Q5 — AWS DOP-C02 第3章
第 5/100 题 | ← 返回第3章
一家公司的应难程序开发升队使难基于Linux的Amazon EC2实暗游为堡垒主育。对堡垒主育的笔归SSH访问被限相到特定的IP地址, 如制关安全组中职定批的。如得安全组规则被修大为允许范自任何IP地址的SSH访问,公司的安全升队希望收到通知。 一个DevOps工程师应该怎么做状能两足这个要求?
- A. 创建一个Amazon EventBridge规则,其源为aws.cloudtrail,事件名为AuthorizeSecurityGroupIngress。定义一个Amazon简单通知服 务(Amazon SNS)主题作为目标。
- B. 启用Amazon GuardDuty并在AWS Security Hub中检查安全组的结果。使用自定义模式配置Amazon EventBridge规则,该模式匹配 输出为NON_COMPLIANT的GuardDuty事件。定义一个Amazon简单通知服务(Amazon SNS)主题作为目标。
- C. 通过使用restricted-ssh managed规则来创建AWS配置规则,以检查安全组是否禁止无限制的传入ssh流量。将自动修复配置为向 Amazon简单通知服务(Amazon SNS)主题发布消息。 ✓
- D. 启用亚马逊检查员。包括常见漏洞和暴露-1.1规则包,以检查与堡垒主机相关联的安全组。配置Amazon Inspector向Amazon简单 通知服务(Amazon SNS)主题发布消息。
正确答案: C. 通过使用restricted-ssh managed规则来创建AWS配置规则,以检查安全组是否禁止无限制的传入ssh流量。将自动修复配置为向 Amazon简单通知服务(Amazon SNS)主题发布消息。
解析
AWS服务中AWS Config用于评估资源是否符合规则,其提供的restricted-ssh托管规则专门用于检测安全组是否存在允许无限制SSH流量的入站规则。当安全组规则被修改为允许来自任何IP的SSH时,AWS Config规则将评估资源状态为NON_COMPLIANT。配置自动修复动作可将此状态变化发送至SNS主题,实现实时通知安全团队。选项A基于CloudTrail事件需要额外过滤具体修改内容,选项B依赖威胁检测而非配置监控,选项D聚焦漏洞而非规则变更。正确答案C直接利用AWS Config的合规性检查机制,符合题目要求。