Una empresa opera una aplicación de dos niveles para el procesamiento de imágenes. La aplicación utiliza dos Availability Zones, cada una con una subred pública y una subred privada. Un Application Load Balancer (ALB) para el nivel web utiliza las subredes públicas. Las instancias de Amazon EC2 para el nivel de aplicación utilizan las subredes privadas. Los usuarios informan que la aplicación se está ejecutando más lentamente de lo esperado. Una auditoría de seguridad de los archivos de registro del servidor web muestra que la aplicación está recibiendo millones de solicitudes ilegítimas de un pequeño número de direcciones IP. Un arquitecto de soluciones necesita resolver el problema de rendimiento inmediato mientras la empresa investiga una solución más permanente. ¿Qué debe recomendar el arquitecto de soluciones para cumplir con este requisito?
Elige una respuesta
Toca una opción para verificar tu respuesta.
Respuesta correcta: Modificar la network ACL para las subredes del nivel web. Añadir una regla de denegación de entrada para las direcciones IP que están consumiendo recursos..
Por qué esta es la respuesta
La opción correcta es modificar la ACL de red (Network ACL) para las subredes del nivel web con una regla de denegación de entrada para las direcciones IP maliciosas. Las Network ACLs operan a nivel de subred y son sin estado, lo que significa que procesan las reglas en orden numérico y pueden denegar tráfico explícitamente. Esto detendrá el tráfico ilegítimo antes de que llegue al ALB y a las instancias EC2, resolviendo el problema de rendimiento de forma inmediata. Las otras opciones son incorrectas: Modificar el security group de entrada para el nivel web: Los security groups son con estado y se aplican a nivel de instancia o ENI. Aunque pueden denegar tráfico, el tráfico ya habría llegado al ALB, que se encuentra antes de las instancias EC2, y los security groups no pueden bloquear direcciones IP específicas a ese nivel. Modificar el security group de entrada para el nivel de aplicación: El tráfico ilegítimo se dirige al nivel web (ALB), no directamente al nivel de aplicación. Bloquear IPs aquí no resolvería el problema de rendimiento del nivel web. Modificar la network ACL para las subredes del nivel de aplicación: Similar a la anterior, el ataque se dirige al nivel web. Bloquear IPs en las subredes del nivel de aplicación no evitará que el tráfico ilegítimo consuma recursos del ALB.
Aprueba tu examen — sin la interminable búsqueda de respuestas
Obtén todas las preguntas y explicaciones verificadas para este examen en un solo lugar, y ahorra horas de preparación. Más de 1,000 certificaciones · Más de 20 idiomas · Empieza gratis.
Aprueba tu examen más rápido → No se requiere tarjeta