Q71 — AWS SCS-C02 第1章
第 71/100 题 | ← 返回第1章
一位安全工程师正在设计支持某应用程序的云架构。该应用程序运行在Amazon EC2实例上,并处理敏感信息(包括信用卡号)。该应用程序会将信用卡号发送至一个运行在隔离环境中的组件。该组件将对号码进行加密、存储和解密,并随后发放令牌以在应用程序其他部分替代原始号码。负责令牌化流程的组件将部署在一组独立的EC2实例上。应用程序的其他组件不得能够存储或访问信用卡号。 以下哪种解决方案可满足这些要求?
- A. 为应用程序的令牌化组件使用EC2专用实例。
- B. 将管理令牌化流程的EC2实例置于分区放置组中。
- C. 创建一个单独的VPC,并在该单独VPC中部署新的EC2实例以支持数据令牌化。
- D. 将令牌化代码部署到托管在EC2实例上的AWS Nitro Enclaves中。 ✓
正确答案: D. 将令牌化代码部署到托管在EC2实例上的AWS Nitro Enclaves中。
解析
AWS Nitro Enclaves为EC2实例提供隔离的计算环境,确保敏感数据处理过程中的数据无法被主机或其他组件访问。其基于Nitro Hypervisor实现硬件级隔离,符合PCI DSS等合规要求。选项A的专用实例仅隔离硬件层,未阻止同一实例上的其他进程或网络访问;选项B的放置组关注物理布局,无关安全隔离;选项C的VPC隔离虽提供网络分段,但无法阻止实例级别权限配置错误导致的数据泄露。Nitro Enclaves通过加密内存、独立内核及强制通道通信彻底隔离数据处理过程,满足题目中其他组件无法存储或访问原始数据的要求。来自AWS安全白皮书及Nitro Enclaves文档。