AWS Security -03
□Question #41Topic 1
図に示されているように、企業のアカウントには多くのピアリングVPCがあります。セキュリティエンジニアは、3つのVPCすべてのAmazonEC2インスタンスで侵入テストを実施したいと考えています。
これはどのように可能ですか? (2つ選択してください。)
A. 事前承認されたスキャンエンジンをAWSMarketplaceからVPCBにデプロイし、それを使用して3つのVPCすべてのインスタンスをスキャンします。侵入テストリクエストフォームに記入しないでください。
B. マーケットプレイスから各VPCに事前承認されたスキャンエンジンをデプロイし、そのVPCのスキャンエンジンから各VPCのインスタンスをスキャンします。侵入テストリクエストフォームに記入しないでください。
C. データセンターからVPCAへのVPN接続を作成します。A。オンプレミススキャンエンジンを使用して、3つのVPCすべてのインスタンスをスキャンします。 3つのVPCすべての侵入テストリクエストフォームに記入します。
D. データセンターから3つのVPCのそれぞれへのVPN接続を作成します。オンプレミスのスキャンエンジンを使用して、各VPCのインスタンスをスキャンします。侵入テストリクエストフォームに記入しないでください。
E. データセンターから3つのVPCのそれぞれへのVPN接続を作成します。オンプレミスのスキャンエンジンを使用して、各VPCのインスタンスをスキャンします。 3つのVPCすべての侵入テストリクエストフォームに記入します。
□Question #42Topic 1
オンプレミスホストとEC2インスタンス間のすべての通信は、コンプライアンス要件を満たすために転送中に暗号化する必要があります。ホストは特定の独自のプロトコルを使用して通信します。高可用性を提供するには、EC2インスタンスの前にロードバランサーを配置する必要があります。
次のオプションのうち、これらの基準を満たす可能性が最も高いのはどれですか?
A. クラシックロードバランサーのSSLリスナーにSSLターミネーションをオフロードし、ロードバランサーとEC2インスタンス間でTCP接続を使用します。
B. クラシックロードバランサーのTCPリスナーを介してすべてのトラフィックをルーティングし、EC2インスタンスでTLS接続を終了します。
C. アプリケーションロードバランサーを使用してHTTPSリスナーを作成し、そのロードバランサーを介してすべての通信をルーティングします。
D. Application Load Balancerを使用してSSLターミネーションをSSLリスナーにオフロードし、ロードバランサーとEC2インスタンス間のSSL接続を再生成します。
□Question #43Topic 1
開発者のラップトップが取られました。ラップトップは保護されておらず、多くのAmazonEC2インスタンスに接続するために必要なSSHキーを保持していました。セキュリティエンジニアは、対応戦略を確立する際に、キーが使用されていないことを確認し、すべてのEC2インスタンスへのポート22をブロックしました。
セキュリティエンジニアは、現在実施されている保護をどのように強化できますか?
A. EC2コンソールからキーペアキーを削除してから、新しいキーペアを作成します。
B. modify-instance-attribute APIを使用して、キーを使用しているEC2インスタンスのキーを変更します。
C. EC2 RunCommandを使用して、キーを使用しているEC2インスタンスのauthorized_keysファイルを変更します。
D. EC2インスタンスの起動に使用されるAMIのキーペアを更新してから、EC2インスタンスを再起動します。
□Question #44Topic 1
企業は、ミッションクリティカルなアプリケーションをオンプレミスに保持しながら、重要ではないビジネスアプリをAWSに移行しています。オンプレミスアプリケーションは、制限された量のシークレットデータをAWSアプリと通信する必要があります。インターネットのパフォーマンスは不安定です。
サイト間で最も安全な通信の継続を提供するのはどの取り決めですか?
A. VPNとキャッシュされたストレージゲートウェイ
B. AWS Snowball Edge
C. AWS DirectConnectを介したVPNゲートウェイ
D. AWS Direct Connect
□Question #45Topic 1
以前の処方箋のデジタルコピーのオンサイトストレージは、製薬会社によって維持されています。同社は、これらの処方箋をAWSに移行し、内部に含まれるデータを分析したいと考えています。このデータに関連するアクティビティでは、転送中および保存中のデータを暗号化する必要があります。
AWSのデータ保護要件に準拠するアプリケーションフローはどれですか?
