Q88 — AWS DOP-C02 第2章
第 88/100 题 | ← 返回第2章
一家公司在密VPC管理一个多租户环境,并为制应的AWS帐户配置了Amazon GuardDuty。公司将职响警卫任务的调查结得发送给AWS 安全中心。 范自可疑范源的呢量名书生改量发现。一会DevOps工程师需要实施一个解决方案,以便在GuardDuty发现新的可疑范源唱,自动拒封 通活整个VPC的呢量。 哪种解决方案能够两足这些要求?
- A. 创建一个警戒威胁列表。配置GuardDuty以引用该列表。创建一个更新威胁列表的AWS Lambda函数。将Lambda函数配置为运 行,以响应来自GuardDuty的新安全中心发现。
- B. 配置包含自定义规则组AWS WAF web ACL。创建一个AWS Lambda函数,该函数将在自定义规则组中创建一个阻止规则。将 Lambda函数配置为运行,以响应来自GuardDuty的新安全中心发现。
- C. 在AWS网络防火墙中配置防火墙。创建一个AWS Lambda函数,该函数将在防火墙策略中创建一个丢弃操作规则。将Lambda函 数配置为运行,以响应来自GuardDuty的新安全中心发现。 ✓
- D. 创建一个AWS Lambda函数,它将创建一个GuardDuty抑制规则。将Lambda函数配置为运行,以响应来自GuardDuty的新安全中心 发现。
正确答案: C. 在AWS网络防火墙中配置防火墙。创建一个AWS Lambda函数,该函数将在防火墙策略中创建一个丢弃操作规则。将Lambda函 数配置为运行,以响应来自GuardDuty的新安全中心发现。
解析
AWS网络防火墙支持集中管理VPC流量规则,允许通过防火墙策略定义全局阻止动作。题目场景需要在检测到威胁时自动阻断整个VPC的流量,AWS网络防火墙的规则更新机制直接满足此需求。选项C中的Lambda函数响应GuardDuty事件,动态添加防火墙规则,确保所有流量经过检查并被拦截。其他选项或限于特定流量类型(WAF)、标记而非阻断(威胁列表),或仅忽略告警(抑制规则),无法全局阻断VPC流量。