While securing the connection between a company’s VPC and its on-premises data center, a security engineer sent a ping command from an on-premises host (IP address 203.0.113.12) to an Amazon EC2 instance (IP address 172.31.16.139). The ping command did not return a response. The flow log in the VPC showed the following. What action should be performed to allow the ping to work?
A. In the security group of the EC2 instance, allow inbound ICMP traffic.
B. In the security group of the EC2 instance, allow outbound ICMP traffic.
C. In the VPC’s NACL, allow inbound ICMP traffic.
D. In the VPC’s NACL, allow outbound ICMP traffic.
D
在確保公司虛擬私有云(VPC)與其本地數據中心之間的連接時,一名安全工程師從本地主機(IP地址為203.0.113.12)向一個亞馬遜彈性計算云(Amazon EC2)實例(IP地址為172.31.16.139)發送了一個ping命令。但ping命令沒有收到響應。安全工程師應采取哪些額外步驟來完成此任務?
本題核心是解決從本地主機ping亞馬遜EC2實例無響應的問題,需要分析安全工程師后續應采取的步驟,關鍵在于明確安全組和網絡訪問控制列表(NACL)對ICMP流量(ping命令所用)的入站和出站規則設置。
在AWS環境中,安全組和網絡訪問控制列表(NACL)是控制網絡流量的重要組件。安全組作用于實例級別,可控制入站和出站流量;NACL作用于子網級別,同樣可控制入站和出站流量。ping命令使用的是ICMP協議,當本地主機ping EC2實例無響應時,很可能是EC2實例的安全組或VPC的NACL未允許相應的ICMP流量通過。
技巧:排除明顯錯誤選項,在沒有明顯錯誤的選項中選擇最合理的選項。
A. 不正確。在EC2實例的安全組中,允許入站ICMP流量。VPC 流日志記錄顯示 ICMP 入站流量已經被允許進入 EC2實例中,不需要再次設置。
B. 不正確。在EC2實例的安全組中,允許出站ICMP流量。安全組是有狀態的,所有被允許進入的流量,都是被允許出站的,不需要特別設置。
C. 不正確。在VPC的網絡訪問控制列表中,允許入站ICMP流量。VPC 流日志記錄顯示 ICMP 入站流量已經被允許進入 EC2實例中,不需要再次設置。
D. 正確。在VPC的網絡訪問控制列表中,允許出站ICMP流量。VPC 流日志記錄顯示,離開EC2實例的出站流量沒有被允許,但是進入EC2實例的入站流量已經被允許,唯一的可能性就是NACL 出站流量沒有得到允許。對于返回流量,安全組自動允許(有狀態),但是NACL 必須明確允許(無狀態)。