AWS安全专项考试样题：VPC与KMS安全通信策略

"AWS-Certified-Security-Specialty_Sample-Questions.pdf 是一份2020年的AWS安全专项认证考试的样题集，旨在帮助考生准备AWS安全相关的专业知识。内容涉及AWS的安全策略、VPC与KMS的通信、日志管理以及应用程序的安全配置等。" 在这份样题集中，我们看到以下几个重要的AWS安全知识点： 1. VPC与KMS的通信策略： - 问题1提到公司要求VPC与KMS之间的通信完全在AWS网络内部进行，不使用公共服务终端节点。为了满足这一要求，正确做法是： - B) 从VPC中删除VPC Internet网关，添加虚拟专用网关以防止直接的公共互联网连接，确保所有流量都在私有网络内。 - C) 为AWS KMS创建VPC终端节点并启用私有DNS，这使得KMS的调用可以在VPC内部完成，无需通过公共互联网。 - A) 添加aws:sourceVpce条件到密钥策略是用于限制请求来源，但不保证通信在AWS网络内部。 - D) KMS导入密钥功能是用于导入现有密钥到KMS，与通信路径无关。 - E) 添加aws:SourceIp条件控制源IP，但不能确保通信只在VPC内部。 2. 日志管理与安全： - 问题2涉及到安全团队希望将两个应用程序的日志分开存储，其中一个应用程序的日志包含敏感数据。最佳解决方案是： - B) 使用Amazon CloudWatch Logs的两个日志组，每个对应一个应用程序，并通过IAM策略控制对日志组的访问权限。这样可以最小化风险，因为可以直接限制对包含敏感数据日志组的访问。 - A) 使用Lambda函数解析日志并移动敏感数据可能会增加复杂性和潜在的安全风险。 - C) 将多个日志聚合到一起再筛选敏感数据可能导致不必要的数据暴露。 - D) 在应用程序中处理敏感日志并使用批处理脚本移动可能会引入额外的安全风险和管理负担。 3. 应用程序的安全配置： - 虽然问题3的内容没有给出，但在三层应用程序的背景下，安全工程师可能需要考虑配置如安全组、网络ACLs、IAM角色和策略，以及使用AWS服务如WAF (Web Application Firewall) 来保护应用程序的入口点，确保数据的加密传输，并实施严格的访问控制。 AWS的安全专项认证涵盖广泛的主题，包括身份和访问管理（IAM）、数据保护、网络与内容分发、合规性、基础设施安全性以及风险管理等。这些问题体现了考生需要理解如何在AWS环境中实施有效的安全策略，保护数据，并遵循最佳实践。