A. Digitized files -> Amazon Kinesis Data Analytics
B. Digitized files -> Amazon Kinesis Data Firehose -> Amazon S3 -> Amazon Athena
C. Digitized files -> Amazon Kinesis Data Streams -> Kinesis Client Library consumer -> Amazon S3 -> Athena
D. Digitized files -> Amazon Kinesis Data Firehose -> Amazon Elasticsearch
□Question #46Topic 1
企業のセキュリティスタッフは、内部の危険の存在を検出します。会社のAWSアカウントの1つでアクティビティが発生しているため、セキュリティチームは疑わしいです。アクションは、AWSアカウントのrootユーザーのクレデンシャルを使用して実行されました。 rootユーザーはアクセスキーを持っていません。会社はAWS組織を利用しており、動作に関与したアカウントはOUの一部です。
セキュリティエンジニアは、rootユーザーがアカウントを変更する機能を無効にする必要があります。これは、rootユーザーのパスワードを変更することによっては達成できません。
これらの基準を満たすソリューションはどれですか?
A. 次のSCPをアカウントに添付します。
{
“Version": “2012-10-17",
“Statement": [
{
“Action": “*",
“Resource": “*",
“Effect": “Deny",
“Condition": {
“StringLike": {
“aws:PrincipalArn": [
“arn:aws:root"
]
}
}
}
]
}
B. 次のSCPをアカウントに添付します
{
“Version": “2012-10-17",
“Statement": [
{
“Action": “*",
“Resource": “*",
“Effect": “Deny",
“Condition": {
“StringLike": {
“aws:PrincipalArn": [
“arn:aws:iam:root"
]
}
}
}
]
}
C. 次のSCPをアカウントに添付します
{
“Version": “2012-10-17",
“Statement": [
{
“Action": “*",
“Resource": “*",
“Effect": “Deny",
“Principal": {
“StringLike": {
“aws:PrincipalArn": [
“arn:aws:iam:root"
]
}
}
}
]
}
D. 次のインラインIAMポリシーをrootユーザーに添付します。
{
“Version": “2012-10-17",
“Statement": [
{
“Action": “*",
“Resource": “*",
“Effect": “Deny",
}
]
}
□Question #47Topic 1
最近、ある企業がアマゾンウェブサービス(AWS)インフラストラクチャのセキュリティレビューを毎年実施しました。評価の結果、監査ログは90日を超えて保持されず、IAMルールへの違法な変更は検出されないことがわかりました。
これらの懸念に対処するために、セキュリティエンジニアは何をすべきですか?
A. 90日後にAWSCloudTrailトレイルログをAmazonS3GlacierにアーカイブするAmazonS3ライフサイクルポリシーを作成します。リソースにポリシーが変更されたときに通知を提供するようにAmazonInspectorを構成します。
B. AWSCloudTrailログをアーカイブするようにAWSアーティファクトを設定します。リソースにポリシーが変更されたときに通知を提供するようにAWSTrustedAdvisorを設定します。
C. ロググループをAmazonS3にエクスポートするようにAmazonCloudWatchを設定します。リソースにポリシーが変更されたときに通知を提供するようにAWSCloudTrailを設定します。
D. AmazonS3に監査ログを保存するAWSCloudTrailトレイルを作成します。リソースにポリシーが変更されたときに通知を提供するようにAWSConfigルールを設定します。
□Question #48Topic 1
企業は、AmazonS3に保存されているすべてのデータを暗号化する必要があります。組織は、AWS Key Management Service(AWS KMS)を介して暗号化キーを生成および維持したいと考えています。会社のセキュリティ規制では、キーのキーマテリアルをインポートし、有効期限を割り当て、必要に応じて即座に破棄する機能が要求されています。
セキュリティエンジニアは、AWS KMSがこれらの要件を確実に満たすように、AWS KMSをどのように設定する必要がありますか?
A. AWS KMSを設定し、カスタムキーストアを使用します。重要な資料を使用せずに、顧客が管理するCMKを作成します。会社のキーとキーマテリアルをCMKにインポートします。
B. AWS KMSを設定し、デフォルトのキーストアを使用します。キーマテリアルなしでAWSマネージドCMKを作成します。会社のキーとキーマテリアルをCMKにインポートします。
C. AWS KMSを設定し、デフォルトのキーストアを使用します。重要な資料を使用せずに、顧客が管理するCMKを作成します。会社のキーとキーマテリアルをCMKにインポートします。
D. AWS KMSを設定し、カスタムキーストアを使用します。キーマテリアルなしでAWSマネージドCMKを作成します。会社のキーとキーマテリアルをCMKにインポートします。
□Question #49Topic 1
コンプライアンスの目的で、企業はリソースの使用を3つの異なるAWSリージョンに制限しています。許可されていないゾーンにリソースが配置されていることを通知する必要があります。
次のどの方法で、許可されていないリージョンにリソースが配置されていることを通知しますか?
