Q25 — AWS ANS-C01 第1章
第 25/100 题 | ← 返回第1章
网络工程师必须通过使用唯一随机会话密钥,为应用程序负载均衡器(ALB)上的加密数据提供额外保护措施。 网络工程师应执行哪项操作来满足此要求?
- A. 将ALB安全策略更改为仅支持TLS 1.2协议的策略
- B. 使用AWS密钥管理服务(AWS KMS)加密会话密钥
- C. 将AWS WAF Web ACL与ALB关联,并创建一条安全规则以强制执行前向保密(FS)
- D. 将ALB安全策略更改为支持前向保密(FS)的策略 ✓
正确答案: D. 将ALB安全策略更改为支持前向保密(FS)的策略
解析
在保护Application Load Balancers(ALBs)上的加密数据时,使用唯一随机会话密钥是增强安全性的有效方法。为了实现这一点,需要确保ALB的安全策略支持前向保密(FS)。FS是一种加密协议,它保证即使长期密钥被泄露,过去的会话仍然保持安全,因为每个会话都使用独特的密钥。A选项改变ALB安全策略为仅支持TLS 1.2协议,虽然TLS 1.2是安全的,但它本身并不保证FS。B选项使用AWS KMS加密会话密钥,这虽然增强了密钥管理,但并未直接解决ALB上的FS问题。C选项将AWS WAF web ACL与ALBs关联,并创建规则以执行FS,但WAF主要用于防护Web应用免受常见攻击,并不直接控制ALB的加密策略。D选项改变ALB安全策略以支持FS,直接满足了题目要求,即通过唯一随机会话密钥来保护加密数据。因此,D是正确答案。