Architekt rozwiązań projektuje dwuwarstwową aplikację internetową. Warstwa internetowa jest publicznie dostępna na Amazon EC2 w podsieciach publicznych. Warstwa bazy danych uruchamia Microsoft SQL Server na Amazon EC2 w podsieci prywatnej. Bezpieczeństwo jest priorytetem. Jak należy skonfigurować grupy bezpieczeństwa? (Wybierz dwie opcje.)
Wybierz odpowiedź
Dotknij opcji, aby sprawdzić swoją odpowiedź.
Poprawna odpowiedź: Skonfiguruj grupę bezpieczeństwa dla warstwy internetowej, aby zezwolić na ruch przychodzący na porcie 443 z 0.0.0.0/0., Skonfiguruj grupę bezpieczeństwa dla warstwy bazy danych, aby zezwolić na ruch przychodzący na porcie 1433 z grupy bezpieczeństwa dla warstwy internetowej..
Dlaczego to jest odpowiedź
Pierwsza poprawna opcja zezwala na ruch HTTPS (port 443) z dowolnego miejsca w internecie (0.0.0.0/0) do warstwy internetowej, co jest standardową konfiguracją dla publicznie dostępnych aplikacji webowych. Druga poprawna opcja konfiguruje grupę bezpieczeństwa dla warstwy bazy danych, aby zezwolić na ruch przychodzący na porcie 1433 (domyślny port dla Microsoft SQL Server) tylko z instancji należących do grupy bezpieczeństwa warstwy internetowej. Jest to najlepsza praktyka bezpieczeństwa, ponieważ ogranicza dostęp do bazy danych tylko do serwerów aplikacji, które jej potrzebują, zamiast zezwalać na dostęp z całego internetu lub z konkretnych adresów IP, które mogą się zmieniać. Opcja zezwalająca na ruch wychodzący na porcie 443 z warstwy internetowej do 0.0.0.0/0 jest niepotrzebna, ponieważ grupy bezpieczeństwa są stanowe, co oznacza, że ruch wychodzący jest automatycznie dozwolony w odpowiedzi na dozwolony ruch przychodzący. Opcje dotyczące ruchu wychodzącego z warstwy bazy danych do warstwy internetowej są zazwyczaj niepotrzebne, ponieważ baza danych nie inicjuje połączeń do warstwy internetowej w ten sposób. Opcja zezwalająca na ruch przychodzący na portach 443 i 1433 do warstwy bazy danych jest nieprawidłowa, ponieważ port 443 nie jest używany przez SQL Server, a zezwalanie na ruch na nim jest niepotrzebne i zwiększa powierzchnię ataku.
Zdaj egzamin — bez niekończącego się szukania odpowiedzi
Uzyskaj wszystkie zweryfikowane pytania i wyjaśnienia do tego egzaminu w jednym miejscu i zaoszczędź godziny przygotowań. Ponad 1000 certyfikacji · Ponad 20 języków · Zacznij za darmo.
Zdaj egzamin szybciej → Karta nie jest wymagana