AWS Security -07
□Question #121Topic 1
Amazon S3を使用した最近のセキュリティ評価に続いて、企業は、データが適切に保護されていることを確認するためにS3バケットを評価するための支援を要求しました。リストの最初のS3バケットには、次のバケットポリシーがあります。
{
“Version": “2012-10-17",
“Statement": [
{
“Effect":"Allow",
“Principal":"*",
“Action":"s3:*",
“Resource":"arn:aws:s3:::examplebucket/*",
“Condition": {
“IpAdress": {
“aws:SourceIp": [
“10.10.10.0/24"
]
}
}
}
]
}
このバケットポリシーは、一般の人々がデータにアクセスできない状態を維持するのに十分ですか?
A. はい。バケットポリシーにより、S3バケットACLまたはオブジェクトACLの設定方法に関係なく、バケット全体がパブリックにアクセス可能になります。
B. はい、S3バケットACLまたはオブジェクトACLの構成に関係なく、バケット内のデータはいずれもパブリックにアクセスできません。
C. いいえ、IAMユーザーポリシーを最初に調べて、データが公開されているかどうかを判断する必要があります。
D. いいえ、S3バケットACLとオブジェクトACLを最初に調べて、データがパブリックにアクセス可能かどうかを判断する必要があります。
□Question #122Topic 1
企業は、Application Load Balancer(ALB)を介してルーティングされるAmazonEC2インスタンスでWebアプリケーションをホストします。このアプリケーションは、分散型サービス拒否攻撃の犠牲になっています。アプリケーションログは、要求が頻繁に変更される限られた数のクライアントIPアドレスから発信されていることを示しています。
組織は、可能な限り最小限の継続作業で有害なトラフィックを防ぐ必要があります。
これらの基準を満たすソリューションはどれですか?
A. AWS WAFレートベースのルールを作成し、それをALBにアタッチします。
B. ALBに接続されているセキュリティグループを更新して、攻撃しているIPアドレスをブロックします。
C. ALBサブネットのネットワークACLを更新して、攻撃しているクライアントのIPアドレスをブロックします。
D. AWS WAFレートベースのルールを作成し、それをEC2インスタンスのセキュリティグループにアタッチします。
□Question #123Topic 1
セキュリティエンジニアは、会社の主要なWebサイトをホストしているAmazonEC2インスタンスが侵害されたことを示唆するAmazonGuardDuty警告を受け取りました。 GuardDutyの結論は次のとおりです。
UnauthorizedAccess:IAMUser / InstanceCredentialExfilter。
セキュリティエンジニアによると、敵対的な攻撃者は、組織が運営されていない国のEC2インスタンス向けのAPIアクセスクレデンシャルを利用していました。
セキュリティエンジニアは、敵対的な攻撃者がアクセスできないようにする必要があります。
セキュリティエンジニアの最初のステップはどうあるべきですか?
A. EC2コンソールを開き、0.0.0.0 / 0からのインバウンドトラフィックを許可するセキュリティグループをすべて削除します。
B. AWS Systems Manager AgentをEC2インスタンスにインストールし、インベントリレポートを実行します。
C. ホストにAmazonInspectorエージェントをインストールし、CVEルールパッケージを使用して評価を実行します。
D. IAMコンソールを開き、インスタンスプロファイルに関連付けられているすべてのIAMセッションを取り消します。
□Question #124Topic 1
ユーザーは、AWSがホストするWebアプリケーションが散発的に利用できることに気づきます。監視システムは、ネットワークトラフィックの異常な増加を検出し、その後、アプリケーションのWebレイヤーでCPU使用率が急上昇します。
次の戦略のうち、アプリケーションの可用性を向上させるのはどれですか? (2つ選択してください。)
A. AWS WAFをデプロイして、セキュリティで保護されていないすべてのWebアプリケーションがインターネットにアクセスするのをブロックします。
B. 侵入検知/防止システム(IDS / IPS)を導入して、異常な着信ネットワークトラフィックを監視またはブロックします。
C. 最新のウイルス対策ソフトウェアで保護されているホストからの発信ネットワークトラフィックのみを許可するようにセキュリティグループを構成します。
D. Amazon CloudFrontディストリビューションを作成し、悪意のあるトラフィックからWebアプリケーションを保護するようにAWSWAFルールを設定します。
E. 外部向けシステムにデフォルトのAmazonVPCを使用して、AWSがAmazonEC2インスタンスに影響を与える悪意のあるネットワークトラフィックをアクティブにブロックできるようにします。
□Question #125Topic 1
多国籍企業は、レイヤー3、4、および7でのDDoS攻撃から身を守り、それに対応する必要があります。会社のすべてのAWSアプリはサーバーレスであり、AmazonS3とAmazonCloudFrontおよびAmazonRoute53を使用して静的コンテンツを保存します。
これらの基準を満たすソリューションはどれですか?
