[AWS Secyrity Specialty] 문제풀이-1

문제1

질문	보안 팀은 이전 직원이 식별된 액세스 키를 사용하여 지난 3개월 동안 AWS 리소스에 대한 무단 액세스 권한을 얻었을 수 있다고 생각합니다. 이전 직원이 AWS 내에서 수행했을 수 있는 작업을 보안 팀이 찾을 수 있는 접근 방식은 무엇입니까?
보기	A. AWS CloudTrail 콘솔을 사용하여 사용자 활동을 검색합니다. B. Amazon CloudWatch Logs 콘솔을 사용하여 CloudTrail 데이터를 사용자별로 필터링합니다. C. AWS Config를 사용하여 사용자가 수행한 작업을 확인합니다. D. Amazon Athena를 사용하여 Amazon S3에 저장된 CloudTrail 로그를 쿼리합니다.
정답	A
풀이	AWS CloudTrail은 AWS에서 제공하는 로깅 서비스로, AWS 계정에서 수행되는 API 호출 및 관리 작업을 모두 기록합니다. 이전 직원이 AWS 리소스에 대한 무단 액세스 권한을 얻었다면, 해당 직원이 AWS 리소스에 대한 API 호출 및 관리 작업을 수행했을 가능성이 높습니다. AWS CloudTrail을 사용하여 해당 직원의 API 호출 및 관리 작업을 검색하고 이를 분석하여 무단 액세스 권한을 얻었을 가능성이 높은 작업을 찾을 수 있습니다.   그러나 CloudWatch Logs, AWS Config, Amazon Athena도 유용한 도구이며, AWS 리소스에 대한 보안 검토 및 탐지를 위해 사용될 수 있습니다. CloudWatch Logs는 CloudTrail 로그를 보고 분석할 수 있으며, AWS Config는 AWS 리소스 구성을 검사하고 이를 모니터링하는 데 사용될 수 있습니다. Amazon Athena를 사용하여 S3에 저장된 CloudTrail 로그를 쿼리하면 다양한 데이터 분석 작업을 수행할 수 있습니다.

 

문제2

질문	회사에서 Amazon S3 Glacier에 데이터를 저장하고 있습니다. 보안 엔지니어는 10TB 데이터에 대한 새로운 볼트 잠금 정책을 구현하고 12시간 전에 시작-볼트-잠금 작업을 호출했습니다. 감사 팀은 볼트에 대한 의도하지 않은 액세스를 허용하는 정책의 오타를 식별했습니다. 이 문제를 해결하는 가장 비용 효율적인 방법은 무엇입니까?
보기	A. abort-vault-lock 작업을 호출합니다. 정책을 업데이트합니다. initial-vault-lock 작업을 다시 호출합니다. B. 볼트 데이터를 새 S3 버킷에 복사합니다. 볼트를 삭제합니다. 데이터로 새 볼트를 생성합니다. C. 볼트 잠금을 제자리에 유지하도록 정책을 업데이트합니다. D. 정책을 업데이트합니다. 새 정책을 적용하려면 초기화-볼트-잠금 작업을 다시 호출하십시오.
정답	A
풀이	저장소(볼트) 잠금 정책 시작 후, 잠금 정책 완료 작업을 수행하지 않았다면 24시간 동안 해당 정책에 대한 유효성 검증 및 삭제가 가능합니다. 따라서 감사 팀이 보안 엔지니어가 구현한 S3 Glacier 볼트 잠금 정책에서 오타를 식별했다면, 이 문제를 해결하기 위해 가장 비용 효율적인 방법은 다음과 같습니다.   1. abort-vault-lock 작업을 호출하여 현재 볼트 잠금 설정을 취소합니다. 2. 정책을 업데이트하여 볼트에 대한 올바른 권한을 부여합니다. 3. initial-vault-lock 작업을 다시 호출하여 변경된 보안 정책을 기반으로 볼트를 다시 잠급니다.   위의 세 가지 단계를 따르면 S3 Glacier 볼트 잠금 설정이 업데이트되고 새로운 권한이 적용될 수 있습니다. 이 방법은 볼트를 다시 생성하거나 데이터를 새 버킷으로 이동할 필요가 없으므로 비용 효율적인 방법입니다.

