Q26 — AWS ANS-C01 第1章
第 26/100 题 | ← 返回第1章
一家公司计划在多个Amazon EC2实例上托管一个安全的Web应用程序。该应用程序在Amazon Route 53托管区域中具有关联的DNS域名。该公司希望保护该域名免受DNS投毒攻击。该公司还希望允许Web浏览器通过受信任的第三方对应用程序进行身份验证。哪一组操作可满足这些要求?
- A. 配置Route 53托管区域以使用DNS安全扩展(DNSSEC)。在EC2实例上安装自签名X.509证书。
- B. 在Route 53托管区域中配置名称授权指针(NAPTR)记录。在EC2实例上安装由公共证书颁发机构(CA)签名的X.509证书。
- C. 配置Route 53托管区域以使用DNS安全扩展(DNSSEC)。在EC2实例上安装由公共证书颁发机构(CA)签名的X.509证书。 ✓
- D. 在Route 53托管区域中配置名称授权指针(NAPTR)记录。在EC2实例上安装自签名X.509证书。
正确答案: C. 配置Route 53托管区域以使用DNS安全扩展(DNSSEC)。在EC2实例上安装由公共证书颁发机构(CA)签名的X.509证书。
解析
该题目涉及DNS安全扩展(DNSSEC)和公共证书颁发机构(CA)的X.509证书。Amazon Route 53支持DNSSEC以防范DNS缓存投毒攻击,通过为DNS记录提供数字签名验证机制(来源:AWS文档)。防止DNS投毒需要启用DNSSEC,而非NAPTR记录(用于URI映射,与DNS安全无关)。浏览器信任的第三方认证需使用公共CA签发的证书,而非自签名证书。选项C中的DNSSEC配置确保DNS数据完整性,公共CA证书确保客户端安全认证。选项A的自签名证书不被浏览器默认信任,选项B和D的NAPTR记录无法防范DNS投毒。