A company is preparing to launch a public-facing web application in the AWS Cloud. The architecture consists of Amazon EC2 instances within a VPC behind an Elastic Load Balancer (ELB). A third-party service is used for the DNS. The company's solutions architect must recommend a solution to detect and protect against large-scale DDoS attacks.
Which solution meets these requirements?
A. Enable Amazon GuardDuty on the account.
B. Enable Amazon Inspector on the EC2 instances.
C. Enable AWS Shield and assign Amazon Route 53 to it.
D. Enable AWS Shield Advanced and assign the ELB to it.
D
技巧:排除明显错误选项,在没有明显错误的选项中选择最合理的选项。
一家公司正准备在 AWS 云中推出面向公众的 web 应用程序。该架构部署在 VPC 中,由弹性负载均衡器(ELB)后面 Amazon EC2 实例组成。DNS 使用第三方服务。该公司的解决方案架构师必须推荐一种解决方案来检测和防御大规模 DDoS 攻击。哪种解决方案满足这些要求?核心需求包括两项,检测 DDoS 攻击,实时识别大规模流量异常(如 SYN Flood、HTTP Flood),以及防护 DDoS 攻击,自动缓解攻击流量,确保应用可用性。
A. 不正确。在 AWS 帐户上启用 Amazon GuardDuty。GuardDuty 仅检测威胁(如暴力破解、数据泄露),无法防护 DDoS 攻击。
B. 不正确。在 EC2 实例上启用 Amazon Inspector。Inspector 是一种自动化安全评估工具,主要用来扫描 EC2 实例的漏洞(如未打补丁的软件),与 DDoS 防护无关。
C. 不正确。启用 AWS Shield 并将 Amazon Route 53 分配给它。AWS Shield Standard 无需显式启用(默认保护所有 AWS 资源),但防护能力有限,Standard 层级也无法直接关联 DNS 资源(需 Advanced)。
D. 正确。启用 AWS Shield Advanced 并将 ELB 分配给它。AWS Shield Advanced 可直接关联到 ELB,提供高级 DDoS 防护(如 SYN Flood 缓解、HTTP 请求速率限制)。