type
status
date
slug
summary
tags
category
icon
password
书籍
理論
AWS WAFとALB/CloudFrontの適用ポイント
1. WAFの適用先
- CloudFrontに適用:
- グローバルスコープでトラフィックを早期ブロック。
- 不要なトラフィックをALBに到達させず、運用コストを削減。
- ALBに適用:
- アプリケーション層での詳細なトラフィック制御。
- リージョン限定の管理に有効。
2. ALBを直接公開しない方法
- CloudFront経由:
- ALBのセキュリティグループでCloudFront IPのみ許可。
- WAFはCloudFrontに適用し、攻撃トラフィックをフィルタリング。
3. 結論
CloudFrontにWAFを適用し、ALBをCloudFront経由で保護する設計が最適。これにより、セキュリティ強化と運用負荷軽減を同時に実現できます。
実践
略
一問道場
質問 #162
トピック 1
ある企業は、インターネットに接続された Application Load Balancer (ALB) の背後にあるプライベートサブネット内の Amazon EC2 インスタンス群でアプリケーションを実行しています。
ALB は Amazon CloudFront ディストリビューションのオリジンとして機能しています。
CloudFront ディストリビューションには、さまざまな AWS 管理ルールを含む AWS WAF Web ACL が関連付けられています。
企業は、インターネットトラフィックが直接 ALB にアクセスするのを防ぐソリューションを必要としています。
最小限の運用オーバーヘッドでこの要件を満たすソリューションを選択してください。
選択肢
A. 既存の Web ACL と同じルールを含む新しい Web ACL を作成し、新しい Web ACL を ALB に関連付ける。
B. 既存の Web ACL を ALB に関連付ける。
C. ALB のセキュリティグループに、CloudFront の AWS 管理プレフィックスリストからのトラフィックを許可するルールを追加する。
D. ALB のセキュリティグループに、さまざまな CloudFront IP アドレス範囲のみを許可するルールを追加する。
解説
問題の解説
この問題では、インターネットから直接ALBにアクセスされないようにする方法を問われています。
要件
- アプリケーションはALBを通じてトラフィックを処理。
- ALBの前にCloudFrontとAWS WAFが設定済み。
- ALBへの直接アクセスを防ぐ必要がある。
- 運用負荷が低いソリューションが求められる。
選択肢の評価
- A: 新しいWeb ACLを作成し、ALBに関連付ける
- 非効率的: 同じルールを複製する必要があり、運用負荷が増加。
- B: 既存のWeb ACLをALBに関連付ける
- 部分的解決: WAFで制御は可能だが、CloudFrontで既に適用しているため、冗長。
- C: ALBのセキュリティグループにCloudFrontのマネージドプレフィックスリストを許可
- 適切: AWSが管理するCloudFrontのIP範囲のみを許可。運用負荷が少なく、セキュリティ的に優れている。
- D: ALBのセキュリティグループにCloudFront IPアドレス範囲を手動で許可
- 運用負荷が高い: CloudFrontのIP範囲は定期的に更新されるため、手動管理が必要。
最適解
- C: ALBのセキュリティグループにCloudFrontのマネージドプレフィックスリストを許可 CloudFront経由のみでアクセスを許可し、ALBの直接アクセスを防ぐ運用コストが低いソリューション。
- 作者:みなみ
- 链接:https://www.minami.ac.cn//%E8%B3%87%E6%A0%BC%E5%8B%89%E5%BC%B7/170d7ae8-88e2-8092-8aeb-f7fb34c4dd15
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
