AWS SAA 합격으로 가는 길 #24

안녕하세요! 넥스트클라우드의 SA 백종훈입니다. 😊

 

문제는 세 가지 단계를 거치며 풀어 나갈 거예요.

1. 문제의 요구사항 분석하기

2. 관련 AWS 서비스 생각하기

3. 선택지 분석하기

 

---

문제1

개발 팀이 개발 VPC 내부의 Amazon EC2 인스턴스에서 호스팅되는 새로운 애플리케이션을 출시했습니다. 솔루션 설계자는 동일한 계정에 새 VPC를 생성해야 합니다. 새 VPC는 개발 VPC와 피어링됩니다. 개발용 VPC의 VPC CIDR 블록은 192.168.0.0/24입니다. 솔루션 설계자는 새 VPC에 대한 CIDR 블록을 생성해야 합니다. CIDR 블록은 개발 VPC에 대한 VPC 피어링 연결에 대해 유효해야 합니다.

이러한 요구 사항을 충족하는 가장 작은 CIDR 블록은 무엇입니까?

 

선택지

A. 10.0.1.0/32

B. 192.168.0.0/24

C. 192.168.1.0/32

D. 10.0.1.0/24

---

풀이

이는 개발 VPC의 CIDR 블록(192.168.0.0/24)과 겹치지 않는 유효한 CIDR 블록입니다. /24는 256개의 IP 주소를 제공하며, 주어진 선택지 중 가장 작은 유효한 CIDR 블록입니다.

정답 : D

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1. 문제의 요구사항 분석하기

• 개발 VPC의 CIDR 블록: 192.168.0.0/24
• 새로운 VPC 생성 필요
• 새 VPC는 개발 VPC와 피어링 되어야 함
• 새 VPC의 CIDR 블록은 개발 VPC와 겹치지 않아야 함
• 가장 작은 유효한 CIDR 블록을 찾아야 함

2. 관련 AWS 서비스 생각하기

• Amazon VPC (Virtual Private Cloud):
  • AWS 계정 전용의 가상 네트워크를 제공합니다.
  • CIDR 블록을 사용하여 IP 주소 범위를 정의합니다.
  • VPC 피어링을 통해 서로 다른 VPC 간 통신이 가능합니다.
• VPC 피어링:
  • 두 VPC 간 직접적인 네트워크 연결을 제공합니다.
  • 피어링된 VPC 간 CIDR 블록이 겹치지 않아야 합니다.

3. 선택지 분석하기

A. 10.0.1.0/32

→ /32는 단일 IP 주소를 의미합니다. VPC에는 너무 작은 범위입니다.

 

B. 192.168.0.0/24

→ 이는 개발 VPC와 동일한 CIDR 블록입니다. VPC 피어링을 위해서는 겹치지 않아야 하므로 적합하지 않습니다.

 

C. 192.168.1.0/32

→ /32는 단일 IP 주소를 의미합니다. VPC에는 너무 작은 범위입니다.

 

D. 10.0.1.0/24

→ 이는 개발 VPC의 CIDR 블록(192.168.0.0/24)과 겹치지 않는 유효한 CIDR 블록입니다. /24는 256개의 IP 주소를 제공하며, 주어진 선택지 중 가장 작은 유효한 CIDR 블록입니다.

 

이어서 다음 문제입니다.

---

문제2

한 회사가 AWS Lake Formation을 사용하여 AWS에 데이터 분석 플랫폼을 구축하고 있습니다. 플랫폼은 Amazon S3 및 Amazon RDS와 같은 다양한 소스에서 데이터를 수집합니다 . 회사에는 민감한 정보가 포함된 데이터 부분에 대한 액세스를 방지하기 위한 보안 솔루션이 필요합니다.

최소한의 운영 오버헤드로 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

 

선택지

A. Lake Formation 테이블에 액세스할 수 있는 권한이 포함된 IAM 역할을 생성합니다.

B. 행 수준 보안과 셀 수준 보안을 구현하기 위한 데이터 필터를 만듭니다.

C. Lake Formation이 데이터를 수집하기 전에 민감한 정보를 제거하는 AWS Lambda 함수를 생성합니다.

D. Lake Formation 테이블에서 민감한 정보를 주기적으로 쿼리하고 제거하는 AWS Lambda 함수를 생성합니다.

---

풀이

Lake Formation의 데이터 필터 기능을 사용하면 행 수준 및 열 수준의 세밀한 액세스 제어가 가능합니다. 이는 민감한 정보에 대한 액세스를 효과적으로 제한할 수 있으며, Lake Formation의 기본 기능을 활용하므로 운영 오버헤드가 최소화됩니다.

 

정답 : B

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요. 

1. 문제의 요구사항 분석하기

• AWS Lake Formation을 사용한 데이터 분석 플랫폼 구축
• Amazon S3 및 Amazon RDS 등 다양한 소스에서 데이터 수집
• 민감한 정보가 포함된 데이터 부분에 대한 액세스 방지 필요
• 최소한의 운영 오버헤드로 솔루션 구현

2. 관련 AWS 서비스 생각하기

• AWS Lake Formation:
  • 데이터 레이크를 쉽게 설정, 보안 및 관리할 수 있게 해주는 서비스입니다.
  • 세분화된 액세스 제어 기능을 제공하며, 데이터 필터링 및 마스킹 기능을 지원합니다.
  • 행 수준 및 열 수준의 보안을 구현할 수 있어 민감한 정보에 대한 액세스를 효과적으로 제어할 수 있습니다.
  • 다양한 데이터 소스(S3, RDS 등)로부터 데이터를 수집하고 통합할 수 있습니다.
  • 최소한의 운영 오버헤드로 데이터 보안을 관리할 수 있습니다.

