Ein Unternehmen betreibt eine Webanwendung auf Amazon EC2-Instances in einem privaten VPC-Subnetz. Ein Application Load Balancer (ALB) in den öffentlichen Subnetzen leitet den Datenverkehr an diese EC2-Instances weiter. Das Unternehmen möchte den eingehenden Datenverkehr zu den EC2-Instances so einschränken, dass nur der ALB darauf zugreifen kann, um den Zugriff von anderen Quellen zu verhindern. Welche Lösung erfüllt diese Anforderungen?
Wählen Sie eine Antwort
Tippen Sie auf eine Option, um Ihre Antwort zu überprüfen.
Richtige Antwort: Konfigurieren Sie die Sicherheitsgruppe für die EC2-Instances so, dass nur Datenverkehr zugelassen wird, der von der Sicherheitsgruppe für den ALB stammt..
Warum dies die Antwort ist
Die korrekte Lösung besteht darin, die Sicherheitsgruppe der EC2-Instances so zu konfigurieren, dass sie nur eingehenden Datenverkehr von der Sicherheitsgruppe des Application Load Balancers (ALB) zulässt. Dies ist ein bewährtes Sicherheitsprinzip (Security Group Chaining), das sicherstellt, dass nur der ALB als vertrauenswürdige Quelle auf die Instances zugreifen kann. Andere Quellen, einschließlich direkter Zugriffe aus dem Internet oder anderen Subnetzen, werden blockiert. Eine Route in einer Routing-Tabelle, die Datenverkehr aus dem Internet direkt zu privaten IP-Adressen leitet, ist nicht möglich und würde die Sicherheit untergraben. Das Verschieben der EC2-Instances in ein öffentliches Subnetz mit Elastic IPs würde sie direkt dem Internet aussetzen und die gewünschte Isolation aufheben. Die Konfiguration der Sicherheitsgruppe des ALB, um jeglichen TCP-Datenverkehr auf jedem Port zuzulassen, betrifft nur den ALB selbst und hat keine Auswirkung auf die Zugriffsbeschränkungen der EC2-Instances.
Bestehen Sie Ihre Prüfung – ohne endlose Antwortsuche
Erhalten Sie jede verifizierte Frage und Erklärung für diese Prüfung an einem Ort und sparen Sie Stunden der Vorbereitung. Über 1.000 Zertifizierungen · Über 20 Sprachen · Kostenloser Start.
Bestehen Sie Ihre Prüfung schneller → Keine Karte erforderlich