Q52 — AWS SAP-C02 第2章

第 52/75 题 | ← 返回第2章

Q202. 一家公司使用负载均衡器将流量分配到单个可用区中的 Amazon EC2 实例。该公司关注安全问题,希望解决方案架构师重新设计解决方案以满足以下要求。 - 入站请求必须针对常见漏洞攻击进行过滤。 - 被拒绝的请求必须发送到第三方审计应用程序。 - 所有资源应高可用。 哪种解决方案能满足这些要求?

正确答案: D. 使用应用程序的 AMI 配置 Multi-AZ Auto Scaling 组。创建 Application Load Balancer (ALB) 并选择之前创建的 Auto Scaling 组作为目标。创建一个以第三方审计应用程序为目标的 Amazon Kinesis Data Firehose。在 WAF 中创建 Web ACL。使用 Web ACL 和 ALB 创建 AWS WAF,然后通过选择 Kinesis Data Firehose 作为目标来启用日志记录。在 AWS Marketplace 中订阅 AWS Managed Rules,选择 WAF 作为订阅者

解析

选项 A 使用 Amazon Inspector 监控流量,但不包括将被拒绝的请求发送到第三方审计应用程序。选项 B 不包括将被拒绝的请求发送到第三方审计应用程序或利用 Amazon Kinesis Data Firehose 进行日志传输。选项 C 没有 Multi-AZ,不满足高可用性要求。 因此,选项 D 是满足所有给定要求的最佳解决方案。该解决方案包括使用应用程序的 AMI 配置 Multi-AZ Auto Scaling 组、创建 ALB、创建以第三方审计应用程序为目标的 Amazon Kinesis Data Firehose、创建 WAF 并订阅 AWS Managed Rules,将被拒绝的请求定向到第三方审计应用程序。