 

문제3

질문	회사는 기존 Microsoft Active Directory에 정의된 자격 증명 및 그룹을 사용하여 AWS 리소스에 대한 액세스를 제어하려고 합니다. 회사는 AWS 서비스에 대한 권한을 Active Directory 사용자 속성에 매핑하기 위해 AWS 계정에서 무엇을 생성해야 합니까?
보기	A. AWS IAM 그룹 B. AWS IAM 사용자 C. AWS IAM 역할 D. AWS IAM 액세스 키
정답	C
풀이	AWS 리소스에 대한 액세스를 제어하려는 경우, AWS 계정에서 Active Directory 사용자와 AWS 서비스의 권한을 매핑하려면 AWS IAM 역할을 생성해야 합니다.   IAM 역할은 AWS 리소스에 대한 액세스를 제어하는 데 사용되는 AWS Identity and Access Management(IAM)의 기능 중 하나입니다. IAM 역할은 다른 AWS 계정, AWS 서비스 또는 외부 ID(예: Microsoft Active Directory 사용자)에 의해 사용될 수 있습니다. IAM 역할은 AWS 리소스에 대한 권한을 정의하는 IAM 정책을 가지고 있습니다. 이러한 IAM 정책은 AWS 리소스에 대한 권한 부여 규칙을 지정하는 데 사용됩니다.   따라서, 회사가 기존 Microsoft Active Directory에 정의된 자격 증명 및 그룹을 사용하여 AWS 리소스에 대한 액세스를 제어하려는 경우, AWS 계정에서 IAM 역할을 생성하여 Active Directory 사용자 속성과 AWS 서비스의 권한을 매핑할 수 있습니다. IAM 역할은 Active Directory 사용자와 AWS 리소스 간에 중간 매개 역할을 수행할 수 있습니다.

 

문제4

질문	한 회사가 여러 AWS 계정을 감사하기 위해 타사와 계약했습니다. 감사를 활성화하기 위해 감사 대상 각 계정에 교차 계정 IAM 역할이 생성되었습니다. 감사자가 일부 계정에 액세스하는 데 문제가 있습니다. 다음 중 이 문제를 일으킬 수 있는 것은 무엇입니까? (3개를 선택하세요.)
보기	A. Auditor가 사용하는 외부 ID가 없거나 잘못되었습니다. B. 감사인이 잘못된 비밀번호를 사용하고 있습니다. C. 대상 계정의 역할에 대해 감사자에게 sts:AssumeRole이 부여되지 않았습니다. D. 감사자가 사용하는 Amazon EC2 역할은 대상 계정 역할로 설정되어야 합니다. E. 감사자가 사용하는 비밀 키가 없거나 잘못되었습니다. F. 감사자가 사용하는 역할 ARN이 누락되었거나 올바르지 않습니다.
정답	A, C, F
풀이	감사자가 일부 계정에 액세스하는 데 문제가 있을 때 발생할 수 있는 원인은 다음과 같습니다.   C. 대상 계정의 역할에 대해 감사자에게 sts:AssumeRole이 부여되지 않았습니다. F. 감사자가 사용하는 역할 ARN이 누락되었거나 올바르지 않습니다. A. Auditor가 사용하는 외부 ID가 없거나 잘못되었습니다.   따라서 C, F, A 세 가지 옵션이 이 문제를 일으킬 수 있는 가능성이 높습니다.   B는 잘못된 비밀번호를 사용할 경우에는 해당 IAM 사용자 또는 역할에 대한 액세스 권한이 거부되지만, IAM 역할에 대한 교차 계정 액세스를 위해 비밀번호를 사용하는 것이 아니기 때문에 이 옵션은 이 문제를 일으키는 원인이 아닙니다.   D는 Amazon EC2 인스턴스에서 실행되는 IAM 역할은 대상 계정 역할로 설정되어야 하지만, 이 문제의 문제점은 AWS 계정 간의 IAM 역할을 통한 교차 계정 액세스이므로, D는 이 문제를 일으키는 원인이 아닙니다.   E는 잘못된 비밀 키를 사용하면 액세스 권한이 거부되므로 이 옵션은 문제의 원인이 될 수 있지만, 이 문제의 원인이 될 가능성은 상대적으로 낮습니다.

