A security engineer is designing security controls for a fleet of Amazon EC2 instances that run sensitive workloads in a VPC. The security engineer needs to implement a solution to detect and mitigate software vulnerabilities on the EC2 instances.
Which solution will meet this requirement?
A. Scan the EC2 instances by using Amazon Inspector. Apply security patches and updates by using AWS Systems Manager Patch Manager.
B. Install host-based firewall and antivirus software on each EC2 instance. Use AWS Systems Manager Run Command to update the firewall and antivirus software.
C. Install the Amazon CloudWatch agent on the EC2 instances. Enable detailed logging. Use Amazon EventBridge to review the software logs for anomalies.
D. Scan the EC2 instances by using Amazon GuardDuty Malware Protection. Apply security patches and updates by using AWS Systems Manager Patch Manager.
A
一名安全工程師正在為在虛擬私有云(VPC)中運(yùn)行敏感工作負(fù)載的一組 Amazon EC2 實(shí)例設(shè)計(jì)安全控制措施。該安全工程師需要實(shí)施一種解決方案,以檢測(cè)并緩解 EC2 實(shí)例上的軟件漏洞。
本題核心是找到一種適用于在 VPC 中運(yùn)行敏感工作負(fù)載的 Amazon EC2 實(shí)例的軟件漏洞檢測(cè)與緩解解決方案。
Amazon Inspector:是一項(xiàng)自動(dòng)化的安全評(píng)估服務(wù),能夠幫助您檢查 Amazon EC2 實(shí)例是否存在潛在的安全漏洞和偏離最佳實(shí)踐的情況。
AWS Systems Manager Patch Manager:是一項(xiàng)用于自動(dòng)化管理和部署操作系統(tǒng)、應(yīng)用程序和其他資源補(bǔ)丁的服務(wù)。
基于主機(jī)的防火墻和防病毒軟件:安裝在單個(gè)實(shí)例上,用于監(jiān)控和控制進(jìn)出實(shí)例的網(wǎng)絡(luò)流量以及檢測(cè)和阻止惡意軟件,但需要手動(dòng)或通過(guò)其他工具進(jìn)行更新管理。
Amazon CloudWatch:用于收集和跟蹤指標(biāo)、收集和監(jiān)控日志文件、設(shè)置警報(bào)以及自動(dòng)響應(yīng) AWS 資源的變化。
Amazon EventBridge:是一種服務(wù)器less 事件總線服務(wù),允許您使用事件做出響應(yīng),以更簡(jiǎn)單的方式構(gòu)建事件驅(qū)動(dòng)型應(yīng)用程序。
Amazon GuardDuty Malware Protection:GuardDuty 的惡意軟件保護(hù)功能,用于檢測(cè) EC2 實(shí)例和容器鏡像中的潛在惡意軟件。
技巧:排除明顯錯(cuò)誤選項(xiàng),在沒(méi)有明顯錯(cuò)誤的選項(xiàng)中選擇最合理的選項(xiàng)。
A. 正確。使用 Amazon Inspector 掃描 EC2 實(shí)例。使用 AWS Systems Manager Patch Manager 應(yīng)用安全補(bǔ)丁和更新。Amazon Inspector 可以自動(dòng)掃描 EC2 實(shí)例,發(fā)現(xiàn)軟件漏洞、網(wǎng)絡(luò)可訪問(wèn)性等問(wèn)題。而 AWS Systems Manager Patch Manager 能夠集中管理并自動(dòng)部署補(bǔ)丁,及時(shí)修復(fù)檢測(cè)到的漏洞,該方案完整地實(shí)現(xiàn)了對(duì) EC2 實(shí)例軟件漏洞的檢測(cè)與緩解,符合題目要求。
B. 不正確。在每個(gè) EC2 實(shí)例上安裝基于主機(jī)的防火墻和防病毒軟件。使用 AWS Systems Manager Run Command 更新防火墻和防病毒軟件。該方案基于主機(jī)的防火墻和防病毒軟件可以在一定程度上保護(hù)實(shí)例安全,但它們主要側(cè)重于網(wǎng)絡(luò)流量控制和惡意軟件檢測(cè),對(duì)于軟件漏洞的檢測(cè)能力有限。而且僅通過(guò) Run Command 更新軟件,無(wú)法全面解決軟件漏洞問(wèn)題,不能滿足題目中檢測(cè)和緩解軟件漏洞的需求。
C. 不正確。在 EC2 實(shí)例上安裝 Amazon CloudWatch 代理。啟用詳細(xì)日志記錄。使用 Amazon EventBridge 審查軟件日志中的異常情況。但是 Amazon CloudWatch 代理和 EventBridge 主要用于監(jiān)控和日志分析,通過(guò)收集和分析日志來(lái)發(fā)現(xiàn)異常情況。它們并不具備直接檢測(cè)軟件漏洞的功能,無(wú)法滿足題目中對(duì)軟件漏洞檢測(cè)與緩解的要求。
D. 不正確。使用 Amazon GuardDuty Malware Protection 掃描 EC2 實(shí)例。使用 AWS Systems Manager Patch Manager 應(yīng)用安全補(bǔ)丁和更新。Amazon GuardDuty Malware Protection 主要專注于檢測(cè)惡意軟件,對(duì)于軟件漏洞的檢測(cè)并非其主要功能。另外,Patch Manager 可以應(yīng)用補(bǔ)丁,但整體方案在軟件漏洞檢測(cè)方面存在不足,不能很好地滿足題目需求。