认证考题 | 使用 Use AWS Backup 按需恢复 AWS 工作负载

  题目

A company uses Amazon EC2 instances to host frontend services behind an Application Load Balancer. Amazon Elastic Block Store (Amazon EBS) volumes are attached to the EC2 instances. The company uses Amazon S3 buckets to store large files for images and music. The company has implemented a security architecture on AWS to prevent, identify, and isolate potential ransomware attacks. The company now wants to further reduce risk. A security engineer must develop a disaster recovery solution that can recover to normal operations if an attacker bypasses preventive and detective controls. The solution must meet an RPO of 1 hour.
Which solution will meet these requirements?
A. Use AWS Backup to create backups of the EC2 instances and S3 buckets every hour. Create AWS CloudFormation templates that replicate existing architecture components. Use AWS CodeCommit to store the CloudFormation templates alongside application configuration code.
B. Use AWS Backup to create backups of the EBS volumes and S3 objects every day. Use Amazon Security Lake to create a centralized data lake for AWS CloudTrail logs and VPC flow logs. Use the logs for automated response.
C. Use Amazon Security Lake to create a centralized data lake for AWS CloudTrail logs and VPC flow logs. Use the logs for automated response. Enable AWS Security Hub to establish a single location for recovery procedures. Create AWS CloudFormation templates that replicate existing architecture components. Use AWS CodeCommit to store the CloudFormation templates alongside application configuration code.
D. Create EBS snapshots every 4 hours. Enable Amazon GuardDuty Malware Protection. Create automation to immediately restore the snapshot for any EC2 instances that produce an Execution:EC2/MaliciousFile finding in GuardDuty.

  参考答案

A

  需求概括

一家公司使用Amazon EC2实例在应用负载均衡器后托管前端服务。Amazon Elastic Block Store（Amazon EBS）卷附加到EC2实例上。该公司使用Amazon S3存储桶存储图像和音乐的大型文件。该公司在AWS上实施了安全架构，以防止、识别和隔离潜在的勒索软件攻击。该公司现在希望进一步降低风险。安全工程师必须开发一种灾难恢复解决方案，以便在攻击者绕过预防和检测控制时能够恢复正常操作。该解决方案必须满足1小时的恢复点目标（RPO）。
如何在AWS上开发一个满足1小时RPO的灾难恢复解决方案，以在攻击者绕过安全控制时恢复正常操作。
需要一种能够在攻击发生后快速恢复数据的解决方案，以满足1小时的RPO。同时需要定期备份关键数据（如EC2实例、EBS卷和S3对象），并能够在需要时快速恢复。解决方案应包含自动化元素，以便在检测到攻击时能够迅速响应并恢复数据。

  参考解析

技巧：排除明显错误选项，在没有明显错误的选项中选择最合理的选项。

A. 正确。使用AWS Backup每小时创建EC2实例和S3存储桶的备份。创建复制现有架构组件的AWS CloudFormation模板。使用AWS CodeCommit存储CloudFormation模板以及应用程序配置代码。此选项提供了每小时的备份频率，满足1小时的RPO要求，并使用CloudFormation模板和CodeCommit来管理架构和代码，便于快速恢复。
B. 不正确。使用AWS Backup每天创建EBS卷和S3对象的备份。使用Amazon Security Lake创建AWS CloudTrail日志和VPC流日志的集中数据湖。使用日志进行自动化响应。此选项的备份频率为每天，不满足1小时的RPO要求，且Security Lake主要用于日志分析，而非数据恢复。
C. 不正确。使用Amazon Security Lake创建AWS CloudTrail日志和VPC流日志的集中数据湖。使用日志进行自动化响应。启用AWS Security Hub以建立恢复程序的单一位置。创建复制现有架构组件的AWS CloudFormation模板。使用AWS CodeCommit存储CloudFormation模板以及应用程序配置代码。此选项同样未提供足够频繁的备份来满足1小时的RPO要求，且Security Lake和Security Hub并非直接用于数据恢复。
D. 不正确。每4小时创建EBS快照。启用Amazon GuardDuty恶意软件保护。创建自动化以立即为任何产生GuardDuty中Execution:EC2/MaliciousFile发现的EC2实例恢复快照。此选项的备份频率为每4小时，不满足1小时的RPO要求，且主要依赖于GuardDuty的检测功能，而非全面的灾难恢复解决方案。

  技术总结

AWS Backup：用于自动化备份和恢复AWS资源，包括EC2实例、EBS卷和S3对象。
AWS CloudFormation：用于创建和管理AWS资源的模板，以便在需要时快速复制现有架构。
AWS CodeCommit：用于存储和管理代码，包括CloudFormation模板和应用程序配置代码。
Amazon Security Lake：用于集中存储和分析安全日志，但并非直接用于数据备份和恢复。
AWS Security Hub：提供安全状态的集中视图，但并非直接用于灾难恢复。
Amazon GuardDuty：用于检测潜在的恶意活动，但主要作为检测工具，而非恢复工具。

  官方参考文档