안녕하세요! 넥스트클라우드의 SA 손유림입니다. 😊 시간 없을 때는 핵심만! 오늘도 요점 정리로 시작합니다!
문제는 세 가지 단계를 거치며 풀어 나갈 거예요.
1. 문제의 요구사항 분석하기
2. 관련 AWS 서비스 생각하기
3. 선택지 분석하기
바로 문제 풀이 해볼까요?
문제1
회사는 AWS에 사용자 디바이스에서 센서 데이터를 수집하는 3계층 애플리케이션을 보유하고 있습니다. 트래픽은 NLB(Network Load Balancer)를 거쳐 웹 계층용 Amazon EC2 인스 턴스로 이동한 다음 마지막으로 애플리케이션 계층용 EC2 인스턴스로 이동합니다. 애플리케이션 계층은 데이터베이스를 호출합니다. 솔루션 설계자는 전송 중인 데이터의 보안을 개선하기 위해 무엇을 해야 합니까?
선택지
A. TLS 수신기를 구성합니다. NLB에 서버 인증서를 배포합니다.
B. AWS Shield Advanced를 구성합니다. NLB에서 AWS WAF를 활성화합니다.
C. 로드 밸런서를 Application Load Balancer(ALB)로 변경합니다. ALB에서 AWS WAF를 활성화합니다.
D. AWS Key Management Service(AWS KMS)를 사용하여 EC2 인스턴스에서 Amazon Elastic Block Store(Amazon EBS) 볼륨을 암호화합니다.
풀이
전송 중인 데이터의 보안을 강화하려면 네트워크를 통해 이동하는 데이터를 암호화해야 합니다. 이를 위해 NLB에서 TLS 수신기를 구성하면 사용자와 로드 밸런서 간의 통신을 암호화할 수 있습니다. TLS를 적용하는 방식이 전송 중 보안을 강화하는 적절한 해결책입니다.
정답 : A
▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.
1. 문제의 요구사항 분석하기
- 전송 중인 데이터의 보안 개선
2. 관련 AWS 서비스 생각하기
Transport Layer Security(TLS)는 네트워크 트래픽을 암호화하여 데이터의 기밀성과 무결성을 보장하는 암호화 프로토콜입니다. AWS 리소스에서 TLS를 사용하려면 TLS 인증서를 프로비저닝해야 합니다. TLS 인증서는 AWS Certificate Manager(ACM) 또는 외부 인증 기관에서 발급받을 수 있습니다.
Network Load Balancer(NLB)는 TCP 및 UDP 트래픽을 로드 밸런싱하는 서비스입니다. NLB는 대상 그룹에 등록된 리소스로 트래픽을 전달합니다. NLB에서 TLS 종료를 구성하면 TLS 인증서를 사용하여 전송 중인 데이터를 암호화할 수 있습니다. TLS 종료 후에는 NLB와 대상 그룹 간의 통신이 암호화되지 않습니다.
3. 선택지 분석하기
A. TLS 수신기를 구성합니다. NLB에 서버 인증서를 배포합니다.
→ TLS 수신기 구성과 NLB에 인증서 배포를 통해 전송 중인 데이터를 암호화할 수 있습니다.
B. AWS Shield Advanced를 구성합니다. NLB에서 AWS WAF를 활성화합니다.
→ Shield Advanced와 WAF는 DDoS 공격과 웹 애플리케이션 공격으로부터 보호하기 위한 서비스입니다. 데이터 암호화 요구사항을 충족하지 않습니다.
C. 로드 밸런서를 Application Load Balancer(ALB)로 변경합니다. ALB에서 AWS WAF를 활성화합니다.
→ ALB와 WAF도 마찬가지로 데이터 암호화 요구사항을 충족하지 않습니다.
D. AWS Key Management Service(AWS KMS)를 사용하여 EC2 인스턴스에서 Amazon Elastic Block Store(Amazon EBS) 볼륨을 암호화합니다.
→ EBS 볼륨 암호화는 유휴 데이터 보안에는 도움이 되지만 전송 중인 데이터 암호화 요구사항을 충족하지 않습니다.
