Q8 — AWS SAP-C02 第3章

第 8/75 题 | ← 返回第3章

Q233. 一家公司的公共API作为任务运行在Amazon Elastic Container Service (Amazon ECS)上。这些任务在Application Load Balancer (ALB)后面的AWS Fargate上运行,并配置了基于CPU利用率的Service Auto Scaling。该服务已经稳定运行了几个月。最近,API性能下降,导致应用程序无法使用。公司发现大量SQL注入攻击针对了该API,API服务已扩展到其最大容量。 解决方案架构师需要实施一个解决方案来防止SQL注入攻击到达ECS API服务。该解决方案必须允许合法流量通过,并最大化运营效率。 哪种解决方案满足这些要求?

正确答案: C. 创建新的AWS WAF Web ACL。添加新规则以阻止与SQL数据库规则组匹配的请求。将Web ACL设置为允许所有不匹配这些规则的其他流量。将Web ACL附加到ECS任务前面的ALB。

解析

为了防止SQL注入攻击到达ECS API服务,解决方案架构师应建议创建新的AWS WAF Web ACL并添加阻止与SQL数据库规则组匹配的请求的规则。Web ACL应设置为允许所有不匹配这些规则的其他流量,并应附加到ECS任务前面的ALB。 因此,选项C是正确答案。 选项A仅监控请求但不提供SQL注入攻击防护。选项B用于防止机器人流量,不专门针对SQL注入攻击。选项D使用Lambda函数抓取日志中的攻击IP地址,比使用WAF Web ACL和SQL数据库规则组更复杂。