Q52 — AWS ANS-C01 第1章
第 52/100 题 | ← 返回第1章
一个安全团队正在对其公司的AWS部署执行审计。该安全团队担心两个应用程序可能正在访问本应被网络ACL和安全组阻止的资源。这两个应用程序部署在两个使用Amazon VPC Container Network Interface(CNI)插件的Amazon Elastic Kubernetes Service(Amazon EKS)集群上。这两个集群位于同一VPC内的不同子网中,并已配置Cluster Autoscaler。 安全团队需要确定在整个VPC中哪些POD IP地址正在与哪些服务通信。安全团队希望限制流日志数量,并仅检查这两个应用程序的流量。 以下哪项解决方案可在最低运维开销下满足这些要求?
- A. 以默认格式创建VPC流日志。创建一个过滤器,仅收集来自EKS节点的流日志。在流日志中包含srcaddr字段和dstaddr字段。
- B. 以自定义格式创建VPC流日志。将EKS节点设为资源。在流日志中包含pkt-srcaddr字段和pkt-dstaddr字段。
- C. 以自定义格式创建VPC流日志。将应用程序子网设为资源。在流日志中包含pkt-srcaddr字段和pkt-dstaddr字段。
- D. 以自定义格式创建VPC流日志。创建一个过滤器,仅收集来自EKS节点的流日志。在流日志中包含pkt-srcaddr字段和pkt-dstaddr字段。 ✓
正确答案: D. 以自定义格式创建VPC流日志。创建一个过滤器,仅收集来自EKS节点的流日志。在流日志中包含pkt-srcaddr字段和pkt-dstaddr字段。
解析
为了满足安全团队的需求,即确定哪个POD IP地址在整个VPC中与哪些服务进行通信,并且限制流日志的数量以及只检查两个应用程序的流量,需要采用一种高效的日志收集策略。选项D提出了创建VPC流日志的自定义格式,并设置一个过滤器来仅收集来自EKS节点的流日志。这种方法能够精确地定位到EKS节点上的流量,减少了不必要的数据收集,从而降低了操作开销。同时,包含pkt-srcaddr字段和pkt-dstaddr字段能够确保捕获到源和目标IP地址信息,这对于分析POD与服务之间的通信至关重要。因此,选项D是最符合题目要求的解决方案。