 

문제5

질문	규정 준수 요구 사항에 따르면 회사 온프레미스 호스트와 EC2 인스턴스 간의 모든 통신은 전송 중에 암호화됩니다. 호스트는 통신을 위해 사용자 지정 독점 프로토콜을 사용하고 EC2 인스턴스는 가용성 향상을 위해 로드 밸런서 앞에 있어야 합니다. 다음 중 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
보기	A. SSL 종료를 Classic Load Balancer의 SSL 수신기로 오프로드하고 로드 밸런서와 EC2 인스턴스 간에 TCP 연결을 사용합니다. B. Classic Load Balancer의 TCP 수신기를 통해 모든 트래픽을 라우팅하고 EC2 인스턴스에서 TLS 연결을 종료합니다. C. Application Load Balancer를 사용하여 HTTPS 리스너를 생성하고 해당 로드 밸런서를 통해 모든 통신을 라우팅합니다. D. Application Load Balancer를 사용하여 SSL 종료를 SSL 수신기로 오프로드하고 로드 밸런서와 EC2 인스턴스 간에 SSL 연결을 다시 생성합니다.
정답	B
풀이	요구 사항을 충족시키기 위해서는 모든 통신이 전송 중에 암호화되어야 합니다. SSL/TLS 프로토콜은 클라이언트와 서버 간의 모든 통신을 암호화할 수 있습니다. 그러므로, 옵션 B는 Classic Load Balancer의 TCP 수신기를 통해 모든 트래픽을 라우팅하고 EC2 인스턴스에서 TLS 연결을 종료하는 방식으로 모든 통신이 전송 중에 암호화됩니다. Classic Load Balancer의 TCP 수신기는 EC2 인스턴스로 전송되는 트래픽을 암호화하지 않지만, 이 트래픽은 TLS를 사용하여 EC2 인스턴스 내에서 암호화됩니다. 따라서, 이 방법은 호스트와 EC2 인스턴스 간의 모든 통신이 암호화되어 보안 요구 사항을 충족시킵니다.   옵션 A의 경우, SSL 종료를 Classic Load Balancer의 SSL 수신기로 오프로드하고 로드 밸런서와 EC2 인스턴스 간에 TCP 연결을 사용하므로, EC2 인스턴스와 로드 밸런서 사이의 통신이 암호화되지 않습니다.   옵션 C의 경우, Application Load Balancer를 사용하여 HTTPS 리스너를 생성하고 해당 로드 밸런서를 통해 모든 통신을 라우팅하는 방식입니다. 이 방법은 전체 통신을 암호화할 수 있지만, 전용 프로토콜을 사용하는 호스트와 통신이 불가능합니다.   옵션 D의 경우, SSL 종료를 Application Load Balancer의 SSL 수신기로 오프로드하고 로드 밸런서와 EC2 인스턴스 간에 SSL 연결을 다시 생성하는 방식입니다. 그러나 이 방법은 HTTPS를 사용하여 전체 통신을 보호하지만 SSL 연결을 다시 생성하므로 속도가 느리고 리소스가 많이 필요합니다.

 

