Q49 — AWS SAP-C02 第3章
第 49/75 题 | ← 返回第3章
Q274. 一家大公司的解决方案架构师需要为AWS Organizations组织中所有AWS账户的互联网出站流量设置网络安全。该组织有100多个AWS账户,账户之间通过集中的AWS Transit Gateway路由。每个账户都有互联网网关和NAT网关用于互联网出站流量。公司仅在单个AWS区域中部署资源。 公司需要能够为组织中所有AWS账户的所有互联网出站流量添加集中管理的基于规则的过滤。每个可用区的出站流量峰值负载不超过25 Gbps。 哪种解决方案满足这些要求?
- A. 为互联网出站流量创建新VPC。将现有Transit Gateway连接到新VPC。配置新的NAT网关。创建运行开源互联网代理的Amazon EC2实例的Auto Scaling组,用于跨区域中所有可用区的基于规则的过滤。修改所有默认路由以指向代理的Auto Scaling组。
- B. 为互联网出站流量创建新VPC。将现有Transit Gateway连接到新VPC。配置新的NAT网关。使用AWS Network Firewall防火墙进行基于规则的过滤。在每个可用区中创建Network Firewall端点。修改所有默认路由以指向Network Firewall端点。 ✓
- C. 在每个AWS账户中创建AWS Network Firewall防火墙进行基于规则的过滤。修改所有默认路由以指向每个账户中的Network Firewall防火墙。
- D. 在每个AWS账户中创建运行开源互联网代理的网络优化Amazon EC2实例的Auto Scaling组进行基于规则的过滤。修改所有默认路由以指向代理的Auto Scaling组。
正确答案: B. 为互联网出站流量创建新VPC。将现有Transit Gateway连接到新VPC。配置新的NAT网关。使用AWS Network Firewall防火墙进行基于规则的过滤。在每个可用区中创建Network Firewall端点。修改所有默认路由以指向Network Firewall端点。
解析
选项B涉及创建带有NAT网关的新VPC用于互联网出站流量。可以部署AWS Network Firewall防火墙来提供所有出站流量的集中基于规则的过滤。防火墙可以配置规则来阻止或允许特定的出站流量。在每个可用区中创建Network Firewall端点,确保出站流量的高可用性和负载均衡。修改所有默认路由以指向Network Firewall端点,确保组织中所有AWS账户的出站流量都由集中管理的防火墙过滤。 选项A使用开源代理的Auto Scaling组设置和维护复杂。选项C在每个账户中部署Network Firewall不提供集中管理。选项D在每个账户中部署代理也不提供集中管理。