Q73 — AWS SCS-C02 第1章
第 73/100 题 | ← 返回第1章
一家公司在 Amazon EC2 上托管一个应用程序,该应用程序需遵守特定的监管合规要求。其中一条规则规定:必须对工作负载的入站和出站流量进行网络层攻击检测,且该检测需涵盖整个数据包。 为满足此项监管要求,安全工程师需在一台 c5n.4xlarge EC2 实例上安装入侵检测软件,并配置该软件以监控应用程序实例的入站和出站流量。 安全工程师接下来应执行什么操作?
- A. 将网络接口置于混杂模式(promiscuous mode)以捕获流量  
- B. 配置 VPC 流日志(VPC Flow Logs),通过网络负载均衡器(Network Load Balancer)将流量发送至监控用 EC2 实例。  
- C. 配置 VPC 流量镜像(VPC traffic mirroring),通过网络负载均衡器(Network Load Balancer)将流量发送至监控用 EC2 实例。   ✓
- D. 使用 Amazon Inspector 检测网络层攻击,并触发 AWS Lambda 函数将可疑数据包发送至 EC2 实例。
正确答案: C. 配置 VPC 流量镜像(VPC traffic mirroring),通过网络负载均衡器(Network Load Balancer)将流量发送至监控用 EC2 实例。  
解析
AWS服务中,VPC流量镜像(Traffic Mirroring)允许复制指定EC2实例的网络流量并转发至监控工具,适用于需要深度包检测的场景。VPC流日志仅记录元数据,无法满足完整数据包检查需求。混杂模式在AWS VPC中受限于安全组和ACL,无法直接捕获非目标流量。Amazon Inspector主要用于自动化安全评估而非实时全流量检查。正确方法是通过VPC流量镜像将流量复制到监控实例,结合NLB实现分发。答案对应AWS文档关于VPC流量镜像的用途:深度检查和合规性场景。