A. AWSビジネスサポートプランへのアップグレードでAWSWAFを使用します。
B. オリジンアクセスIDで構成されたアプリケーションロードバランサーでAWSCertificateManagerを使用します。
C. AWS ShieldAdvancedを使用します。
D. AWS WAFを使用して、AWSKMSで暗号化されたAWSLambda関数と、すべての入力トラフィックを制限するNACLを保護します。
□Question #126Topic 1
企業は、インターネットにリンクされていないプライベート仮想プライベートクラウド(VPC)にアプリケーションをインストールしたいと考えています。同社のセキュリティチームは、要塞ホストやSSHベースの手法でAmazonEC2インスタンスにアクセスすることを許可しません。アプリケーションチームは、AWS Systems Manager SessionManagerを介してEC2インスタンスに接続して制御する予定です。
セキュリティチームはどのアクションを組み合わせて実行する必要がありますか? (3つ選択してください。)
A. Systems Manager Agentがインストールされ、VPC内のすべてのEC2インスタンスで実行されていることを確認してください。
B. VPCのEC2インスタンスにアタッチされたIAMロールがSystemsManagerへのアクセスを許可していることを確認します。
C. SSHキーペアの作成を防ぐSCPを作成します。
D. VPCでNATゲートウェイを起動します。ルーティングポリシーを更新して、トラフィックをこのNATゲートウェイに転送します。
E. SystemsManagerとAmazonEC2に適切なVPCエンドポイントが配置されていることを確認します。
F. VPCにトランジットゲートウェイが接続されていることを確認します。ルーティングポリシーを更新して、トラフィックをこのトランジットゲートウェイに転送します。
□Question #127Topic 1
企業は、世界中の人々がアクセスできるWebアプリケーションを管理しています。アプリケーションは、Application LoadBalancerを介してルーティングされるAmazonEC2インスタンスにデプロイされます。
ロードバランサーの前にAmazonCloudFrontディストリビューションがあり、同社はAWSWAFを利用しています。アプリケーションは現在、人気のあるモバイルゲームの欠陥を利用している攻撃者によって実行されているボリューム攻撃による攻撃を受けています。
アプリケーションには、世界中からのHTTPリクエストが殺到しており、それぞれに次のUser-Agent文字列が含まれています:Mozilla / 5.0(ExampleCorp、ExampleGame / 1.22、およびMobile / 1.0と互換性があります)
有効なリクエストを処理しながら、この欠陥によって引き起こされる攻撃を防ぐためにどのような緩和策を使用できますか?
A. User-AgentヘッダーにExampleGame / 1.22が存在することに基づいてリクエストをブロックする条件を使用して、AWSWAFルールでルールを作成します
B. CloudFrontディストリビューションに地理的制限を作成して、ほとんどの地理的リージョンからアプリケーションにアクセスできないようにします
C. AWS WAFでレートベースのルールを作成して、ウェブアプリケーションがサービスするリクエストの総数を制限します。
D. AWS WAFでIPベースのブラックリストを作成して、User-AgentヘッダーにExampleGame /1.22を含むリクエストから発信されたIPアドレスをブロックします。
□Question #128Topic 1
ビジネスはeコマースアプリケーションを構築中です。このプログラムは、AmazonEC2インスタンスとAmazonRDSのMySQLデータベースで実行されます。コンプライアンスを確保するために、輸送中および保管中のデータを保護する必要があります。ビジネスには、運用上のオーバーヘッドとコストを削減するソリューションが必要です。
これらの基準を満たすソリューションはどれですか?
