AWS Certified Security Specialty (SCS)

AWS Certified Security Specialty (SCS) 更新于今天
  • 查看第 5 至第 121 页.
  • 查看第 21-25 至第 605 道题
Disclaimers:
  • - ExamTopics website is not related to, affiliated with, endorsed or authorized by Amazon.and Azure
  • - Trademarks, certification & product names are used for reference only and belong to Amazon.and Azure

Topic 1 - Exam A

Question #21 Topic 1

为了节省成本,信息技术部门已经停止使用经典负载均衡器,转而使用应用程序负载均衡器。切换后,一些旧设备上的用户将无法再连接到网站。造成这种情况的原因是什么?

  • A 应用程序负载均衡器不支持较旧的web浏览器。
  • B 完美正向保密设置配置不正确。
  • C 中间证书安装在应用程序负载平衡器中。
  • D 应用程序负载均衡器上的密码套件正在阻止连接。
正确答案: A
解析: 正确答案是:A
解释:老旧的设备可能由于浏览器过时,不能与应用负载均衡器兼容,因此不受支持。
Question #22 Topic 1

一家公司计划将一个敏感数据集迁移到AmazonS3。安全工程师必须确保数据在静止时被加密。加密解决方案必须使公司能够生成自己的密钥,而无需管理密钥存储或加密过程。安全工程师应该使用什么来实现这一点?

  • A 使用AmazonS3托管密钥(SSE-S3)进行服务器端加密
  • B 使用AWS KMS托管密钥(SSE-KMS)进行服务器端加密
  • C 使用客户提供的密钥进行服务器端加密(SSE-C)
  • D 使用AWS KMS管理的CMK进行客户端加密
正确答案: B
解析: 正确答案是:B
解释:AWS KMS允许您创建和管理加密密钥,并在广泛的AWS服务中控制它们的使用。因此,此服务完全符合公司的要求,即在S3存储桶上存储的数据由他们自己加密和管理,而无需人工干预。
Question #23 Topic 1

一位安全工程师发现,尽管亚马逊S3存储桶examplebucket启用了加密,但任何有权访问该存储桶的人都有能力检索文件。工程师希望将访问权限限制在每个IAM用户只能访问指定的文件夹。安全工程师应该做些什么来实现这一点?

  • A Use envelope encryption with the AWS-managed CMK aws/s3.
  • B 创建一个客户管理的CMK,该CMK具有基于${aws:username}变量授予kms:Decrypt的密钥策略。
  • C 为每个用户创建一个客户管理的CMK。将每个用户添加为其相应密钥策略中的密钥用户。
  • D 更改适用的IAM策略以授予S3对资源的访问权限:arn:aws:S3:::examplebucket/${aws:username}/*
正确答案: D
解析: 安全工程师应更改适用的IAM策略,以授予对资源的S3访问权限:arn:aws:s3::examplebucket / $ {aws:username} / *,这将限制每个IAM用户仅访问其分配的文件夹。可以使用$ {aws:username}变量在S3存储桶中指定特定于用户的文件夹来实现此目的。
Question #24 Topic 1

一名安全工程师在亚马逊云服务器上运行的应用程序中发现了一个漏洞。该漏洞允许攻击者安装恶意代码。对代码的分析表明,它以随机时间间隔批量过滤端口5353上的数据。在修补容器代码的同时,工程师如何快速识别所有受损主机并阻止5353端口上的数据流出?

  • A 启用AWS Shield Advanced和AWS WAF。为端口5353上的出口流量配置AWS WAF自定义筛选器
  • B 在Amazon ECS上启用Amazon Inspector,并配置自定义评估以评估打开端口5353的容器。更新NACL以阻止端口5353出站。
  • C 在VPC流日志上创建一个Amazon CloudWatch自定义度量,用于识别端口5353上的出口流量。更新NACL以阻止端口5353出站。
  • D 使用Amazon Athena在Amazon S3中查询AWS CloudTrail日志,并查找端口5353上的任何流量。更新安全组以阻止端口5353出站。
正确答案: C
解析: 正确答案是:C
解释:在VPC流日志中创建一个Amazon CloudWatch自定义度量,标识出在5353端口的出口流量。 更新NACL以阻止5353端口出站是立即并直接阻止数据出口的方法。 这也将有助于查明所有受损的主机,因为那些还在尝试在5353端口上发送数据的主机就是受损的主机。
Question #25 Topic 1

一家公司决定将敏感文档从本地数据中心迁移到AmazonS3。目前,硬盘驱动器经过加密,以满足有关数据加密的法规遵从性要求。CISO希望通过使用不同的密钥而不是单个密钥来加密每个文件,从而提高安全性。使用不同的密钥将限制单个公开密钥的安全影响。在实现此方法时,以下哪项需要最少的配置?

  • A 将每个文件放入不同的S3存储桶中。将每个bucket的默认加密设置为使用不同的AWS KMS客户管理密钥。
  • B 将所有文件放在同一个S3存储桶中。使用S3事件作为触发器,编写一个AWS Lambda函数,在使用不同的AWS KMS数据密钥添加每个文件时对其进行加密。
  • C 使用S3加密客户端使用S3生成的数据密钥对每个文件进行单独加密。
  • D 将所有文件放在同一个S3存储桶中。使用带有AWS KMS托管密钥(SSE-KMS)的服务器端加密来加密数据。
正确答案: A
解析: 正确答案是:B
解释:此操作需要的配置最少,因为它使用的是无服务器架构,使用S3事件触发Lambda函数执行文件加密。 这可消除手动管理加密过程的需求,并且还提供了细粒度的控制,因此满足了对每个文件使用不同密钥的要求。
上一页 下一页