이어서 다음 문제입니다.
문제2
회사에서 새로운 웹 기반 고객 관계 관리 애플리케이션을 구축하고 있습니다. 애플리케이션은 Application Load Balancer(ALB) 뒤에 있는 Amazon Elastic Block Store(Amazon EBS) 볼륨이 지원하는 여러 Amazon EC2 인스턴스를 사용합니다. 이 애플리케이션은 Amazon Aurora 데이터베이스도 사용합니다. 애플리케이션의 모든 데이터는 유휴 및 전송 중에 암호화되어야 합니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
선택지
A. ALB에서 AWS Key Management Service(AWS KMS) 인증서를 사용하여 전송 중인 데이터를 암호화합니다. AWS Certificate Manager(ACM)를 사용하여 유휴 상태의 EBS 볼륨 및 Aurora 데이터베이스 스토리지를 암호화합니다.
B. AWS 루트 계정을 사용하여 AWS Management Console에 로그인합니다. 회사의 암호화 인증서를 업로드합니다. 루트 계정에 있는 동안 계정의 저장 및 전송 중인 모든 데이터에 대 해 암호화를 켜는 옵션을 선택합니다.
C. AWS Key Management Service(AWS KMS)를 사용하여 유휴 상태의 EBS 볼륨 및 Aurora 데이터베이스 스토리지를 암호화합니다. ALB에 AWS Certificate Manager (ACM) 인증서를 연결하여 전송 중인 데이터를 암호화합니다.
D. BitLocker를 사용하여 유휴 상태의 모든 데이터를 암호화합니다. 회사의 TLS 인증서 키를 AWS Key Management Service(AWS KMS)로 가져옵니다. KMS 키를 ALB에 연결하여 전송 중인 데이터를 암호화합니다.
풀이
전송 중 데이터 암호화를 위해서는 ALB에 ACM 인증서를 연결하여 HTTPS 통신을 적용해야 합니다. 유휴 데이터 암호화는 KMS를 통해 EBS 볼륨과 Aurora 스토리지에 기본 제공되는 암호화 기능을 사용하면 됩니다.
정답 : C
▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.
1. 문제의 요구사항 분석하기
- 유휴 상태와 전송 중인 데이터의 암호화
2. 관련 AWS 서비스 생각하기
AWS Key Management Service(KMS)는 암호화 키를 생성, 관리 및 사용할 수 있는 관리형 서비스입니다. KMS를 사용하여 유휴 데이터를 암호화할 수 있습니다. Amazon Elastic Block Store(EBS) 볼륨과 Amazon Aurora 데이터베이스 클러스터 스토리지는 KMS 키로 암호화가 가능합니다.
AWS Certificate Manager(ACM)는 SSL/TLS 인증서를 프로비저닝, 관리 및 배포하는 서비스입니다. ACM 인증서를 Application Load Balancer(ALB)에 배포하면 ALB와 클라이언트 간의 통신이 암호화되어 전송 중인 데이터를 보호할 수 있습니다.
3. 선택지 분석하기
A. ALB에서 AWS Key Management Service(AWS KMS) 인증서를 사용하여 전송 중인 데이터를 암호화합니다. AWS Certificate Manager(ACM)를 사용하여 유휴 상태의 EBS 볼륨 및 Aurora 데이터베이스 스토리지를 암호화합니다.
→ KMS는 암호화 키 관리를 위한 서비스이므로 인증서를 제공하지 않습니다. 전송 데이터 암호화에는 ACM 인증서를 사용해야 합니다.
B. AWS 루트 계정을 사용하여 AWS Management Console에 로그인합니다. 회사의 암호화 인증서를 업로드합니다. 루트 계정에 있는 동안 계정의 저장 및 전송 중인 모든 데이터에 대해 암호화를 켜는 옵션을 선택합니다.
→ 루트 계정을 사용하여 전체 계정에 암호화를 적용하는 것은 바람직하지 않으며, 리소스별로 세부적인 암호화 설정이 필요합니다.
