type
status
date
slug
summary
tags
category
icon
password
书籍
理論
NACLとセキュリティグループの違い
特徴 | NACL(Network ACL) | セキュリティグループ |
適用範囲 | サブネット単位 | インスタンス単位(ENI単位) |
状態管理 | ステートレス(Stateless) | ステートフル(Stateful) |
ルール評価の方法 | ルール番号順(優先順位あり) | すべてのルールを評価 |
デフォルト設定 | - デフォルトNACLはすべて許可- 新規作成NACLはすべて拒否 | - インバウンドとアウトバウンドはすべて拒否 |
1. AWS PrivateLinkとVPCエンドポイント
AWS PrivateLinkは、VPC内のサービスを他のVPCやオンプレミス環境とプライベートに接続するためのサービスです。これにより、インターネットを経由せずに、セキュアにサービス間通信を行うことができます。VPCエンドポイントは、特にサービスを接続するために作成されるもので、AWSのサービス(例えば、S3やDynamoDBなど)またはカスタムサービス(この場合はログサービス)にアクセスするためのエンドポイントを提供します。
2. ネットワークアクセスコントロールリスト(NACL)
NACL(Network Access Control List)は、VPC内のサブネット間のトラフィックをフィルタリングするためのセキュリティレイヤーです。NACLは、サブネット単位で適用され、インバウンドおよびアウトバウンドのトラフィックルールを設定します。NACLは、セキュリティグループとは異なり、状態を保持しないため、無差別的に通信を許可または拒否します。NACLを適切に設定しないと、ネットワーク通信が遮断され、サービス間の接続に問題が生じることがあります。
3. セキュリティグループ
セキュリティグループは、AWSインスタンス(EC2インスタンスやNLBなど)に対する仮想ファイアウォールで、インスタンスごとにトラフィックを制御します。セキュリティグループは、インバウンドおよびアウトバウンドのルールを設定し、設定されたポートやIPアドレスからの通信を許可または拒否します。セキュリティグループは状態保持型なので、通信を許可するルールを設定すれば、その通信のレスポンスも自動的に許可されます。
4. ネットワークロードバランサー(NLB)とVPCエンドポイント
NLBは、高いスループットと低遅延を提供するためのロードバランサーです。NLBは、VPC内でのトラフィックの分散に使用され、特にTCPおよびUDPトラフィックに対応しています。**VPCエンドポイント(インターフェースエンドポイント)**は、PrivateLink経由でサービスに接続するためのエンドポイントで、NLBが設定されたサービスへのアクセスを制御します。NLBとVPCエンドポイントの間で通信が正しく行われるためには、それぞれのセキュリティグループやNACLが適切に設定されている必要があります。
実践
略
一問道場
問題 #255
トピック 1
ある会社が、数百のAWSアカウントからログを受信して分析する、Amazon EC2上で動作する集中型ログサービスを作成しています。AWS PrivateLinkを使用して、クライアントサービスとログサービス間の接続を提供しています。
各AWSアカウントのクライアントに対して、ログサービス用のインターフェースエンドポイントが作成されており、利用可能です。ログサービスは、ネットワークロードバランサー(NLB)を介して異なるサブネットに展開されたEC2インスタンス上で実行されています。クライアントはVPCエンドポイントを使用してログを送信できません。
この問題を解決するためにソリューションアーキテクトが取るべき手順の組み合わせはどれですか?(2つ選んでください)
A. ログサービスサブネットにNACL(ネットワークアクセスコントロールリスト)がアタッチされており、NLBサブネットとの通信が許可されていることを確認します。また、NLBサブネットにNACLがアタッチされており、ログサービスサブネットのEC2インスタンスとの通信が許可されていることを確認します。
B. ログサービスサブネットにNACLがアタッチされており、インターフェースエンドポイントサブネットとの通信が許可されていることを確認します。また、インターフェースエンドポイントサブネットにNACLがアタッチされており、ログサービスサブネットのEC2インスタンスとの通信が許可されていることを確認します。
C. EC2インスタンス上で実行されているログサービスのセキュリティグループを確認し、NLBサブネットからのインバウンド通信を許可するように設定されていることを確認します。
D. EC2インスタンス上で実行されているログサービスのセキュリティグループを確認し、クライアントからのインバウンド通信を許可するように設定されていることを確認します。
E. NLBのセキュリティグループを確認し、インターフェースエンドポイントサブネットからのインバウンド通信を許可するように設定されていることを確認します。
解説
AとCが正解なのですね。以下の理由を簡潔に説明します。
A. NACLの設定確認(NLBサブネットとログサービスサブネット間の通信を許可)
- NLBを通じてEC2インスタンスが動作しているログサービスに接続するためには、NACL(ネットワークアクセスコントロールリスト)で通信が許可されている必要があります。
- NACLはサブネットレベルで通信を制御するため、NLBサブネットとログサービスサブネット間の通信が可能であることを確認することが重要です。
C. セキュリティグループの設定確認(NLBサブネットからのインバウンド通信を許可)
- NLBからの通信がEC2インスタンス上のログサービスに届くよう、セキュリティグループでインバウンド通信を許可する必要があります。
- セキュリティグループはインスタンスレベルで通信を制御するため、NLBのサブネットからの通信が遮断されないように設定を確認します。
他の選択肢について
- B: インターフェースエンドポイントサブネットとログサービスサブネット間のNACL設定を確認する内容ですが、問題文では「クライアントはVPCエンドポイントを使用できない」とあるため、適用範囲外。
- D: クライアントから直接ログサービスへの通信を許可する内容ですが、PrivateLink経由での通信には該当しない。
- E: NLBのセキュリティグループ設定を確認する内容ですが、NLB自体はセキュリティグループを持たないため無効。
結論
正解は A と C です。
ネットワークの基盤(NACL)とセキュリティグループの設定を確認することが、問題の解決に繋がります。
- 作者:みなみ
- 链接:https://www.minami.ac.cn//%E8%B3%87%E6%A0%BC%E5%8B%89%E5%BC%B7/174d7ae8-88e2-80ea-9127-d446c5de9f6c
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