A. アプリケーションロードバランサーでAWSCertificate Manager(ACM)からのTLS証明書を使用します。 EC2インスタンスに自己署名証明書をデプロイします。データベースクライアントソフトウェアがAmazonRDSへのTLS接続を使用していることを確認します。 RDSDBインスタンスの暗号化を有効にします。 EC2インスタンスをサポートするAmazonElastic Block Store(Amazon EBS)ボリュームで暗号化を有効にします。
B. アプリケーションロードバランサーでサードパーティベンダーからのTLS証明書を使用します。 EC2インスタンスに同じ証明書をインストールします。データベースクライアントソフトウェアがAmazonRDSへのTLS接続を使用していることを確認します。アプリケーションデータのクライアント側の暗号化には、AWS SecretsManagerを使用します。
C. AWS CloudHSMを使用して、EC2インスタンスのTLS証明書を生成します。 EC2インスタンスにTLS証明書をインストールします。データベースクライアントソフトウェアがAmazonRDSへのTLS接続を使用していることを確認します。アプリケーションデータのクライアント側の暗号化には、CloudHSMの暗号化キーを使用します。
D. AWSWAFでAmazonCloudFrontを使用します。 HTTP接続をオリジンEC2インスタンスに送信します。データベースクライアントソフトウェアがAmazonRDSへのTLS接続を使用していることを確認します。データがRDSデータベースに保存される前に、アプリケーションデータのクライアント側の暗号化にAWS Key Management Service(AWS KMS)を使用します。
□Question #129Topic 1
2つのAmazonEC2インスタンスは、同じAmazon VPCで起動されますが、セキュリティエンジニアによって異なるアベイラビリティーゾーンで起動されます。各インスタンスにはパブリックIPアドレスがあり、他のインターネットサーバーと通信できます。 2つのインスタンスは、シークレットIPアドレスを介して相互に接続できますが、パブリックIPアドレスを介して接続することはできません。
パブリックIPアドレスを介した通信を可能にするために、セキュリティエンジニアが実行する必要があるアクションは次のうちどれですか?
A. インスタンスを同じセキュリティグループに関連付けます。
B. インスタンスセキュリティグループの出力ルールに0.0.0.0/0を追加します。
C. インスタンスIDをインスタンスセキュリティグループの入力ルールに追加します。
D. インスタンスセキュリティグループの入力ルールにパブリックIPアドレスを追加します。
□Question #130Topic 1
セキュリティアナリストは、疑わしいセキュリティグループの変更に関連する監視の問題を解決しようとしました。アナリストは、これらのAWSCloudTrailログイベントがAmazonCloudWatchアラートを通じて監視されていることを通知されました。アナリストは、セキュリティグループの構成を変更して監視設定を検証しましたが、警告は受け取りませんでした。
アナリストが実行する必要があるトラブルシューティング手順は次のうちどれですか?
A. アナリストのAWSアカウントでCloudTrailとS3バケットアクセスログが有効になっていることを確認してください。 B.メトリックフィルタが作成され、アラームにマッピングされていることを確認します。アラーム通知動作を確認してください。
B. CloudWatchダッシュボードをチェックして、セキュリティグループの変更に適切なディメンションで設定されたメトリクスがあることを確認します。
C. アナリストのアカウントがCloudwatch:GetMetricStatisticsおよびCloudwatch:ListMetricsのパーミッションを含むIAMポリシーにマッピングされていることを確認します。
□Question #131Topic 1
企業は、キーの枯渇に関する規制規則を遵守しながら、オンプレミスでデータを暗号化することを望んでいます。暗号化キーは10日を超えてはならず、216を超えるアイテムを暗号化することはできません。暗号化キーは、FIPS(HSM)によって認定されたハードウェアセキュリティモジュールで作成する必要があります。同社は、5つのデータプロデューサー間の継続的な運用をサポートするために、1秒あたり平均100アイテムをAmazon S3にアップロードすることを意図しているため、コストを意識しています。
ビジネスのニーズを満たす上で最も効果的な手法はどれですか?
