Q94 — AWS DOP-C02 第1章

第 94/100 题 | ← 返回第1章

在一次安全审核中,一家公司发现一些安全组允许0.0.0/0的SSH呢量。一个安全升队客间实现一个解决方案,以尽快检测和补救这个问 题。该公司使难一个组织在从国所业安全服务组织管理公司的职响从国所业安全服务帐户。 哪种解决方案能两足这些要求?

正确答案: A. 使所有的美国世界银行账户都能配置。使用一个周期性触发器来激活VPE-端口限制-检查aws配置规则。创建一个AWS拉姆达函 数来补救任何不符合规则。

解析

AWS安全组允许0.0.0.0/0的SSH流量属于高危风险,需结合检测与自动修复机制。AWS Organizations管理的多账号环境中,AWS Config服务支持跨账号合规性管理,托管规则VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS(vpc-port-check)可检测22端口是否对外开放。选项A使用周期性触发器配合Lambda自动化修复,符合AWS Well-Architected框架推荐的"持续监控+自动修复"模式。选项B删除所有安全组规则会破坏现有业务,选项C的自定义规则缺少AWS托管规则的标准化维护,选项D基于SSM Automation每小时轮询的延迟性较高,均无法达到"尽快检测和修复"的要求。