문제6

질문	애플리케이션은 현재 네트워크 액세스 제어 목록 및 보안 그룹을 사용하여 보호됩니다. 웹 서버는 ALB(Application Load Balancer) 뒤의 퍼블릭 서브넷에 있습니다 . 애플리케이션 서버는 프라이빗 서브넷에 있습니다. 공격으로부터 Amazon EC2 인스턴스를 보호하기 위해 에지 보안을 어떻게 강화할 수 있습니까? (두 가지를 선택하세요.)
보기	A. 모든 인바운드 트래픽에 대해 NAT 게이트웨이를 사용하도록 애플리케이션의 EC2 인스턴스를 구성합니다. B. 퍼블릭 IP 주소가 없는 프라이빗 서브넷으로 웹 서버를 이동합니다. C. ALB에 대한 DDoS 공격 보호를 제공하도록 AWS WAF를 구성합니다. D. 모든 인바운드 네트워크 트래픽이 프라이빗 서브넷의 배스천 호스트를 통해 라우팅되도록 요구합니다. E. 모든 인바운드 및 아웃바운드 네트워크 트래픽이 AWS Direct Connect 연결을 통해 라우팅되어야 합니다.
정답	B, C
풀이	웹 서버를 프라이빗 서브넷으로 이동시키는 것은, 직접적인 인터넷 액세스를 차단하여 보안을 강화할 수 있는 방법입니다. 이후, ALB와 프라이빗 서브넷 간의 트래픽을 보호하기 위해 AWS WAF를 구성하는 것이 좋습니다. 이를 통해 DDoS 공격 및 다른 유형의 웹 공격으로부터 ALB를 보호할 수 있습니다.   A: NAT 게이트웨이는 프라이빗 서브넷의 인스턴스가 인터넷에 액세스하도록 하기 위한 서비스입니다. 하지만 이 방법은 애플리케이션의 보안을 강화하는 데 도움이 되지 않습니다. NAT 게이트웨이는 애플리케이션에 대한 인바운드 트래픽을 보호하지 않으며, DDoS 공격 및 다른 유형의 웹 공격으로부터 ALB를 보호하지 않습니다.   D: 바스천 호스트를 사용하여 인바운드 트래픽을 제한하는 것은 보안을 강화하는 좋은 방법입니다. 하지만, 이 방법은 ALB와 관련된 보안에 집중하는 것이 아니므로, 이 문제의 해결책으로는 적합하지 않습니다.   E: AWS Direct Connect를 사용하면 인터넷 대신 전용 연결을 통해 VPC에 액세스할 수 있습니다. 하지만 이 방법은 ALB와 관련된 보안에 집중하는 것이 아니므로, 이 문제의 해결책으로는 적합하지 않습니다.

 

문제7

질문	보안 관리자가 회사 루트 사용자 계정의 기능을 제한하고 있습니다. 이 회사는 AWS Organizations를 사용하고 통합 결제를 포함한 모든 기능 세트에 대해 이를 활성화했습니다. 최상위 계정은 AWS 리소스 운영 목적이 아닌 청구 및 관리 목적으로 사용됩니다. 관리자는 조직 전체에서 구성원 루트 사용자 계정의 사용을 어떻게 제한할 수 있습니까?
보기	A. 조직 루트에서 루트 사용자 계정의 사용을 비활성화합니다. 각 조직 구성원 계정에 대한 루트 사용자 계정의 다단계 인증을 활성화합니다. B. 각 조직 구성원 계정의 루트 계정 기능을 제한하도록 IAM 사용자 정책을 구성합니다. C. 루트 사용자의 사용을 제어하는 ​​서비스 제어 정책을 사용하여 조직에서 조직 단위(OU)를 생성합니다. 새 OU에 모든 운영 계정을 추가합니다. D. Amazon CloudWatch Logs와 통합하도록 AWS CloudTrail을 구성한 다음 RootAccountUsage에 대한 지표 필터를 생성합니다.
정답	C
풀이	조직 전체에서 구성원 루트 사용자 계정의 사용을 제한하기 위해서는, SCP(Service Control Policies)를 사용하여 루트 사용자 계정의 권한을 제한하는 것이 가능합니다. SCP는 특정 조직 단위(OU) 또는 모든 계정에 대한 권한을 제한할 수 있는 AWS Organizations의 기능입니다.   SCP를 사용하면 특정 리소스 또는 서비스에 대한 액세스 권한을 지정할 수 있으며, 이를 통해 루트 사용자 계정의 권한을 제한할 수 있습니다. 이를 통해 구성원 루트 사용자 계정에 대한 액세스를 제한할 수 있습니다.   AWS Organizations에서 SCP를 사용하여 루트 사용자 계정의 권한을 제한하고, 새 OU를 만들어서 운영 계정을 추가할 수 있습니다. SCP는 연결된 계정의 모든 사용자 및 역할에 영향을 미치므로, 루트 사용자 계정 또한 제한됩니다.