A. AWS Encryption SDKを使用して、最大有効期間を10日に設定し、暗号化されるメッセージの最大数を2 ^ 16に設定します。 AWS Key Management Service(AWS KMS)を使用して、マスターキーとデータキーを生成します。暗号化プロセス中に、EncryptionSDKでデータキーキャッシュを使用します。
B. AWS Key Management Service(AWS KMS)を使用して、AWSマネージドCMKを生成します。次に、すべてのオブジェクトで自動的にローテーションするように設定されたAmazonS3クライアント側暗号化を使用します。
C. AWS CloudHSMを使用して、マスターキーとデータキーを生成します。次に、オブジェクトをアップロードする前に、Boto3とPythonを使用してデータをローカルで暗号化します。 10日ごと、または2 ^ 16個のオブジェクトがAmazonS3にアップロードされた後にデータキーをローテーションします。
D. Amazon S3マネージド暗号化キー(SSE-S3)でサーバー側の暗号化を使用し、マスターキーを自動的にローテーションするように設定します。
□Question #132Topic 1
開発チームは、基本的な静的Webアプリケーションを評価する目的で実験環境を構築しました。プライベートサブネットとパブリックサブネットを持つ分離された仮想プライベートクラウド(VPC)を作成しました。
パブリックサブネットには、アプリケーションロードバランサー、NATゲートウェイ、およびインターネットゲートウェイのみが配置されています。プライベートサブネットは、すべてのAmazonEC2インスタンスが配置される場所です。
3つの異なるサーバータイプがあります。サーバーの種類ごとに独自のセキュリティグループがあり、必要な接続だけにアクセスを制限します。セキュリティグループは、着信ルールと発信ルールの両方で構成されます。各サブネットには、必要な接続のみへのアクセスを制限するように構成された着信および発信ネットワークアクセス制御リスト(ACL)があります。
サーバーがインターネットへのアウトバウンド接続を確立できない場合、チームは次のうちどれをチェックする必要がありますか? (3つ選択してください。)
A. 適切なプライベートサブネットセキュリティグループのルートテーブルとアウトバウンドルール。
B. プライベートサブネットのアウトバウンドネットワークACLルールとパブリックサブネットのインバウンドネットワークACLルール。
C. プライベートサブネットのアウトバウンドネットワークACLルールと、パブリックサブネットのインバウンドルールとアウトバウンドルールの両方。
D. AmazonEC2インスタンスに適用される可能性のあるホストベースのファイアウォールのルール。
E. アプリケーションロードバランサーとNATゲートウェイに適用されるセキュリティグループ。
F. プライベートサブネットルートテーブルの0.0.0.0/0ルートが、パブリックサブネットのインターネットゲートウェイを指していること。
□Question #133Topic 1
会社のAmazonEC2キーペアの1つがハッキングされました。セキュリティエンジニアは、現在デプロイされているLinuxEC2インスタンスが侵害されたキーペアを利用しているかどうかを判断する必要があります。
この割り当てはどのように完了しますか?
A. aws ec2 describe-instances –filters “Name = key- name、Values = KEYNAMEHERE"を使用して、Amazon EC2に直接クエリを実行して、インスタンスのリストを取得します。
B. AWSマネジメントコンソールからキーペアのフィンガープリントを取得し、AmazonInspectorログでフィンガープリントを検索します。
C. curl http://169.254.169.254/latest/meta-data/public-keys/0/を使用して、EC2インスタンスメタデータから出力を取得します。
D. AWSマネジメントコンソールからキーペアのフィンガープリントを取得し、aws logsfilter-log-eventsを使用してAmazonCloudWatchLogsでフィンガープリントを検索します。
□Question #134Topic 1
セキュリティエンジニアは、規制上の義務を遵守するために、AWSサービスの使用をus-east-1リージョンに制限するIAMポリシーを作成する必要があります。
エンジニアはどのポリシーを実装する必要がありますか?
A.
{
“Version": “2012-10-17",
“Statement": [
{
“Effect": “Allow",
“Action": “*",
“Resource": “*",
“Condition": {
“StringEquals": {
“aws:RequestedRegion": “us-east-1"
}
}
}
]
}
B.
{
“Version": “2012-10-17",
“Statement": [
{
“Effect": “Allow",
“Action": “*",
“Resource": “*",
“Condition": {
“StringEquals": {
“ec2:RequestedRegion": “us-east-1"
}
}
}
]
}
C.
