216-AWS SAP AWS 「理論・実践・一問道場」AWS Network Firewall

 

理論

大量AWSアウトバウンドトラフィック管理

1. 大量アウトバウンドトラフィックの基本構成

AWSでは、インターネットへのアウトバウンドトラフィックを管理するには以下が必要です:
  • インターネットゲートウェイ(IGW): VPC内から直接インターネットへ接続。
  • NATゲートウェイ: プライベートサブネットのリソースがインターネットにアクセスする際に使用。

2. 中央集約型管理の利点

  • 一元管理: AWS OrganizationsやTransit Gatewayを使用すると、複数のアカウントを一箇所で管理可能。
  • セキュリティ強化: 全トラフィックを特定のポイントで制御できるため、統一したポリシーを適用可能。

3. AWS Network Firewallの特徴

  • ルールベースのフィルタリング: トラフィックに対してIP、ポート、プロトコルを基にフィルタリング。
  • スケーラビリティ: 高いスループットに対応(25Gbps以上可能)。
  • 統合: Transit GatewayやVPCに簡単に統合できる。

4. 適切な構成の選択基準

  • 規模: アカウントやリージョンの数。中央集約型が適するケースが多い。
  • パフォーマンス: スループット要件(本問では25Gbps/AZ)。
  • 運用効率: 管理が複雑にならない構成が理想。

5. 推奨アプローチ

AWS Network Firewallを使用し、Transit Gatewayでルーティングを管理する構成が以下の点で最適:
  • スケーラビリティ: 大規模組織にも対応可能。
  • 運用負荷の低減: ルール管理を一箇所で実施できる。
  • セキュリティ統制: 全アカウントに統一ポリシーを適用可能。

実践

一問道場

質問 #216

トピック 1

大企業のソリューションアーキテクトは、AWS Organizations内のすべてのAWSアカウントからインターネットへのアウトバウンドトラフィックのネットワークセキュリティを設定する必要があります。
  • 組織には100以上のAWSアカウントがあり、アカウント間の通信は中央集約型AWS Transit Gatewayを介しています。
  • 各アカウントには、インターネットへのアウトバウンドトラフィック用にインターネットゲートウェイNATゲートウェイが設定されています。
  • リソースは単一のAWSリージョン内にのみデプロイされます。
会社は、全AWSアカウントのインターネットへのアウトバウンドトラフィックに対して、中央集約型のルールベースのフィルタリングを追加する必要があります。
  • アウトバウンドトラフィックのピーク負荷は、各アベイラビリティゾーン(AZ)で25Gbpsを超えません。
この要件を満たすソリューションはどれですか?

選択肢

A. 新しいVPCをアウトバウンドトラフィック用に作成し、既存のTransit Gatewayを新しいVPCに接続します。
  • 新しいNATゲートウェイを設定します。
  • オートスケーリンググループを作成し、全アベイラビリティゾーンでルールベースのフィルタリングを行うオープンソースのインターネットプロキシを実行するAmazon EC2インスタンスをデプロイします。
  • すべてのデフォルトルートをプロキシのオートスケーリンググループにポイントするよう変更します。
B. 新しいVPCをアウトバウンドトラフィック用に作成し、既存のTransit Gatewayを新しいVPCに接続します。
  • 新しいNATゲートウェイを設定します。
  • AWS Network Firewallをルールベースのフィルタリング用に使用します。
  • 各アベイラビリティゾーンでNetwork Firewallのエンドポイントを作成します。
  • すべてのデフォルトルートをNetwork Firewallエンドポイントにポイントするよう変更します。
C. 各AWSアカウントでルールベースのフィルタリング用にAWS Network Firewallを作成します。
  • すべてのデフォルトルートを各アカウント内のNetwork Firewallにポイントするよう変更します。
D. 各AWSアカウントでネットワーク最適化されたAmazon EC2インスタンスを実行するオートスケーリンググループを作成し、オープンソースのインターネットプロキシでルールベースのフィルタリングを実行します。
  • すべてのデフォルトルートをプロキシのオートスケーリンググループにポイントするよう変更します。
 

正解

この問題は、AWS Organizationsに属する複数のアカウント間で共有されるアウトバウンドトラフィックに対する中央集約型のルールベースのフィルタリングを、効率的かつスケーラブルに実現する方法を問うています。

解説

  • 要件のポイント:
      1. 中央管理でアウトバウンドトラフィックをフィルタリングする。
      1. *高いスループット(25Gbps/AZ)**に対応する。
      1. 単一のAWSリージョンでの設定。
  • 各選択肢の要約:
    • A: オープンソースプロキシを使用する案。設定が複雑で、スケーラビリティやメンテナンスの課題がある。
    • B: AWS Network Firewallを中央で利用し、スケーラブルかつ管理が容易な構成。
    • C: 各アカウントに個別のFirewallを作成。管理が煩雑になるため非効率。
    • D: 各アカウントでプロキシを使用。スケーラビリティと運用負荷が課題。

正解: B

  • AWS Network Firewallを使用することで、中央でルールを管理しつつ、高スループットに対応可能。
  • Transit GatewayとVPCを接続し、Network Firewallを通してトラフィックをルーティングすることで効率的かつ拡張性のある解決策を提供します。
Relate Posts
00-AWS SAP「理論・実践・10問道場」
Lazy loaded image
01-AWS SAP「理論・実践・10問道場」
Lazy loaded image
02-AWS SAP「理論・実践・10問道場」
Lazy loaded image
03-AWS SAP「理論・実践・10問道場」
Lazy loaded image
04-AWS SAP 「理論・実践・10問道場」
Lazy loaded image
05-AWS SAP「理論・実践・10問道場」
Lazy loaded image
217-AWS SAP AWS 「理論・実践・一問道場」Amazon Kinesis Data Firehose215-AWS SAP AWS 「理論・実践・一問道場」共有サービスアカウントと中央管理アカウント
Loading...
minami
minami
みなみの成長 🐝
Announcement

🎉 ブログへようこそ 🎉

名前: みなみ一人会社
性別:
国籍: China 🇨🇳
政治スタンス: 民主主義支持者
完全独学で基本情報技術者をはじめ、32個の資格を仕事をしながら取得。
現在はIT会社で技術担当として働きながら、ブログ執筆や学習支援にも取り組んでいます。
独学で合格できる学習法や勉強法、試験対策を発信中!

📚 発信内容

  • 💻 IT・システム開発
  • 🏠 不動産 × 宅建士
  • 🎓 MBA 学習記録
 
Catalog
0%