Strona internetowa firmy służy do sprzedaży produktów publiczności. Witryna działa na instancjach Amazon EC2 w grupie Auto Scaling za Application Load Balancer (ALB). Istnieje również dystrybucja Amazon CloudFront, a AWS WAF jest używany do ochrony przed atakami typu SQL injection. ALB jest źródłem dla dystrybucji CloudFront. Niedawny przegląd logów bezpieczeństwa ujawnił zewnętrzny złośliwy adres IP, który należy zablokować przed dostępem do witryny. Co powinien zrobić architekt rozwiązań, aby chronić aplikację?
Wybierz odpowiedź
Dotknij opcji, aby sprawdzić swoją odpowiedź.
Poprawna odpowiedź: Zmodyfikuj konfigurację AWS WAF, aby dodać warunek dopasowania IP w celu zablokowania złośliwego adresu IP..
Dlaczego to jest odpowiedź
Poprawna odpowiedź to modyfikacja konfiguracji AWS WAF. AWS WAF jest zaprojektowany do ochrony aplikacji internetowych przed typowymi zagrożeniami, takimi jak wstrzykiwanie SQL i złośliwe adresy IP. Ponieważ CloudFront jest skonfigurowany do używania ALB jako źródła, a AWS WAF jest już używany do ochrony, dodanie warunku dopasowania IP w WAF jest najbardziej efektywnym i odpowiednim rozwiązaniem do zablokowania złośliwego adresu IP na brzegu sieci, zanim ruch dotrze do ALB i instancji EC2. Modyfikacja sieciowej listy kontroli dostępu (network ACL) w dystrybucji CloudFront jest nieprawidłowa, ponieważ CloudFront nie obsługuje bezpośrednio network ACL. Network ACL działają na poziomie podsieci w VPC. Modyfikacja network ACL dla instancji EC2 lub grup bezpieczeństwa dla instancji EC2 jest również nieoptymalna, ponieważ złośliwy ruch dotarłby już do ALB, a idealnie jest blokować go jak najwcześniej w ścieżce żądania, czyli na poziomie WAF.
Zdaj egzamin — bez niekończącego się szukania odpowiedzi
Uzyskaj wszystkie zweryfikowane pytania i wyjaśnienia do tego egzaminu w jednym miejscu i zaoszczędź godziny przygotowań. Ponad 1000 certyfikacji · Ponad 20 języków · Zacznij za darmo.
Zdaj egzamin szybciej → Karta nie jest wymagana