Вы проектируете VPC с двумя публичными подсетями для балансировщика нагрузки, двумя приватными подсетями для веб-серверов и двумя приватными подсетями для MySQL. Веб-серверы обслуживают только HTTPS. Группа безопасности для балансировщика нагрузки уже разрешает порт 443 из 0.0.0.0/0. Политика компании требует предоставления минимальных привилегий для каждого ресурса. Какую дополнительную конфигурацию следует применить для выполнения этого требования?
Выберите ответ
Нажмите на вариант, чтобы проверить свой ответ.
Правильный ответ: Создайте группу безопасности для веб-серверов и разрешите порт 443 от балансировщика нагрузки. Создайте группу безопасности для серверов MySQL и разрешите порт 3306 из группы безопасности веб-серверов..
Почему это правильный ответ
Правильный ответ соответствует принципу наименьших привилегий. Группа безопасности для веб-серверов должна разрешать входящий трафик только с балансировщика нагрузки (по порту 443), а не со всего интернета (0.0.0.0/0), поскольку балансировщик нагрузки уже фильтрует внешний трафик. Затем группа безопасности для серверов MySQL должна разрешать входящий трафик только от группы безопасности веб-серверов (по порту 3306), гарантируя, что только веб-серверы могут получить доступ к базе данных. Использование групп безопасности предпочтительнее сетевых ACL для контроля трафика на уровне экземпляров, так как они являются stateful и проще в управлении для данного сценария. Неправильные варианты либо нарушают принцип наименьших привилегий, разрешая слишком широкий доступ (0.0.0.0/0 к веб-серверам), либо используют сетевые ACL, которые менее подходят для данного уровня детализации.
Сдайте экзамен — без бесконечного поиска ответов
Получите все проверенные вопросы и объяснения для этого экзамена в одном месте и сэкономьте часы подготовки. 1000+ сертификаций · 20+ языков · начните бесплатно.
Сдайте экзамен быстрее → Карта не требуется