2025年AWS认证VPC网络数据泄露防护专题试卷及解析.pdfVIP

2025年AWS认证VPC网络数据泄露防护专题试卷及解析1

2025年AWS认证VPC网络数据泄露防护专题试卷及解

析

2025年AWS认证VPC网络数据泄露防护专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSVPC中，以下哪种安全组规则最可能导致数据泄露风险？

A、仅允许来自特定IP的入站HTTP流量

B、允许所有出站流量到/0

C、限制SSH访问仅来自堡垒机

D、使用NACL限制子网间流量

【答案】B

【解析】正确答案是B。允许所有出站流量到/0意味着EC2实例可以不受

限制地访问互联网，可能被恶意软件利用向外传输数据。A选项限制了入站流量来源，

C选项通过堡垒机实现访问控制，D选项使用NACL增加额外防护层。知识点：安全

组出站规则默认允许所有流量，这是常见的安全盲点。易错点：用户往往只关注入站规

则而忽略出站规则。

2、以下哪种AWS服务最适合检测VPC内异常的数据传输模式？

A、AWSGuardDuty

B、AWSWAF

C、AWSShield

D、AWSInspector

【答案】A

【解析】正确答案是A。GuardDuty可以监控VPCFlowLogs和DNS日志，检测

异常数据传输模式。B选项专注于Web应用防火墙，C选项是DDoS防护，D选项是

应用程序安全评估。知识点：GuardDuty的威胁检测能力。易错点：容易混淆不同安全

服务的适用场景。

3、当使用VPC端点访问S3时，以下哪种配置最能防止数据泄露？

A、使用网关端点并附加端点策略

B、使用接口端点并启用私有DNS

C、完全禁用互联网网关

D、仅允许特定IAM角色访问

【答案】A

【解析】正确答案是A。网关端点配合端点策略可以严格控制S3访问权限，避免数

据通过公网传输。B选项接口端点会产生额外成本，C选项过于极端影响正常业务，D

2025年AWS认证VPC网络数据泄露防护专题试卷及解析2

选项仅控制IAM权限。知识点：VPC端点类型及策略控制。易错点：忽略端点策略的

重要性。

4、以下哪种CloudWatch日志组合最适合检测数据泄露事件？

A、VPCFlowLogs+CloudTrail

B、EC2系统日志+RDS慢查询日志

C、ELB访问日志+Lambda日志

D、Route53查询日志+S3访问日志

【答案】A

【解析】正确答案是A。VPCFlowLogs记录网络流量，CloudTrail记录API操作，

两者结合可全面监控数据访问。其他选项组合不够全面。知识点：日志监控的重要性。

易错点：单一日志源难以提供完整视图。

5、在VPC中部署数据库时，以下哪种网络设计最安全？

A、公有子网中部署并启用安全组

B、私有子网中部署并禁用公网IP

C、公有子网中部署但限制安全组

D、私有子网中部署但开放所有端口

【答案】B

【解析】正确答案是B。私有子网配合无公网IP设计可完全隔离数据库。A和C

选项仍暴露在公网，D选项过于宽松。知识点：子网类型选择原则。易错点：误以为安

全组可以完全替代网络隔离。

6、以下哪种NACL配置可能导致数据泄露？

A、默认入站拒绝，出站允许

B、明确允许所需端口，其余拒绝

C、临时开放所有端口用于测试

D、使用有状态规则跟踪连接

【答案】C

【解析】正确答案是C。临时开放所有端口会暴露服务，测试后可能忘记关闭。A选

项是默认安全配置，B选项遵循最小权限原则，D选项NACL实际是无状态的。知识

点：NACL配置最佳实践。易错点：测试环境的临时配置常被忽略。

7、使用AWSTransitGateway时，以下哪种方法可防止跨账户数据泄露？

A、启用路由传播限