Q36 — AWS SCS-C02 第1章

第 36/100 题 | ← 返回第1章

一家公司正将其容器工作负载从数据中心迁移到Amazon Elastic Container Service(Amazon ECS)集群。该公司必须实施一种解决方案,以检测工作负载中的潜在威胁,并提升容器集群的安全态势。 哪种解决方案能满足这些要求?

正确答案: B. 在ECS集群上启用Amazon GuardDuty Runtime Monitoring。

解析

题目要求提升Amazon ECS容器集群的安全态势并检测潜在威胁。Amazon GuardDuty Runtime Monitoring专为容器设计,持续扫描运行时环境中的恶意活动、异常API调用及可疑进程行为,如加密货币挖矿、权限提升。它直接集成到ECS集群,无需额外配置代理,可识别容器特有的威胁。AWS官方文档指出GuardDuty Runtime Monitoring增强了对容器工作负载的威胁检测能力。选项A的Amazon Inspector侧重于漏洞评估,非实时威胁监控;选项C的CloudWatch审计API日志属于被动分析;选项D的VPC流日志仅监控网络流量,无法检测容器内部威胁。