A. AWSCloudTrailログの処理に基づいてアラートメカニズムを開発します。
B. 未承認のリージョンのバケットに保存されているオブジェクトのAmazonS3イベント通知を監視します。
C. 未承認のリージョンでのアクティビティについてAmazonCloudWatchログを分析します。
D. AWS Trusted Advisorを使用して、作成されているすべてのリソースについてアラートを出します。
□Question #50Topic 1
企業の情報セキュリティチームは、AmazonEC2のパフォーマンスと使用統計でほぼリアルタイムの異常検出を実行したいと考えています。ログの集約はセキュリティエンジニアの責任です。調査を行うには、エンジニアは会社のすべてのAWSアカウントからログを1か所に収集する必要があります。
セキュリティエンジニアはこれをどのように行う必要がありますか?
A. 各アカウントに1日4回ログインし、AWS CloudTrailログデータをフィルタリングしてから、ログをコピーして、宛先アカウントのAmazonS3バケットに貼り付けます。
B. 各ソースアカウントのAmazonS3バケットにデータをストリーミングするようにAmazonCloudWatchを設定します。各ソースアカウントのバケットレプリケーションを、セキュリティエンジニアが所有する一元化されたバケットに設定します。
C. 複数のソースからAWS構成データを収集するようにAWSConfigアグリゲーターをセットアップします。
D. 各アカウントのサブスクリプションとのAmazonCloudWatchクロスアカウントログデータ共有を設定します。セキュリティエンジニアのアカウントのAmazonKinesis DataFirehoseにログを送信します。
□Question #51Topic 1
大企業のセキュリティエンジニアは、1,500の子会社が利用するデータ処理プログラムの管理を担当しています。 AWSは、メイン企業と子会社の両方で使用されています。このプログラムは、TCPポート443を介してインターネットと通信し、ネットワークロードバランサー(NLB)の背後にあるAmazonEC2でホストされます。コンプライアンスの目的で、アプリケーションは子会社のみがアクセスでき、一般の人はアクセスできないようにする必要があります。エンジニアは、アクセス制限のコンプライアンス基準に準拠するために、各子会社のパブリックおよびプライベートCIDRブロック範囲を受け取りました。
アプリケーションの適切なアクセス制限を実装するために、エンジニアはどのソリューションを使用する必要がありますか?
A. NACLを作成して、1,500の補助CIDRブロック範囲からTCPポート443へのアクセスを許可します。 NACLをNLBインスタンスとEC2インスタンスの両方に関連付けます
B. AWSセキュリティグループを作成して、1,500の補助CIDRブロック範囲からTCPポート443へのアクセスを許可します。セキュリティグループをNLBに関連付けます。 NLBセキュリティグループからTCPポート443にアクセスできるEC2インスタンスの2番目のセキュリティグループを作成します。
C. NLBに接続されている親会社のアカウントにAWSPrivateLinkエンドポイントサービスを作成します。インスタンスのAWSセキュリティグループを作成して、AWSPrivateLinkエンドポイントからTCPポート443へのアクセスを許可します。 1,500のサブAWSアカウントでAWSPrivateLinkインターフェースエンドポイントを使用して、データ処理アプリケーションに接続します。
D. AWSセキュリティグループを作成して、1,500の補助CIDRブロック範囲からTCPポート443へのアクセスを許可します。セキュリティグループをEC2インスタンスに関連付けます。
□Question #52Topic 1
許可された管理者は、SSH経由でインターネット経由でAmazon EC2Linux要塞サーバーにアクセスできません。接続が応答しないか、次のエラーメッセージが生成されます。
ネットワークの問題により接続が切れました。
接続が失敗する原因は何ですか? (3つ選択してください。)
A. EC2インスタンスがデプロイされているサブネットのNATゲートウェイが正しく設定されていません。
B. VPCのインターネットゲートウェイが正しく構成されていません。
C. セキュリティグループは、エフェメラルポートでのアウトバウンドトラフィックを拒否します。
D. ルートテーブルにインターネットゲートウェイへのルートがありません。
E. NACLは、エフェメラルポートでのアウトバウンドトラフィックを拒否します。
F. ホストベースのファイアウォールがSSHトラフィックを拒否しています。
□Question #53Topic 1
情報セキュリティチームは、承認されたAmazonマシンイメージ(AMI)のみを将来使用するように命令しました。
InfoSecチームは、この指令に従っていることをどのように確認できますか?
