はじめに
ネットワークでは、VPC、Route 53、CloudFront、Security Group、NACLなどが頻出です。どの層で何を制御するかを理解しておくことが大切です。
このサービス・概念とは
インスタンス単位のFWについて、CLFではSecurity Groupが正解として問われることが多いです。ステートフルで許可ルール中心
解説
- Security Groupはステートフル、NACLはステートレスは、認証・認可、監査、暗号化、脅威対策などのセキュリティ領域で使う重要な選択肢です。責任共有モデルや最小権限の考え方と関連づけて覚えるとCLFで判断しやすくなります。
- Security Groupはステートフルであり、インバウンドで許可したトラフィックへの返信を自動で許可します。設定の手間が少なく、CLFで頻出の特徴です。
- NACLはステートレスであり、インバウンド・アウトバウンドの全トラフィックを個別にルール評価します。サブネット単位で適用される点がSecurity Groupと異なります。
試験での考え方
「インスタンス単位のFW」ではSecurity Groupが正解になりやすく、VPC、Route 53、CloudFront、Security Group、NACLなどネットワーク層ごとの役割を整理しておくとよいでしょう。