C. AWS Key Management Service(AWS KMS)를 사용하여 유휴 상태의 EBS 볼륨 및 Aurora 데이터베이스 스토리지를 암호화합니다. ALB에 AWS Certificate Manager(ACM) 인증서를 연결하여 전송 중인 데이터를 암호화합니다.
→ 이 옵션은 KMS를 사용하여 유휴 데이터를 암호화하고, ACM 인증서를 사용하여 전송 중인 데이터를 암호화하므로 요구사항을 모두 충족합니다.
D. BitLocker를 사용하여 유휴 상태의 모든 데이터를 암호화합니다. 회사의 TLS 인증서 키를 AWS Key Management Service(AWS KMS)로 가져옵니다. KMS 키를 ALB에 연결하여 전송 중인 데이터를 암호화합니다.
→ BitLocker는 Windows 운영 체제에서 사용하는 디스크 암호화 기능으로, AWS 서비스에 직접 적용할 수 없습니다. 또한 KMS는 인증서 키 관리에 사용되지 않습니다.
마지막 문제 살펴볼게요.
문제3
한 회사에서 Amazon Route 53 지연 시간 기반 라우팅을 사용하여 전 세계 사용자를 위해 UDP 기반 애플리케이션으로 요청을 라우팅 하고 있습니다. 이 애플리케이션은 미국, 아시아 및 유 럽에 있는 회사의 온프레미스 데이터 센터에 있는 중복 서버에서 호스팅 됩니다. 회사의 규정 준수 요구 사항에 따르면 애플리케이션은 온프레미스에서 호스팅 되어야 합니다. 회사는 애플리케이션의 성능과 가용성을 개선하고자 합니다. 솔루션 설계자는 이러한 요구 사항을 충족하기 위해 무엇을 해야 합니까?
선택지
A. 3개의 AWS 리전에서 3개의 NLB(Network Load Balancer)를 구성하여 온프레미스 엔드포인트를 처리합니다. AWS Global Accelerator를 사용하여 가속기를 생성하고 NLB를 엔드포인트로 등록합니다. 가속기 DNS를 가리키는 CNAME을 사용하여 애플리케이션에 대한 액세스를 제공합니다.
B. 3개의 AWS 리전에서 3개의 Application Load Balancer(ALB)를 구성하여 온프레미스 엔드포인트를 처리합니다. AWS Global Accelerator를 사용하여 가속기를 생성하고 ALB를 엔드포인트로 등록합니다. 가속기 DNS를 가리키는 CNAME을 사용하여 애플리케이션에 대한 액세스를 제공합니다.
C. 3개의 AWS 리전에서 3개의 NLB(Network Load Balancer)를 구성하여 온프레미스 엔드포인트를 처리합니다. Route 53에서 3개의 NLB를 가리키는 지연 시간 기반 레코드를 생 성하고 이를 Amazon CloudFront 배포의 오리진으로 사용합니다. CloudFront DNS를 가리키는 CNAME을 사용하여 애플리케이션에 대한 액세스를 제공합니다.
D. 온프레미스 엔드포인트를 처리하기 위해 3개의 AWS 리전에서 3개의 ALB(Application Load Balancer)를 구성합니다. Route 53에서 3개의 ALB를 가리키는 지연 시간 기반 레코 드를 생성하고 이를 Amazon CloudFront 배포의 오리진으로 사용합니다. CloudFront DNS를 가리키는 CNAME을 사용하여 애플리케이션에 대한 액세스를 제공합니다.
풀이
Route 53의 지연 시간 기반 라우팅은 기본 기능이지만, UDP 트래픽 최적화 및 글로벌 장애 조치 기능은 제공하지 않기 때문에 AWS Global Accelerator가 필요하며, 이는 UDP를 지원하는 NLB와 함께 사용하면 됩니다.
정답 : A
▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.
