A security engineer is designing security controls for a fleet of Amazon EC2 instances that run sensitive workloads in a VPC. The security engineer needs to implement a solution to detect and mitigate software vulnerabilities on the EC2 instances.
Which solution will meet this requirement?
A. Scan the EC2 instances by using Amazon Inspector. Apply security patches and updates by using AWS Systems Manager Patch Manager.
B. Install host-based firewall and antivirus software on each EC2 instance. Use AWS Systems Manager Run Command to update the firewall and antivirus software.
C. Install the Amazon CloudWatch agent on the EC2 instances. Enable detailed logging. Use Amazon EventBridge to review the software logs for anomalies.
D. Scan the EC2 instances by using Amazon GuardDuty Malware Protection. Apply security patches and updates by using AWS Systems Manager Patch Manager.
A
一名安全工程师正在为在虚拟私有云(VPC)中运行敏感工作负载的一组 Amazon EC2 实例设计安全控制措施。该安全工程师需要实施一种解决方案,以检测并缓解 EC2 实例上的软件漏洞。
本题核心是找到一种适用于在 VPC 中运行敏感工作负载的 Amazon EC2 实例的软件漏洞检测与缓解解决方案。
Amazon Inspector:是一项自动化的安全评估服务,能够帮助您检查 Amazon EC2 实例是否存在潜在的安全漏洞和偏离最佳实践的情况。
AWS Systems Manager Patch Manager:是一项用于自动化管理和部署操作系统、应用程序和其他资源补丁的服务。
基于主机的防火墙和防病毒软件:安装在单个实例上,用于监控和控制进出实例的网络流量以及检测和阻止恶意软件,但需要手动或通过其他工具进行更新管理。
Amazon CloudWatch:用于收集和跟踪指标、收集和监控日志文件、设置警报以及自动响应 AWS 资源的变化。
Amazon EventBridge:是一种服务器less 事件总线服务,允许您使用事件做出响应,以更简单的方式构建事件驱动型应用程序。
Amazon GuardDuty Malware Protection:GuardDuty 的恶意软件保护功能,用于检测 EC2 实例和容器镜像中的潜在恶意软件。
技巧:排除明显错误选项,在没有明显错误的选项中选择最合理的选项。
A. 正确。使用 Amazon Inspector 扫描 EC2 实例。使用 AWS Systems Manager Patch Manager 应用安全补丁和更新。Amazon Inspector 可以自动扫描 EC2 实例,发现软件漏洞、网络可访问性等问题。而 AWS Systems Manager Patch Manager 能够集中管理并自动部署补丁,及时修复检测到的漏洞,该方案完整地实现了对 EC2 实例软件漏洞的检测与缓解,符合题目要求。
B. 不正确。在每个 EC2 实例上安装基于主机的防火墙和防病毒软件。使用 AWS Systems Manager Run Command 更新防火墙和防病毒软件。该方案基于主机的防火墙和防病毒软件可以在一定程度上保护实例安全,但它们主要侧重于网络流量控制和恶意软件检测,对于软件漏洞的检测能力有限。而且仅通过 Run Command 更新软件,无法全面解决软件漏洞问题,不能满足题目中检测和缓解软件漏洞的需求。
C. 不正确。在 EC2 实例上安装 Amazon CloudWatch 代理。启用详细日志记录。使用 Amazon EventBridge 审查软件日志中的异常情况。但是 Amazon CloudWatch 代理和 EventBridge 主要用于监控和日志分析,通过收集和分析日志来发现异常情况。它们并不具备直接检测软件漏洞的功能,无法满足题目中对软件漏洞检测与缓解的要求。
D. 不正确。使用 Amazon GuardDuty Malware Protection 扫描 EC2 实例。使用 AWS Systems Manager Patch Manager 应用安全补丁和更新。Amazon GuardDuty Malware Protection 主要专注于检测恶意软件,对于软件漏洞的检测并非其主要功能。另外,Patch Manager 可以应用补丁,但整体方案在软件漏洞检测方面存在不足,不能很好地满足题目需求。