 

문제8

질문	시스템 엔지니어는 SES(Simple Email Service)를 통해 아웃바운드 메일을 구성해야 하며 현재 TLS 표준을 준수해야 합니다. 다음 엔드포인트 및 해당 포트 중 어느 것에 연결하도록 메일 애플리케이션을 구성해야 합니까?
보기	A. 포트 8080을 통한 email.us-east-1.amazonaws.com B. 포트 995를 통한 email-pop3.us-east-1.amazonaws.com C. 포트 587을 통한 email-smtp.us-east-1.amazonaws.com D. 포트 993을 통한 email-imap.us-east-1.amazonaws.com
정답	C
풀이	TLS는 전송 계층 보안(Transport Layer Security)의 약자로, 인터넷 통신 보안을 위한 암호화 프로토콜입니다. SES를 통해 아웃바운드 메일을 구성하려면 TLS 표준을 준수해야 합니다. 이를 위해 포트 25(SMTP), 465(SMTPS) 또는 587(STARTTLS)을 사용하여 SMTP(Simple Mail Transfer Protocol) 연결을 설정해야 합니다.   TCP 25 포트: SMTP (Simple Mail Transfer Protocol)의 기본 포트입니다. 대부분의 이메일 서버는 TCP 25 포트를 통해 SMTP 연결을 수락합니다. 그러나, 이 포트는 ISP(Internet Service Provider)에서 차단되거나 제한될 수 있습니다.   TCP 465 포트: SMTPS (Simple Mail Transfer Protocol Secure)를 위한 포트입니다. SMTPS는 SMTP와 동일하지만, SSL(Secure Sockets Layer)이나 TLS(Transport Layer Security)을 사용하여 암호화된 연결을 설정합니다.   TCP 587 포트: SMTPS 대신에, STARTTLS 명령어를 사용하여 SMTP 연결을 암호화하는데 사용됩니다. 이 포트는 일반적으로 ISP에서 차단되지 않기 때문에, 대체로 SMTP 연결을 설정할 때 사용됩니다.   따라서, 올바른 답은 C입니다. 포트 587은 TLS 암호화와 함께 SMTP 연결을 설정하는 데 사용됩니다. SES를 통해 아웃바운드 메일을 보내기 위해 이 엔드포인트와 포트를 사용하여 메일 애플리케이션을 구성할 수 있습니다.

 

문제9

질문	위협 평가에서 내부 직원이 AWS 내부에서 실행되는 프로덕션 호스트(계정 1)에서 중요한 데이터를 유출할 수 있는 위험을 식별했습니다. 위협은 다음과 같이 문서화되었습니다.   위협 설명: 악의적인 행위자는 자신이 제어하는 ​​AWS 계정(계정 2)에 대한 자격 증명을 구성하고 데이터를 자신이 제어하는 ​​Amazon S3 버킷에 업로드하여 서버 X에서 민감한 데이터를 업로드할 수 있습니다. 서버 X에는 프록시 서버를 통해 구성된 아웃바운드 인터넷 액세스가 있습니다. 애플리케이션이 암호화된 파일을 S3 버킷. 서버 X는 현재 IAM 인스턴스 역할을 사용하고 있습니다. 프록시 서버는 TLS 암호화로 인해 서버 통신을 검사할 수 없습니다. 다음 옵션 중 위협을 완화할 수 있는 옵션은 무엇입니까? (두 가지를 선택하세요.)
보기	A. 프록시를 우회하고 계정 1 내의 특정 S3 버킷만 화이트리스트에 추가하는 정책과 함께 S3 VPC 엔드포인트를 사용합니다. B. 프록시 서버에서 퍼블릭 S3 엔드포인트에 대한 아웃바운드 액세스를 차단합니다. C. 서버 X에서 네트워크 ACL을 구성하여 S3 엔드포인트에 대한 액세스를 거부합니다. D. 합법적인 버킷에 대한 S3 버킷 정책을 수정하여 애플리케이션 서버와 연결된 퍼블릭 IP 주소에서만 액세스를 허용합니다. E. 애플리케이션 서버에서 IAM 인스턴스 역할을 제거하고 API 액세스 키를 신뢰할 수 있고 암호화된 애플리케이션 구성 파일에 저장합니다.
정답	A, B
풀이	위협 평가에서 식별된 위협은 AWS 내부에서 실행되는 프로덕션 호스트(계정 1)에서 중요한 데이터를 유출할 수 있는 위험입니다. 악의적인 사용자는 자신이 제어하는 AWS 계정(계정 2)을 사용하여 데이터를 자신이 제어하는 Amazon S3 버킷에 업로드할 수 있습니다. 이러한 위협을 완화하기 위해 다음 옵션 중 두 가지를 선택해야 합니다.   A: S3 VPC 엔드포인트를 사용하여 S3 버킷에 직접 액세스하도록 허용하며, 프록시를 우회하여 악의적인 사용자가 다른 S3 버킷에 액세스하는 것을 방지합니다. 이 옵션은 위협을 완화하는 데 도움이 될 수 있습니다.   B: 프록시 서버에서 퍼블릭 S3 엔드포인트에 대한 아웃바운드 액세스를 차단하여, 악의적인 사용자가 S3 버킷에 직접 액세스하지 못하도록 방지합니다. 이 옵션은 위협을 완화하는 데 도움이 될 수 있습니다. 따라서, 올바른 답은 A와 B입니다. C, D, E는 위협을 완화하는 데 도움이 될 수는 있지만, 이 문제의 상황에 대한 해결책은 아닙니다.

