルール)などの設定が可能です。
AWS WAFは、Amazon CloudFront、Application Load Balancer、Amazon API Gatewayなどに割り当てて利用します。
[WAFのイメージ図]
【AWS Shield】
AWS Shieldは、DDoS攻撃からの保護に特化したサービスです。DDoS攻撃とは、ウェブサイトやサーバーに大量のアクセスを送り込むことで、サービスを停止させる攻撃のことです。AWS Shieldには、すべてのAWSユーザーが無償で利用できる「AWS Shield Standard」と、有償版の「AWS Shield Advanced」があります。
○AWS Shield Standard
ネットワーク層およびトランスポート層への一般的なDDoS攻撃からAWSリソースを保護します。デフォルトで有効になっています。
○AWS Shield Advanced
EC2インスタンス、Elastic Load Balancing、Amazon CloudFrontなどを標的としたDDoS攻撃に対して、高度な保護サービスを利用できます。例えば、高度化された大規模な攻撃からの保護、DDoS攻撃発生時のモニタリングやレポート、AWSのDDoS対応チームによるサポート、攻撃によって増加したAWS利用料金の補填などがあります。
【AWS Firewall Manager】
AWS Firewall Managerは、複数のAWSアカウントやサービスを対象に、firewallのルールを一元的に設定・管理するセキュリティ管理サービスです。セキュリティルールを中央で一元的に管理することにより、セキュリティ対策の手間とコストを削減します。AWS WAF、AWS Shield Advancedなどと連携し、包括的なセキュリティガバナンスを実現します。
[Firewall Managerのイメージ図]
ネットワークACLで指定するIPアドレスについて
投稿日 2025/02/21
今回の構成は以下のような流れでリクエストが送られてくると思います。
-リクエストの流れ:クライアント→ALB→サブネット内のEC2インスタンス
この時、サブネットのネットワークACLから見た時、通信元のIPアドレスはALBになるため、フィルタリングに指定すべきIPアドレスは”当該のIPアドレス”ではなく、ALBのIPアドレスになるのではないでしょうか。
※”当該のIPアドレス”とはクライアントのIPアドレスのことと認識しました
正解選択肢:「EC2インスタンスがあるサブネットのネットワークACLで、該当のIPアドレスの拒否ルールを追加する」
どなたかコメントいただけると助かります。
スタッフからの返信
この投稿に対して返信しませんか?
s staff_satomi
2025/02/21 17:05
kiritomo2様 ご指摘の点を修正いたしました。 ご報告いただきまして、誠にありがとうございます。