はじめに
ネットワークでは、VPC、Route 53、CloudFront、Security Group、NACLなどが頻出です。どの層で何を制御するかを理解しておくことが大切です。
このサービス・概念とは
サブネット単位のFWについて、CLFではNetwork ACL (NACL)が正解として問われることが多いです。ステートレスのルール評価
解説
- NACLはステートレスであり、インバウンド・アウトバウンドの全トラフィックを個別にルール評価します。サブネット単位で適用される点がSecurity Groupと異なります。
- Security Groupはステートフル、NACLはステートレスは、認証・認可、監査、暗号化、脅威対策などのセキュリティ領域で使う重要な選択肢です。責任共有モデルや最小権限の考え方と関連づけて覚えるとCLFで判断しやすくなります。
試験での考え方
「サブネット単位のFW」ではNetwork ACL (NACL)が正解になりやすく、VPC、Route 53、CloudFront、Security Group、NACLなどネットワーク層ごとの役割を整理しておくとよいでしょう。