 

문제10

질문	회사는 '민감', '기밀' 및 '제한'의 데이터 분류 체계를 기반으로 3개의 Amazon S3 버킷에 중요한 문서를 저장합니다. 보안 솔루션은 다음 요구 사항을 모두 충족해야 합니다 ✑ 고유 키 ✑ 'Restricted' 버킷에 저장된 항목은 복호화를 위해 이중 인증이 필요합니다. ✑ AWS KMS는 매년 암호화 키를 자동으로 교체해야 합니다.   다음 중 이러한 요구 사항을 충족하는 것은 무엇입니까?
보기	A. 각 데이터 분류 유형에 대해 고객 마스터 키(CMK)를 생성하고 매년 교체를 활성화합니다. "Restricted" CMK의 경우 키 정책 내에서 MFA 정책을 정의합니다. S3 SSE-KMS를 사용하여 객체를 암호화합니다. B. EnableKeyRotation 및 MultiFactorAuthPresent가 true로 설정된 각 데이터 분류 유형에 대한 CMK 권한 부여를 생성합니다. 그런 다음 S3는 권한 부여를 사용하여 고유한 CMK로 각 객체를 암호화할 수 있습니다. C. 각 데이터 분류 유형에 대해 CMK를 생성하고 CMK 정책 내에서 매년 교체를 활성화하고 MFA 정책을 정의합니다. 그런 다음 S3는 S3 버킷 내의 각 객체를 고유하게 암호화하기 위해 DEK 권한 부여를 생성할 수 있습니다. D. 각 데이터 분류 유형에 대해 가져온 고유한 키 구성 요소로 CMK를 생성하고 매년 교체합니다. "Restricted" 키 자료의 경우 키 정책에서 MFA 정책을 정의합니다. S3 SSE-KMS를 사용하여 객체를 암호화합니다.
정답	A
풀이	A가 기술한 세 가지 요구사항을 충족합니다.   B의 경우, S3 버킷 액세스 권한에 대한 CMK 권한을 부여하고자 하더라도, 이중 인증(MFA)을 요구하는 것은 CMK 자체에서 설정해야 하며, S3 버킷과는 관련이 없습니다.   C의 경우, S3는 객체 암호화에 사용되는 데이터 키를 생성하기 위해 CMK를 사용하지만, CMK 자체로 개별 객체를 직접 암호화하지는 않습니다. 그러므로 S3 버킷에 대한 액세스를 거부하는 것은 CMK와는 직접적인 연관이 없습니다.   D의 경우, SSE-KMS를 사용하여 객체를 암호화하더라도 매년 CMK 교체를 위해 설정된 자동화된 기능이 없기 때문에 요구 사항을 충족하지 못합니다.