{
“Version": “2012-10-17",
“Statement": [
{
“Effect": “Deny",
“Action": “*",
“Resource": “*",
“Condition": {
“StringNotEquals": {
“aws:RequestedRegion": “us-east-1"
}
}
}
]
}
D.
{
“Version": “2012-10-17",
“Statement": [
{
“Effect": “Deny",
“Action": “*",
“Resource": “*",
“Condition": {
“StringEquals": {
“aws:RequestedRegion": “us-east-1"
}
}
}
]
}
□Question #135Topic 1
セキュリティエンジニアは、AWS組織階層でAWSアカウントのrootユーザーのクレデンシャルを保護するために必要なルールを作成しています。さらに、これらの資格情報が侵害された場合の被害を軽減するための対策が必要です。
セキュリティエンジニアはどの制御の組み合わせを推奨する必要がありますか? (3つ選択してください。)
A. 次のSCPを適用します。
{
“Version": “2012-10-17",
“Statement": [
{
“Sid": “GRRESTRICTROOTUSER",
“Effect": “Deny",
“Action": “*",
“Resource": [
“*"
],
“Condition": {
“StringLike": {
“aws:PrincipalArn": [
“arn:aws:iam::*:root"
]
}
}
}
]
}
B. 次のSCPを適用します。
{
“Version": “2012-10-17",
“Statement": [
{
“Sid": “GRRESTRICTROOTUSER",
“Effect": “Deny",
“Principal":"arn:aws:iam::*:root"
“Action": “*",
“Resource": [
“*"
]
}
]
}
C. rootユーザーに対して多要素認証(MFA)を有効にします。
D. 強力なランダム化されたパスワードを設定し、安全な場所に保管します。
E. アクセスキーIDとシークレットアクセスキーを作成し、安全な場所に保管します。
F. 次の権限境界をrootユーザーに適用します。
{
“Version": “2012-10-17",
“Statement": [
{
“Sid": “GRRESTRICTROOTUSER",
“Effect": “Deny",
“Action": “*",
“Resource": [
“*"
],
“Condition": {
“StringLike": {
“aws:PrincipalArn": [
“arn:aws:iam::*:root"
]
}
}
}
]
}
□Question #136Topic 1
セキュリティエンジニアが、AmazonECSベースのアプリケーションの脆弱性を発見しました。この欠陥により、攻撃者による有害なプログラムのインストールが容易になりました。コード分析により、ポート5353のデータをランダムな時間間隔でバッチで盗むことが明らかになりました。
コンテナコードが修正されている間、エンジニアはどのようにしてすべての脆弱なサーバーを迅速に識別し、ポート5353を介したデータの出力を停止できますか?
A. AWS ShieldAdvancedとAWSWAFを有効にします。ポート5353の出力トラフィック用にAWSWAFカスタムフィルターを設定します
B. AmazonECSでAmazonInspectorを有効にし、ポート5353が開いているコンテナーを評価するカスタムアセスメントを設定します。 NACLを更新して、ポート5353のアウトバウンドをブロックします。
C. ポート5353の出力トラフィックを識別するVPCフローログにAmazonCloudWatchカスタムメトリクスを作成します。ポート5353のアウトバウンドをブロックするようにNACLを更新します。
D. AmazonAthenaを使用してAmazonS3のAWSCloudTrailログをクエリし、ポート5353のトラフィックを探します。セキュリティグループを更新して、ポート5353のアウトバウンドをブロックします。
□Question #137Topic 1
セキュリティエンジニアが会社のセキュリティソリューションを検討しており、AWSアカウントのrootユーザーを保護したいと考えています。
アカウントの最高のセキュリティを確保するために、セキュリティエンジニアは何をすべきですか?
A. AWSアカウントで管理者権限を持つ新しいIAMユーザーを作成します。 AWSアカウントのrootユーザーのパスワードを削除します。
B. AWSアカウントで管理者権限を持つ新しいIAMユーザーを作成します。既存のIAMユーザーの権限を変更します。
C. AWSアカウントのrootユーザーのアクセスキーを置き換えます。 AWSアカウントのrootユーザーのパスワードを削除します。
D. AWSアカウントで管理者権限を持つ新しいIAMユーザーを作成します。 AWSアカウントのrootユーザーに対して多要素認証を有効にします。
□Question #138Topic 1
多国籍企業は複数のアカウントの計画を作成しており、その従業員がAWSインフラストラクチャをどのように使用すべきかを特定したいと考えています。
次のソリューションのうち、最もスケーラブルなものはどれですか?
