Q8 — AWS SAP-C02 第3章
第 8/75 题 | ← 返回第3章
Q233. 一家公司的公共API作为任务运行在Amazon Elastic Container Service (Amazon ECS)上。这些任务在Application Load Balancer (ALB)后面的AWS Fargate上运行,并配置了基于CPU利用率的Service Auto Scaling。该服务已经稳定运行了几个月。最近,API性能下降,导致应用程序无法使用。公司发现大量SQL注入攻击针对了该API,API服务已扩展到其最大容量。 解决方案架构师需要实施一个解决方案来防止SQL注入攻击到达ECS API服务。该解决方案必须允许合法流量通过,并最大化运营效率。 哪种解决方案满足这些要求?
- A. 创建新的AWS WAF Web ACL来监控转发到ECS任务前面ALB的HTTP请求和HTTPS请求。
- B. 创建新的AWS WAF Bot Control实施。在AWS WAF Bot Control托管规则组中添加规则以监控流量,仅允许合法流量到达ECS任务前面的ALB。
- C. 创建新的AWS WAF Web ACL。添加新规则以阻止与SQL数据库规则组匹配的请求。将Web ACL设置为允许所有不匹配这些规则的其他流量。将Web ACL附加到ECS任务前面的ALB。 ✓
- D. 创建新的AWS WAF Web ACL。在AWS WAF中创建新的空IP集。向Web ACL添加新规则以阻止来自新IP集中IP地址的请求。创建AWS Lambda函数从API日志中抓取发送SQL注入攻击的IP地址,并将这些IP地址添加到IP集中。将Web ACL附加到ECS任务前面的ALB。
正确答案: C. 创建新的AWS WAF Web ACL。添加新规则以阻止与SQL数据库规则组匹配的请求。将Web ACL设置为允许所有不匹配这些规则的其他流量。将Web ACL附加到ECS任务前面的ALB。
解析
为了防止SQL注入攻击到达ECS API服务,解决方案架构师应建议创建新的AWS WAF Web ACL并添加阻止与SQL数据库规则组匹配的请求的规则。Web ACL应设置为允许所有不匹配这些规则的其他流量,并应附加到ECS任务前面的ALB。 因此,选项C是正确答案。 选项A仅监控请求但不提供SQL注入攻击防护。选项B用于防止机器人流量,不专门针对SQL注入攻击。选项D使用Lambda函数抓取日志中的攻击IP地址,比使用WAF Web ACL和SQL数据库规则组更复杂。