A company is reviewing a recent migration of a three-tier application to a VPC. The security team discovers that the principle of least privilege is not being applied to Amazon EC2 security group ingress and egress rules between the application tiers.
What should a solutions architect do to correct this issue?
A. Create security group rules using the instance ID as the source or destination.
B. Create security group rules using the security group ID as the source or destination.
C. Create security group rules using the VPC CIDR blocks as the source or destination.
D. Create security group rules using the subnet CIDR blocks as the source or destination.
B
一家公司正在審查最近向虛擬私有云(VPC)遷移的三層應用程序。安全團隊發現,應用程序各層之間的亞馬遜彈性計算云(Amazon EC2)安全組入站和出站規則未應用最小權限原則。解決方案架構師應該怎么做來糾正這個問題?問題是關于在已遷移到VPC的三層應用程序中,EC2安全組的入站和出站規則未遵循最小權限原則,需要找出解決方案架構師應采取的正確措施來糾正該問題。
技巧:排除明顯錯誤選項,在沒有明顯錯誤的選項中選擇最合理的選項。
A. 不正確。使用實例ID作為源或目標創建安全組規則。實例ID與特定實例綁定,不便于管理和擴展,當實例變化時規則需頻繁修改,無法有效遵循最小權限原則,該選項不正確。
B. 正確。使用安全組ID作為源或目標創建安全組規則。通過引用安全組ID,可以精確控制與特定安全組關聯實例間的流量,便于管理且能確保只允許必要流量在應用程序各層流動,符合最小權限原則,該選項正確。
C. 不正確。使用VPC的CIDR塊作為源或目標創建安全組規則。VPC CIDR塊范圍過大,會導致過多流量被允許,無法實現最小權限控制,該選項不正確。
D. 不正確。使用子網的CIDR塊作為源或目標創建安全組規則。子網CIDR塊包含的實例較多,使用它會允許過多流量,不能精確控制流量,不符合最小權限原則,該選項不正確。
最小權限原則要求只授予用戶或系統完成其任務所必需的最少權限。在EC2安全組規則中,需要精確指定允許流量進出規則的來源和目標,以避免過度授權。使用安全組ID作為源或目標創建安全組規則是合理的。安全組可以看作是一組實例的集合,通過引用其他安全組ID,可以精確控制允許與特定安全組關聯的實例之間的流量,便于管理和維護,并且可以確保只允許必要的流量在應用程序各層之間流動