Q16 — AWS SCS-C02 第1章
第 16/100 题 | ← 返回第1章
一家公司需要检测对其Amazon Elastic Kubernetes Service(Amazon EKS)集群的未经身份验证的访问。该公司需要一种无需额外配置现有EKS部署的解决方案。
- A. 从安全供应商安装Amazon EKS插件。
- B. 启用AWS Security Hub。监控Kubernetes发现结果。
- C. 监控Amazon CloudWatch Container Insights指标以获取Amazon EKS。
- D. 启用Amazon GuardDuty。使用EKS审计日志监控。 ✓
正确答案: D. 启用Amazon GuardDuty。使用EKS审计日志监控。
解析
Amazon GuardDuty原生支持EKS审计日志监控,可自动检测未经授权的访问行为(如未认证的API调用),且无需修改现有EKS集群配置(只需启用EKS控制平面日志并将其发送至CloudTrail,GuardDuty自动消费)。Security Hub(B)需手动集成并依赖其他安全服务的发现结果,非原生EKS检测。CloudWatch Container Insights(C)聚焦性能指标,不提供安全威胁检测。EKS插件(A)需主动部署和维护。因此,GuardDuty配合EKS审计日志是最低运维开销的方案。