A. 既存のIDプロバイダーのグループメンバーシップに基づいてフェデレーションを通じて従業員が引き受けることができる専用のIAMユーザーを各AWSアカウント内に作成します。
B. 既存のIDプロバイダーとのフェデレーションを通じて従業員が引き受けることができるIAMの役割を持つ一元化されたアカウントを使用します。クロスアカウントロールを使用して、フェデレーションユーザーがリソースアカウントでターゲットロールを引き受けることができるようにします。
C. Kerberosトークンを使用するようにAWSセキュリティトークンサービスを設定して、ユーザーが既存の企業ユーザー名とパスワードを使用してAWSリソースに直接アクセスできるようにします。
D. 各アカウントのロール内でIAM信頼ポリシーを構成して、企業の既存のIDプロバイダーへの信頼を設定し、ユーザーがSAMLトークンに基づいてロールを引き受けることができるようにします。
□Question #139Topic 1
企業は、アマゾンウェブサービス(EC2)マシンのフリート上に分散型ウェブアプリケーションを構築したいと考えています。クラシックロードバランサーを使用してフリートの前面に配置し、TLS接続を終了するように設定します。組織は、証明書の秘密鍵が危険にさらされた場合でも、Classic LoadBalancerへの以前および進行中のすべてのTLSトラフィックが安全に保たれるようにしたいと考えています。
ビジネスがこれらの基準に準拠していることを保証するために、セキュリティエンジニアは次の機能を備えたクラシックロードバランサーをセットアップできます。
A. Amazon CertificationManagerによって管理される証明書を使用するHTTPSリスナー。
B. 完全転送秘密暗号スイートのみを許可するカスタムセキュリティポリシーを使用するHTTPSリスナー。
C. 最新のAWS定義済みELBSecurityPolicy-TLS-1-2-2017-01セキュリティポリシーを使用するHTTPSリスナー。
D. 完全転送秘密暗号スイートのみを許可するカスタムセキュリティポリシーを使用するTCPリスナー。
□Question #140Topic 1
AWSでは、企業が機密データを保持するアプリケーションを開発しています。このビジネスには、データベースを含む会社のITインフラストラクチャにアクセスできるサポートクルーがいます。会社のセキュリティエンジニアは、管理コストを最小限に抑えながら、機密データをデータ侵害から保護するための手順を実装する必要があります。クレデンシャルは定期的にローテーションする必要があります。
セキュリティエンジニアはどのような推奨を行う必要がありますか?
A. Amazon RDS暗号化を有効にして、データベースとスナップショットを暗号化します。 AmazonEC2インスタンスでAmazonElastic Block Store(Amazon EBS)暗号化を有効にします。 EC2ユーザーデータフィールドにデータベースクレデンシャルを含めます。 AWS Lambda関数を使用して、データベースのクレデンシャルをローテーションします。データベースへの接続用にTLSを設定します。
B. AmazonEC2インスタンスにデータベースをインストールします。サードパーティのディスク暗号化を有効にして、Amazon Elastic Block Store(Amazon EBS)ボリュームを暗号化します。自動ローテーションを使用して、データベースのクレデンシャルをAWSCloudHSMに保存します。データベースへの接続用にTLSを設定します。
C. Amazon RDS暗号化を有効にして、データベースとスナップショットを暗号化します。 AmazonEC2インスタンスでAmazonElastic Block Store(Amazon EBS)暗号化を有効にします。自動ローテーションを使用して、データベースのクレデンシャルをAWS SecretsManagerに保存します。 RDSでホストされているデータベースへの接続用にTLSを設定します。
D. AWS Key Management Service(AWS KMS)を使用してAWS CloudHSMクラスターをセットアップし、KMSキーを保存します。 AWSKSMを使用してAmazonRDS暗号化を設定し、データベースを暗号化します。自動ローテーションを使用して、データベースのクレデンシャルをAWS SystemsManagerパラメータストアに保存します。 RDSでホストされているデータベースへの接続用にTLSを設定します。