AWS 보안 및 관리

Questions and Answers

손상된 EC2 인스턴스의 휘발성 메모리를 법의학 목적으로 보존하기 위해 보안 엔지니어가 해야 할 첫 번째 단계는 무엇인가?

인스턴스의 스냅샷을 생성한다.

모든 인바운드 트래픽을 차단한다.

시스템 관리자 Run Command를 사용하여 휘발성 데이터를 수집한다. (correct)

인스턴스를 종료시킨다.

손상된 EC2 인스턴스를 격리하기 위한 적절한 조치는 무엇인가?

인스턴스를 원래 서브넷에 두고 모든 트래픽을 허용한다.

격리 서브넷으로 인스턴스를 이동시킨다. (correct)

보안 그룹을 업데이트하여 모든 접근을 차단한다.

종료 방지 기능을 활성화하고 인스턴스를 자동으로 종료시킨다.

손상된 EC2 인스턴스의 메타데이터를 수집할 때 어떤 정보를 업데이트해야 하는가?

사고 티켓 정보 (correct)

인스턴스의 생성 날짜와 시간

인스턴스에 배정된 IP 주소

인스턴스의 마지막 재부팅 시간

손상된 EC2 인스턴스에 대한 데이터를 수집할 때 어떤 방법이 올바르지 않은가?

인스턴스를 종료한 후 스냅샷을 생성한다.

Systems Manager의 역할과 관련하여 수행해야 할 작업은 무엇인가?

EBS 볼륨에 대한 스냅샷을 생성한다.

손상된 EC2 인스턴스의 보안 그룹 설정에서 적절한 접근 방지 조치는 무엇인가?

모든 원본 및 대상 트래픽을 거부한다.

손상된 EC2 인스턴스를 조사할 때 캡처해야 하는 정보는 무엇인가?

휘발성 데이터를 수집하는 동안의 모든 조사 활동

손상된 EC2 인스턴스의 스냅샷을 생성하는 적절한 방법은 무엇인가?

Systems Manager State Manager를 사용하여 스냅샷을 생성한다.

EC2 인스턴스가 조사 중 온라인 상태를 유지해야 하는 이유는 무엇인가?

조사가 진행 중일 때 데이터 손실을 방지하기 위해서이다.

회사 A의 사용자가 계정 B의 S3 버킷에 액세스할 수 있도록 하는 가장 적절한 솔루션은 무엇인가요?

계정 B에서 계정 A의 사용자가 S3 버킷에 액세스할 수 있도록 버킷 ACL을 생성합니다.

AWS Security Hub의 중요한 결과에 대한 이메일 알림을 설정하기 위한 적절한 솔루션은 무엇인가요?

EventBridge 규칙을 생성하고 SNS 주제를 생성한 후 이메일 엔드포인트를 구독합니다.

계정 A의 사용자가 계정 B의 S3 버킷에 접근하기 위해 필요한 IAM 권한 수정 후에도 접근이 안 되는 이유는 무엇인가요?

S3 버킷 ACL이 계정 A 사용자의 접근을 차단하고 있음.

회사가 AWS Organizations에서 CloudFormation StackSets를 사용하여 환경에 배포하려는 AWS 디자인 패턴에 포함되지 않는 것은 무엇인가?

AWS Lambda 함수

AWS Lambda 함수를 사용하여 Security Hub 결과를 이메일로 알리는 방법은 무엇인가요?

Lambda 함수를 SNS 주제로 연결하여 이메일을 전송합니다.

보안팀이 요구하는 각 서비스에 대한 요구사항을 준수하지 않는 자원을 발견 했을 때, CI/CD 파이프라인이 취해야 할 조치는 무엇인가?

SNS 주제에 알림을 게시하도록 설정합니다.

계정 B에서 계정 A의 사용자가 모든 객체에 접근할 수 있도록 설정할 수 있는 방법은 무엇인가요?

객체 ACL을 설정하여 특정 사용자에게 접근을 허용합니다.

CI/CD 파이프라인의 빌드 단계 이전에 Lambda 함수를 실행하여 문제를 발견할 때, SNS 주제를 구독해야 하는 것은 누구인가?

보안팀

회사가 AWS Security Hub 알림을 이메일로 받고 싶을 때, 기존 아키텍처가 필요한 이유는 무엇인가요?

이메일 전송 기능을 제공하는 서비스가 필요하다.

CloudFormation Guard에서 사용자 지정 규칙을 생성할 때, 어떤 단계가 필요한가?

도커 이미지를 구성하여 cfn-guard 명령을 실행합니다.

S3 버킷에 대한 접근 권한을 부여할 때 고려해야 할 요소는 무엇인가요?

버킷 정책과 객체 ACL 모두를 고려해야 한다.

Account A 사용자가 Security Hub의 결과를 받을 수 있도록 허용하기 위한 조건은 무엇인가요?

Security Hub와 SNS 간의 연결이 설정되어야 한다.

가장 효율적인 운영 방식을 유지하기 위해 개발자가 CloudFormation 템플릿을 어디에 넣도록 요구해야 하는가?

S3 버킷

어떤 조합이 AWS에서 제공되는 알림 서비스가 아닌가?

Amazon Elastic File System (EFS)

AWS S3 버킷 접근을 위해 ACL을 사용하는 경우 주의해야 할 점은 무엇인가요?

ACL 설정이 잘못되면 데이터 유출이 발생할 수 있다.

CI/CD 파이프라인에서 문제가 발견된 경우, 어떤 조치를 취해야 하는가?

SNS 주제에 알림을 게시합니다.

CloudFormation StackSets를 사용하여 배포할 수 있는 리소스의 예시로 적합한 것은?

