Nadat een drielaagse applicatie is gemigreerd naar een VPC, constateert het beveiligingsteam dat het principe van least privilege niet wordt toegepast op de ingress- en egress-regels van de Amazon EC2 security group tussen de lagen. Wat moet een solutions architect doen om dit te verhelpen?
Kies een antwoord
Tik op een optie om je antwoord te controleren.
Correct antwoord: Maak security group-regels die de security group ID gebruiken als bron of bestemming..
Waarom dit het antwoord is
Het gebruik van security group ID's als bron of bestemming in de regels van een security group is de meest effectieve manier om het principe van least privilege toe te passen tussen applicatielagen in een VPC. Dit komt omdat het verkeer alleen wordt toegestaan van of naar specifieke security groups, ongeacht de onderliggende IP-adressen van de instances. Dit biedt een dynamische en flexibele oplossing, omdat de IP-adressen van EC2-instances kunnen veranderen (bijvoorbeeld bij auto-scaling of vervanging), terwijl de security group ID hetzelfde blijft. Het gebruik van instance ID's is niet mogelijk, aangezien security group-regels geen instance ID's als bron of bestemming ondersteunen. VPC CIDR-blokken zijn te breed en zouden verkeer van alle instances in de VPC toestaan, wat in strijd is met het least privilege-principe. Subnet CIDR-blokken zijn ook te breed en minder flexibel, omdat ze handmatige aanpassingen vereisen wanneer instances naar andere subnets verhuizen of wanneer de subnetstructuur verandert.
Slaag voor je examen — zonder eindeloos zoeken naar antwoorden
Krijg elke geverifieerde vraag en uitleg voor dit examen op één plek, en bespaar uren voorbereiding. Meer dan 1.000 certificeringen · Meer dan 20 talen · gratis om te beginnen.
Slaag sneller voor je examen → Geen kaart nodig