單項(xiàng)選擇題

作為在AWS Cloud中構(gòu)建大型應(yīng)用程序的一部分，要求Solutions Architect實(shí)施外圍安全保護(hù)。在AWS上運(yùn)行的應(yīng)用程序具有以下終端節(jié)點(diǎn)：應(yīng)用程序負(fù)載均衡器Amazon API Gateway區(qū)域終端節(jié)點(diǎn)基于彈性IP地址的EC2實(shí)例。 Amazon S3托管的網(wǎng)站。經(jīng)典負(fù)載均衡器解決方案架構(gòu)師必須設(shè)計(jì)一種解決方案來(lái)保護(hù)所有列出的Web前端并提供以下安全功能：DDoS保護(hù)SQL注入保護(hù)IP地址白名單/黑名單HTTP泛洪保護(hù)不良的bot爬蟲(chóng)保護(hù)解決方案架構(gòu)師應(yīng)如何設(shè)計(jì)解？（）

A.在所有Web終端節(jié)點(diǎn)上部署AWS WAF和AWS Shield Advanced。添加AWS WAF規(guī)則以強(qiáng)制執(zhí)行公司的要求
B.在所有終端節(jié)點(diǎn)之前部署Amazon CloudFront。 CloudFront發(fā)行版提供外圍保護(hù)。添加基于AWS Lambda的自動(dòng)化以提供額外的安全性
C.在所有終端節(jié)點(diǎn)之前部署Amazon CloudFront。部署AWS WAF和AWS Shield Advanced。添加AWS WAF規(guī)則以強(qiáng)制執(zhí)行公司的要求。使用AWS Lambda自動(dòng)化并增強(qiáng)安全狀況
D.通過(guò)使用網(wǎng)絡(luò)ACL和安全組并添加規(guī)則以強(qiáng)制執(zhí)行公司的要求來(lái)保護(hù)端點(diǎn)。使用AWS Lambda自動(dòng)更新規(guī)則

你可能感興趣的試題

單項(xiàng)選擇題

一家公司當(dāng)前在Amazon EC2上運(yùn)行一個(gè)安全應(yīng)用程序，該應(yīng)用程序通過(guò)AWS Direct Connect從本地位置獲取文件，進(jìn)行處理，然后將其上傳到單個(gè)Amazon S3存儲(chǔ)桶。該應(yīng)用程序使用HTTPS進(jìn)行到Amazon S3傳輸?shù)募用埽⑹褂肧3服務(wù)器端加密進(jìn)行靜態(tài)加密。解決方案架構(gòu)師應(yīng)該建議進(jìn)行以下哪些更改，以使該解決方案更安全而不影響應(yīng)用程序的性能？（）

A.添加一個(gè)NAT網(wǎng)關(guān)。更新EC2實(shí)例上的安全組，以僅允許訪問(wèn)和訪問(wèn)S3 IP范圍。配置S3存儲(chǔ)桶策略，該策略僅允許通過(guò)NAT網(wǎng)關(guān)的彈性IP地址進(jìn)行通信
B.添加一個(gè)VPC端點(diǎn)。在VPC終端節(jié)點(diǎn)上配置終端節(jié)點(diǎn)策略，以僅允許訪問(wèn)所需的Amazon S3存儲(chǔ)桶。實(shí)施S3存儲(chǔ)桶策略，該策略僅允許從VPC的源IP范圍進(jìn)行通信
C.添加一個(gè)NAT網(wǎng)關(guān)。更新EC2實(shí)例上的安全組，以僅允許訪問(wèn)和訪問(wèn)S3IP范圍。配置S3存儲(chǔ)桶策略，該策略僅允許從本地網(wǎng)絡(luò)的源公共IP地址進(jìn)行通信
D.添加一個(gè)VPC端點(diǎn)。在VPC端點(diǎn)上配置端點(diǎn)策略，以僅允許訪問(wèn)所需的S3存儲(chǔ)桶。實(shí)施S3存儲(chǔ)桶策略，該策略僅允許來(lái)自VPC端點(diǎn)的通信

單項(xiàng)選擇題

一家銀行正在設(shè)計(jì)一個(gè)在線客戶服務(wù)門戶，客戶可以在其中與客戶服務(wù)代理聊天。如果發(fā)生區(qū)域性災(zāi)難，門戶網(wǎng)站必須維持15分鐘的RPO或RTO。銀行法規(guī)規(guī)定，所有客戶服務(wù)聊天記錄必須在持久性存儲(chǔ)中保存至少7年，聊天對(duì)話必須在飛行中進(jìn)行加密，并且談話記錄必須在靜態(tài)進(jìn)行加密。數(shù)據(jù)丟失防護(hù)小組要求靜態(tài)數(shù)據(jù)必須在使用團(tuán)隊(duì)控制，旋轉(zhuǎn)和吊銷的密鑰進(jìn)行加密。哪種設(shè)計(jì)滿足這些要求？（）

A.聊天應(yīng)用程序?qū)⒚織l聊天消息記錄到Amazon CloudWatch Logs中。預(yù)定的AWS Lambda函數(shù)調(diào)用CloudWatch Logs。每5分鐘創(chuàng)建一次CreateExportTask，以將聊天記錄導(dǎo)出到Amazon S3。S3存儲(chǔ)桶已配置為跨區(qū)域復(fù)制到備份區(qū)域。為CloudWatch Logs組和S3存儲(chǔ)桶指定了單獨(dú)的AWS KMS密鑰
B.聊天應(yīng)用程序?qū)⒚總€(gè)聊天消息記錄到兩個(gè)不同區(qū)域中的兩個(gè)不同的Amazon CloudWatch Logs組中，并應(yīng)用了相同的AWS KMS密鑰。兩個(gè)CloudWatch Logs組都配置為將日志導(dǎo)出到具有7年保管庫(kù)鎖定策略且指定了KMS密鑰的Amazon Glacier保管庫(kù)。
C.聊天應(yīng)用程序?qū)⒚織l聊天消息記錄到Amazon CloudWatch Logs中。CloudWatchLogs組上的訂閱過(guò)濾器將輸入Amazon Kinesis Data Firehose，后者將聊天消息流式傳輸?shù)絺浞輩^(qū)域中的Amazon S3存儲(chǔ)桶中。為CloudWatch Logs組和Kinesis Data Firehose指定了單獨(dú)的AWS KMS密鑰
D.聊天應(yīng)用程序?qū)⒚總€(gè)聊天消息記錄到Amazon CloudWatch Logs中。CloudWatch Logs組配置為使用7年保管庫(kù)鎖定策略將日志導(dǎo)出到Amazon Glacier保管庫(kù)。 Glacier跨區(qū)域復(fù)制將聊天檔案鏡像到備份區(qū)域。為CloudWatch Logs組和Amazon Glacier保管庫(kù)指定了單獨(dú)的AWS KMS密鑰