type
status
date
slug
summary
tags
category
icon
password
理論
未承諾のインバウンドトラフィックは、以下の理由により通常はVPC内部のリソースに直接接続できません:
1. NATゲートウェイの動作
NATゲートウェイは以下の設計原則に基づいて動作します:
- 応答トラフィックのみを許可する:NATゲートウェイは、EC2インスタンスが能動的に送信したリクエストに対する応答トラフィックのみを通過させます。
- 未承諾のインバウンドトラフィックを拒否する:内部からのリクエストと関連付けられていないインバウンドトラフィックはすべて破棄されます。
したがって、外部IPアドレス
198.51.100.2 がNATゲートウェイに直接接続を試みた場合、内部からのリクエストが発生していなければ、そのトラフィックはEC2インスタンスに到達しません。2. セキュリティグループによる制限
たとえNATゲートウェイがトラフィックを許可したとしても(設定ミスやルールの誤りなどで)、セキュリティグループが未承諾のインバウンド接続をさらにブロックします。
- セキュリティグループはステートフル(Stateful):内部からのリクエストに対する応答トラフィックは自動的に許可されます。
- 明示的な許可が必要:外部トラフィックが未承諾の状態でEC2インスタンスに直接アクセスしようとする場合、セキュリティグループでそのトラフィックを明示的に許可するルールが必要です。そうでなければ、トラフィックは拒否されます。
これらのメカニズムにより、未承諾のインバウンドトラフィックは通常、VPC内部のリソースに到達することはできません。
実践
略
一問道場
質問
ある企業が、NATゲートウェイに対してVPCフローログを有効化しています。この企業では、パブリックIPアドレス「198.51.100.2」からプライベートなAmazon EC2インスタンス宛てに送信されるインバウンドトラフィックについて、Actionが「ACCEPT」となっていることを確認しています。
ソリューションアーキテクトは、このトラフィックがインターネットからの意図しないインバウンド接続を表しているかどうかを確認する必要があります。VPC CIDRブロックの最初の2つのオクテットは「203.0」です。
ソリューションアーキテクトは、この要件を満たすためにどの手順を取るべきですか?
選択肢
A. AWS CloudTrailコンソールを開きます。NATゲートウェイのElastic Network Interface(ENI)とプライベートインスタンスのENIを含むロググループを選択します。
クエリを実行し、宛先アドレスを「like 203.0」、送信元アドレスを「like 198.51.100.2」に設定してフィルタリングします。
送信元アドレスと宛先アドレスごとに転送されたバイト数の合計をフィルタリングするために
statsコマンドを実行します。B. Amazon CloudWatchコンソールを開きます。NATゲートウェイのENIとプライベートインスタンスのENIを含むロググループを選択します。
クエリを実行し、宛先アドレスを「like 203.0」、送信元アドレスを「like 198.51.100.2」に設定してフィルタリングします。
送信元アドレスと宛先アドレスごとに転送されたバイト数の合計をフィルタリングするために
statsコマンドを実行します。C. AWS CloudTrailコンソールを開きます。NATゲートウェイのENIとプライベートインスタンスのENIを含むロググループを選択します。
クエリを実行し、宛先アドレスを「like 198.51.100.2」、送信元アドレスを「like 203.0」に設定してフィルタリングします。
送信元アドレスと宛先アドレスごとに転送されたバイト数の合計をフィルタリングするために
statsコマンドを実行します。D. Amazon CloudWatchコンソールを開きます。NATゲートウェイのENIとプライベートインスタンスのENIを含むロググループを選択します。
クエリを実行し、宛先アドレスを「like 198.51.100.2」、送信元アドレスを「like 203.0」に設定してフィルタリングします。
送信元アドレスと宛先アドレスごとに転送されたバイト数の合計をフィルタリングするために
statsコマンドを実行します。解説
この問題では、NATゲートウェイを使用している場合に、インターネットからプライベートなEC2インスタンスへのインバウンドトラフィックが意図しない接続であるかどうかを確認する必要があります。
NATゲートウェイの基本的な動作は、内部インスタンスが外部にリクエストを送信した場合にのみ、外部からの応答トラフィックを許可するというものです。このため、NATゲートウェイが受け入れるトラフィックは通常、内部インスタンスからのリクエストに対応する応答であり、意図しないインバウンド接続であることは考えにくいです。
そのため、今回の調査目的は、このトラフィックが本当に内部からのリクエストに関連する応答であるのか、あるいは外部からの誤った接続でないかを確認することにあります。
解答に関しては、以下の理由でDが正解です:
- Dのクエリは、送信元アドレスを「203.0」(VPCのCIDRブロックに関連する範囲) とし、宛先アドレスを「198.51.100.2」としてフィルタリングすることで、外部からの誤った接続がないかを確認しています。
- Bは逆に宛先アドレスを「203.0」、送信元アドレスを「198.51.100.2」と設定していますが、この設定ではトラフィックの方向が正しくありません。具体的には、外部から内部に向かう流れ(未リクエストの接続)を正しく調べることができません。
結論として、Dは外部からの誤った接続を特定するために適切なアクションであるため、正解となります。
- 作者:みなみ
- 链接:https://tangly1024.com/資格勉強/16cd7ae8-88e2-8049-9e6e-df0529cfcf21
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
.png?table=block&id=021326af-6a29-487e-ac2f-560985ab23b3&t=021326af-6a29-487e-ac2f-560985ab23b3&width=800&cache=v2)
