A company is reviewing a recent migration of a three-tier application to a VPC. The security team discovers that the principle of least privilege is not being applied to Amazon EC2 security group ingress and egress rules between the application tiers.
What should a solutions architect do to correct this issue?
A. Create security group rules using the instance ID as the source or destination.
B. Create security group rules using the security group ID as the source or destination.
C. Create security group rules using the VPC CIDR blocks as the source or destination.
D. Create security group rules using the subnet CIDR blocks as the source or destination.
B
一家公司正在审查最近向虚拟私有云(VPC)迁移的三层应用程序。安全团队发现,应用程序各层之间的亚马逊弹性计算云(Amazon EC2)安全组入站和出站规则未应用最小权限原则。解决方案架构师应该怎么做来纠正这个问题?问题是关于在已迁移到VPC的三层应用程序中,EC2安全组的入站和出站规则未遵循最小权限原则,需要找出解决方案架构师应采取的正确措施来纠正该问题。
技巧:排除明显错误选项,在没有明显错误的选项中选择最合理的选项。
A. 不正确。使用实例ID作为源或目标创建安全组规则。实例ID与特定实例绑定,不便于管理和扩展,当实例变化时规则需频繁修改,无法有效遵循最小权限原则,该选项不正确。
B. 正确。使用安全组ID作为源或目标创建安全组规则。通过引用安全组ID,可以精确控制与特定安全组关联实例间的流量,便于管理且能确保只允许必要流量在应用程序各层流动,符合最小权限原则,该选项正确。
C. 不正确。使用VPC的CIDR块作为源或目标创建安全组规则。VPC CIDR块范围过大,会导致过多流量被允许,无法实现最小权限控制,该选项不正确。
D. 不正确。使用子网的CIDR块作为源或目标创建安全组规则。子网CIDR块包含的实例较多,使用它会允许过多流量,不能精确控制流量,不符合最小权限原则,该选项不正确。
最小权限原则要求只授予用户或系统完成其任务所必需的最少权限。在EC2安全组规则中,需要精确指定允许流量进出规则的来源和目标,以避免过度授权。使用安全组ID作为源或目标创建安全组规则是合理的。安全组可以看作是一组实例的集合,通过引用其他安全组ID,可以精确控制允许与特定安全组关联的实例之间的流量,便于管理和维护,并且可以确保只允许必要的流量在应用程序各层之间流动