 

3. 선택지 분석하기

A. Lake Formation 테이블에 액세스할 수 있는 권한이 포함된 IAM 역할을 생성합니다.

→ 이 방법은 테이블 수준의 액세스 제어만 제공하며, 민감한 정보가 포함된 특정 데이터 부분에 대한 세밀한 액세스 제어를 제공하지 않습니다.

 

B. 행 수준 보안과 셀 수준 보안을 구현하기 위한 데이터 필터를 만듭니다.

→ Lake Formation의 데이터 필터 기능을 사용하면 행 수준 및 열 수준의 세밀한 액세스 제어가 가능합니다. 이는 민감한 정보에 대한 액세스를 효과적으로 제한할 수 있으며, Lake Formation의 기본 기능을 활용하므로 운영 오버헤드가 최소화됩니다.

 

C. Lake Formation이 데이터를 수집하기 전에 민감한 정보를 제거하는 AWS Lambda 함수를 생성합니다.

→ 이 방법은 데이터를 영구적으로 변경하므로 원본 데이터의 무결성을 해칠 수 있습니다. 또한 Lambda 함수를 관리해야 하므로 운영 오버헤드가 증가할 수 있습니다.

 

D. Lake Formation 테이블에서 민감한 정보를 주기적으로 쿼리하고 제거하는 AWS Lambda 함수를 생성합니다.

→ 이 방법도 데이터를 영구적으로 변경하며, Lambda 함수의 주기적인 실행과 관리로 인해 운영 오버헤드가 증가합니다.

 

 

마지막 문제 살펴볼게요.

---

문제3

미디어 회사는 AWS에서 웹 사이트를 호스팅합니다. 웹 사이트 애플리케이션의 아키텍처에는 ALB(Application Load Balancer) 뒤에 있는 Amazon EC2 인스턴스 플릿과 Amazon Aurora에서 호스팅되는 데이터베이스가 포함됩니다. 회사의 사이버 보안 팀은 애플리케이션이 SQL 주입에 취약하다고 보고합니다.

회사는 이 문제를 어떻게 해결해야 할까요?

 

선택지

A. ALB 앞에서 AWS WAF를 사용합니다. 적절한 웹 ACL을 AWS WAF와 연결합니다.

B. 고정 응답으로 SQL 주입에 응답하는 ALB 수신기 규칙을 생성합니다.

C. 모든 SQL 삽입 시도를 자동으로 차단하려면 AWS Shield Advanced에 가입하십시오.

D. 모든 SQL 주입 시도를 자동으로 차단하도록 Amazon Inspector를 설정합니다.

 

 

풀이

이 방법은 SQL 주입 공격을 효과적으로 방어할 수 있습니다. AWS WAF는 SQL 주입을 포함한 다양한 웹 공격에 대한 사전 정의된 규칙을 제공하며, 커스텀 규칙도 생성할 수 있습니다. ALB와 직접 통합되어 사용할 수 있어 구현이 쉽고 효율적입니다.

정답 : A

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1. 문제의 요구사항 분석하기

• AWS에서 호스팅되는 웹사이트
• ALB 뒤에 있는 EC2 인스턴스 플릿과 Amazon Aurora 데이터베이스 사용
• SQL 주입 취약점 해결 필요

2. 관련 AWS 서비스 생각하기

• AWS WAF (Web Application Firewall):
  • 웹 애플리케이션을 보호하는 방화벽 서비스입니다.
  • SQL 주입을 포함한 일반적인 웹 공격을 차단하는 규칙을 설정할 수 있습니다.
  • Application Load Balancer와 직접 통합되어 사용할 수 있습니다.
  • 커스텀 규칙을 생성하여 특정 유형의 요청을 필터링하거나 차단할 수 있습니다.

3. 선택지 분석하기

A. ALB 앞에서 AWS WAF를 사용합니다. 적절한 웹 ACL을 AWS WAF와 연결합니다.

→ 이 방법은 SQL 주입 공격을 효과적으로 방어할 수 있습니다. AWS WAF는 SQL 주입을 포함한 다양한 웹 공격에 대한 사전 정의된 규칙을 제공하며, 커스텀 규칙도 생성할 수 있습니다. ALB와 직접 통합되어 사용할 수 있어 구현이 쉽고 효율적입니다.

 

B. 고정 응답으로 SQL 주입에 응답하는 ALB 수신기 규칙을 생성합니다.

→ 이 방법은 SQL 주입 공격을 완전히 방어하기에는 제한적입니다. ALB 수신기 규칙은 복잡한 패턴 매칭이나 고급 보안 기능을 제공하지 않아, 모든 유형의 SQL 주입 공격을 감지하고 차단하기 어렵습니다.

 

C. 모든 SQL 삽입 시도를 자동으로 차단하려면 AWS Shield Advanced에 가입하십시오.

→ AWS Shield Advanced는 주로 DDoS(분산 서비스 거부) 공격에 대한 보호를 제공합니다. SQL 주입과 같은 애플리케이션 계층의 공격을 방어하는 데는 적합하지 않습니다.

 

D. 모든 SQL 주입 시도를 자동으로 차단하도록 Amazon Inspector를 설정합니다.

→ Amazon Inspector는 EC2 인스턴스의 취약점을 스캔하고 보안 평가를 수행하는 서비스입니다. 실시간으로 SQL 주입 공격을 감지하고 차단하는 기능은 제공하지 않습니다.

 

"지식을 얻는 것은 하나의 과정이며, 그 과정을 즐기는 것이 중요하다." - 아인슈타인