A. すべてのAmazonEC2インスタンスを終了し、承認されたAMIを使用して再起動します。
B. AWS Systems Managerを使用して、実行中のすべてのインスタンスにパッチを適用します。
C. AWS Configルールをデプロイし、実行中のすべてのインスタンスが準拠しているかどうかを確認します。
D. Amazon CloudWatch Logsでメトリックスフィルターを定義して、コンプライアンスを確認します。
□Question #54Topic 1
2つのAmazonEC2インスタンスがパブリックサブネット内に含まれています。サブネットには、特定のネットワークアクセス制御リストがあります。セキュリティエンジニアは、サブネットのセキュリティを強化するためのソリューションを開発しています。
ソリューションは、ポート443を介したTLS暗号化インターネットサービスへのアウトバウンド通信を許可する必要があります。さらに、ソリューションは、MySQLポート3306への着信アクセスをブロックする必要があります。
どのネットワークACLルールセットがこれらの基準を満たしていますか?
A. インバウンドルール100を使用してTCPポート443のトラフィックを許可します。インバウンドルール200を使用してTCPポート3306のトラフィックを拒否します。アウトバウンドルール100を使用してTCPポート443のトラフィックを許可します。
B. インバウンドルール100を使用して、TCPポート3306のトラフィックを拒否します。インバウンドルール200を使用して、TCPポート範囲1024~65535のトラフィックを許可します。アウトバウンドルール100を使用して、TCPポート443でのトラフィックを許可します。
C. インバウンドルール100を使用して、TCPポート範囲1024~65535のトラフィックを許可します。インバウンドルール200を使用して、TCPポート3306のトラフィックを拒否します。アウトバウンドルール100を使用して、TCPポート443のトラフィックを許可します。
D. インバウンドルール100を使用してTCPポート3306のトラフィックを拒否します。インバウンドルール200を使用してTCPポート443のトラフィックを許可します。アウトバウンドルール100を使用してTCPポート443のトラフィックを許可します。
□Question #55Topic 1
AWS CloudTrailは、組織内で行われたAPI呼び出しを追跡するために使用されます。監査によると、CloudTrailは計画どおりにAmazonS3にイベントを配信していません。
CloudTrailイベントをS3に配信できるようにするには、最初にどのような手順を実行する必要がありますか? (2つ選択してください。)
A. S3バケットポリシーがCloudTrailによるオブジェクトの書き込みを許可していることを確認します。
B. CloudTrailで使用されるIAMロールがAmazonCloudWatchログに書き込むためのアクセス権を持っていることを確認します。
C. オブジェクトをAmazonGlacierにアーカイブしているS3バケットのライフサイクルポリシーをすべて削除します。
D. CloudTrailで定義されたS3バケットが存在することを確認します。
E. CloudTrailで定義されたログファイルプレフィックスがS3バケットに存在することを確認します。
□Question #56Topic 1
医療機関の監査人は、すべてのデータボリュームを保存時に暗号化することを要求しています。インフラストラクチャは主にAWSCloudFormationを使用して提供されます。ただし、特定の古いシステムでは、サードパーティのフレームワークまたは手動展開を使用する必要があります。
すべてのEBSボリュームの暗号化ステータスを定期的に監視するための最良の方法は何ですか?
A. 定期的に、すべてのIAMユーザーポリシーを更新して、EC2インスタンスが暗号化されたボリュームで作成されるようにします。
B. ボリューム暗号化のために定期的に実行するようにAWSConfigルールを設定します。
C. ボリューム暗号化のAmazonInspectorルールを設定して、定期的なスケジュールで実行します。
D. CloudWatch Logsを使用して、インスタンスが暗号化されたボリュームで作成されたかどうかを確認します。
□Question #57Topic 1
企業がAmazonEC2インスタンスをAWSVPCに追加しました。最近の警告は、EC2インスタンスが開いているTCPポートを介して外部ソースから異常に大量のリクエストを受け取っていることを示しています。 TCPポートは長期間使用できます。
会社のセキュリティスタッフは、EC2インスタンスがハッキングされないように、このポートへのすべての外部トラフィックをただちに無効にする必要があります。他のユーザーはプログラムにアクセスできる必要があります。
これらの基準を満たすソリューションはどれですか?