1. 문제의 요구사항 분석하기
- 애플리케이션의 성능과 가용성 개선
- 애플리케이션은 온프레미스에서 호스팅되어야 함
2. 관련 AWS 서비스 생각하기
AWS Global Accelerator는 애플리케이션의 가용성과 성능을 향상시키는 서비스입니다. 글로벌 네트워크를 통해 엔드포인트 간 트래픽을 최적화하고 오버프로비저닝을 방지하여 비용을 절감할 수 있습니다. 가속기는 두 개의 애니캐스트 IP 주소를 제공하여 애플리케이션에 대한 인그레스 및 에그레스 트래픽 둘 다를 가속화합니다. Global Accelerator는 TCP 및 UDP 프로토콜을 모두 지원합니다.
Network Load Balancer(NLB)는 TCP 및 UDP 트래픽을 로드 밸런싱하는 서비스입니다. 단일 게이트웨이로 작동하여 애플리케이션 인스턴스로 인그레스 트래픽을 분산합니다. NLB는 온프레미스 엔드포인트를 등록할 수 있으므로 온프레미스 애플리케이션과 통합할 수 있습니다.
3. 선택지 분석하기
A. 3개의 AWS 리전에서 3개의 NLB(Network Load Balancer)를 구성하여 온프레미스 엔드포인트를 처리합니다. AWS Global Accelerator를 사용하여 가속기를 생성하고 NLB를 엔드포인트로 등록합니다. 가속기 DNS를 가리키는 CNAME을 사용하여 애플리케이션에 대한 액세스를 제공합니다.
→ 이 옵션은 Global Accelerator와 NLB를 통해 애플리케이션의 가용성과 성능을 개선하면서도 온프레미스 호스팅 요구사항을 충족합니다.
B. 3개의 AWS 리전에서 3개의 Application Load Balancer(ALB)를 구성하여 온프레미스 엔드포인트를 처리합니다. AWS Global Accelerator를 사용하여 가속기를 생성하고 ALB를 엔드포인트로 등록합니다. 가속기 DNS를 가리키는 CNAME을 사용하여 애플리케이션에 대한 액세스를 제공합니다.
→ ALB는 UDP 트래픽을 처리할 수 없으므로 이 옵션은 적절하지 않습니다.
C. 3개의 AWS 리전에서 3개의 NLB(Network Load Balancer)를 구성하여 온프레미스 엔드포인트를 처리합니다. Route 53에서 3개의 NLB를 가리키는 지연 시간 기반 레코드를 생성하고 이를 Amazon CloudFront 배포의 오리진으로 사용합니다. CloudFront DNS를 가리키는 CNAME을 사용하여 애플리케이션에 대한 액세스를 제공합니다.
→ CloudFront는 HTTP/HTTPS 트래픽만 처리할 수 있으므로 UDP 기반 애플리케이션에는 적합하지 않습니다.
D. 온프레미스 엔드포인트를 처리하기 위해 3개의 AWS 리전에서 3개의 ALB(Application Load Balancer)를 구성합니다. Route 53에서 3개의 ALB를 가리키는 지연 시간 기반 레코드를 생성하고 이를 Amazon CloudFront 배포의 오리진으로 사용합니다. CloudFront DNS를 가리키는 CNAME을 사용하여 애플리케이션에 대한 액세스를 제공합니다.
→ ALB와 CloudFront 모두 UDP 트래픽을 처리할 수 없습니다.
작은 성취도 쌓이면 큰 힘이 됩니다. 오늘도 수고 많으셨어요!!
감사합니다. 다음 글에서 만나요! 😊
'AWS > SAA 준비' 카테고리의 다른 글
| AWS SAA 합격으로 가는 길 #97 (0) | 2025.07.04 |
|---|---|
| AWS SAA 합격으로 가는 길 #96 (1) | 2025.06.30 |
| AWS SAA 합격으로 가는 길 #94 (2) | 2025.06.23 |
| AWS SAA 합격으로 가는 길 #93 (2) | 2025.06.20 |
| AWS SAA 합격으로 가는 길 #92 (0) | 2025.06.16 |