A. EC2インスタンスに関連付けられているサブネットに接続されているネットワークACLを更新します。ポートと送信元IPアドレスの拒否ステートメントを追加します。
B. EC2インスタンスに接続されているElastic Network Interfaceセキュリティグループを更新して、インバウンドルールリストからポートを削除します。
C. ポートと送信元IPアドレスのインバウンドリストにDenyエントリを追加して、EC2インスタンスに接続されているElastic NetworkInterfaceセキュリティグループを更新します。 D. サブネットの新しいネットワークACLを作成します。データが削除されないように、EC2インスタンスからのす
べてのトラフィックを拒否します。
□Question #58Topic 1
ビジネスのオンプレミスデータセンターは、疑わしいアクティビティを監視するサードパーティのセキュリティインシデントイベント管理(SIEM)サービスにDNSログを送信します。
このビジネスは、自動クリーンアップを備えた同等の機能をAWSのお客様に提供する予定です。今後3か月以内に、会社の規模は2倍になる予定です。
ビジネスの現在および将来のロギングニーズに適合するソリューションはどれですか?
A. すべてのリージョンとすべてのアカウントでAmazonGuardDutyとAWSSecurityHubを有効にします。子アカウントからすべてのアラートを受信するマスターセキュリティアカウントを指定します。 Amazon EventBridge内に特定のルールを設定して、修復手順のためにAWSLambda関数をトリガーします。
B. すべてのAWSCloudTrailログ、VPCフローログ、およびDNSログを指定されたセキュリティアカウントの単一のAmazonS3バケットに取り込みます。現在のオンプレミスSIEMを使用してログを監視し、Amazon SNSトピックに通知を送信して、セキュリティチームに修復手順を警告します。
C. すべてのAWSCloudTrailログ、VPCフローログ、およびDNSログを指定されたセキュリティアカウントの単一のAmazonS3バケットに取り込みます。 Amazon EC2インスタンスを起動し、現在のSIEMをインストールしてログを監視し、Amazon SNSトピックに通知を送信して、セキュリティチームに修復手順を警告します。
D. すべてのリージョンとすべてのアカウントでAmazonGuardDutyとAWSSecurityHubを有効にします。子アカウントからすべてのアラートを受信するマスターセキュリティアカウントを指定します。無視リストにある特定のAPI呼び出しへのアクセスを拒否するAWSOrganizationsSCPを作成します。
□Question #59Topic 1
ビジネスでは、AWS組織を通じて管理されている多くのAWSアカウントを利用しています。これらのアカウントごとに、セキュリティエンジニアはセキュリティグループの標準セットを構築しました。セキュリティポリシーは、すべてのアプリでこれらのセキュリティグループを使用することを義務付けており、セキュリティチームへの変更を制限しています。
最近のセキュリティ評価では、セキュリティグループがアカウント間で一貫して適用されておらず、セキュリティグループに不正な変更が加えられていることがわかりました。セキュリティエンジニアは、アカウントの一貫性を強化し、個々のアカウントに対する将来の不正な変更を防ぐソリューションを提供する必要があります。
彼または彼女はどのセキュリティエンジニアソリューションを推奨する必要がありますか?
A. AWS Resource Access Managerを使用して、必要なセキュリティグループごとに共有リソースを作成し、セキュリティグループへの読み取り専用アクセスのみを許可するIAMポリシーを適用します。 B. 必要なセキュリティグループを作成するAWSCloudFormationテンプレートを作成します。新しいアカウントの構成の一部としてテンプレートを実行します。変更が発生したときにAmazonSimple Notification
Service(Amazon SNS)通知を有効にします。
C. AWS Firewall Managerを使用して、セキュリティグループポリシーを作成し、ポリシー機能を有効にしてローカルの変更を識別して元に戻し、自動修復を有効にします。
D. AWS Control Towerを使用してアカウントファクトリテンプレートを編集し、セキュリティグループの共有オプションを有効にします。ローカルアカウントユーザーからのセキュリティグループの変更を禁止するSCPをOUまたは個々のアカウントに適用します。
□Question #60Topic 1
企業はウェブサイトの画像をAmazonS3バケットに保存します。同社は、AmazonCloudFrontを介してエンドユーザーに写真を提供しています。同社は最近、配布ライセンスを持っていない国から写真にアクセスできることを知りました。
写真を保護し、配布を制限するために、企業はどのような手順を踏む必要がありますか? (2つ選択してください。)
A. S3バケットポリシーを更新して、CloudFrontオリジンアクセスID(OAI)へのアクセスを制限します。
B. WebサイトのDNSレコードを更新して、Amazon Route 53ジオロケーションレコードを使用して、会社がライセンスを持っていない国のリストを拒否します。
C. 会社がライセンスを欠いている国のCloudFront地理制限拒否リストを追加します。
D. 会社がライセンスを欠いている国の拒否リストでS3バケットポリシーを更新します。
E. CloudFrontで[ビューアーアクセスの制限]オプションを有効にして、会社がライセンスを持っていない国の拒否リストを作成します。