Amazon EKS 클러스터

보안팀이 각 AWS 자원의 적절한 요구 사항 준수를 확인하는 과정은 무엇으로 수행되는가?

CloudFormation Guard 규칙을 설정하여 확인합니다.

AWS CloudFormation StackSets의 주된 용도는 무엇인가?

서비스 배포

보안 팀이 요구하는 스캔 프로세스를 구현하기 위해 어떤 솔루션을 선택해야 합니까?

Amazon Inspector를 사용하여 결과를 AWS Security Hub로 푸시합니다.

AWS 계정에서 GuardDuty와 Security Hub의 통합이 활성화되지 않는 이유는 무엇입니까?

Security Hub의 교차 지역 집계가 구성되지 않았기 때문입니다.

주어진 상황에서 보안 엔지니어가 손상된 EC2 인스턴스를 자동으로 알리기 위해 선택해야 할 단계는 무엇입니까?

AWS Lambda를 사용하여 알림 기능을 생성합니다.

컨테이너에서 실행되는 웹 애플리케이션 아키텍처를 사용할 때 고려해야 할 주요 보안 요소는 무엇입니까?

암호화된 데이터 전송과 저장.

Amazon ECR에서 포함 규칙을 생성할 때 어떤 점을 유의해야 합니까?

스캔해야 하는 리포지토리만 포함되어야 합니다.

Amazon ECS에 배포된 컨테이너를 사용하여 보안적인 점검을 수행하기 위해 사용하는 도구는 무엇입니까?

Amazon Inspector.

ECR에서 컨테이너 이미지를 스캔할 때 발견되는 문제를 해결하기 위한 접근 방식으로 부적절한 것은 무엇입니까?

상태 점검을 간과하는 것.

컨테이너 이미지에 대한 월간 스캔을 수행하기 위해 필요한 리소스는 무엇입니까?

Amazon ECR.

실시간 모니터링과 알림을 구축하기 위해 보안 엔지니어가 사용할 수 있는 AWS 서비스는 무엇입니까?

Amazon CloudWatch.

Amazon Security Hub의 주요 기능은 무엇인가요?

다양한 AWS 서비스로부터 보안 데이터를 집계합니다.

회사가 Amazon EC2에서 Amazon ECS로 내부 마이크로서비스를 실행할 때 보안 엔지니어가 요구 사항을 충족하는 최적의 방법은 무엇입니까?

KMS 암호화 및 ECR 검색을 활성화하여 ECR 리포지토리를 다시 생성한다.

보안 엔지니어가 계약자의 IAM 계정에 Amazon EC2 콘솔 액세스를 제한하기 위해 어떤 방법을 사용해야 합니까?

계약자의 IAM 계정에 IAM 경쟁 경계 정책을 적용합니다.

Amazon Elastic Container Registry(ECR)의 프라이빗 리포지토리를 보안적으로 관리하기 위해 필수적인 요소는 무엇입니까?

KMS를 사용해 리포지토리를 암호화합니다.

회사가 다른 AWS 서비스에 대한 액세스를 제공하지 않고 EC2에만 액세스하도록 제한하려면 어떤 접근 방식이 필요합니까?

IAM 권한 경계를 통해 IAM 사용자에게 EC2 액세스를 할당합니다.

컨테이너 이미지를 CVE(취약성과 노출) 기준으로 분석할 때 선택해야 하는 적절한 방법은 무엇입니까?

Amazon Inspector를 통해 이미지를 스캔합니다.

IAM 그룹 멤버십에 따라 IAM 계정에 추가 권한이 할당되더라도 계약자의 IAM 계정이 다른 AWS 서비스에 접근하지 못하게 하려면 어떤 조치를 취해야 할까요?

계약자의 IAM 계정에 권한 경계를 설정합니다.

AWS KMS를 사용하여 파트너 계정으로부터 프라이빗 리포지토리를 보호하려면 어떤 프로세스를 따라야 합니까?

KMS 키를 생성하고 해당 키와 함께 ECR 리포지토리를 재구성합니다.

CVE 규칙을 사용하여 컨테이너 이미지를 평가하는 프로세스는 무엇입니까?

아마존 ECR을 통해 스캔하고 결과를 기록합니다.

계약자가 EC2에 액세스할 수 있도록 하면서도 다른 AWS 서비스에는 접근하지 않게 하려면 어떤 권한 설정이 필요한가요?

계약자에게 EC2 서비스만을 허용하는 IAM 정책을 생성합니다.

Study Notes

Amazon S3의 SSL 인증서

• Amazon S3에 저장되는 기본 SSL 인증서는 보안 데이터 전송을 위한 필수 요소.
• 이 인증서는 모든 S3 객체에 대해 HTTPS 연결을 활성화.

EC2 인스턴스의 보안 조사

• AWS Systems Manager를 활용하여 EC2 인스턴스 관리.
• 손상된 인스턴스의 휘발성 및 비휘발성 메모리 데이터 법의학 목적으로 보존.
• 손상 인스턴스는 격리 상태에서 조사, 온라인 상태 유지.
• 조사 중 모든 활동은 기록되고 처리됨.
• SSM 에이전트를 통해 휘발성 데이터 수집 가능.

AWS CloudFormation StackSets

• AWS Organizations 내 다양한 디자인 패턴 배포 지원.
• EC2 인스턴스, ELB, RDS, EKS, ECS와 같은 서비스 구성.
• CI/CD 파이프라인을 통해 CloudFormation 스택을 중앙 집중식으로 배포.
• 보안 기준 미준수 자원에 대해 알림 시스템 필요.

S3 버킷의 접근 관리

• 계정 A의 사용자에게 계정 B의 S3 버킷 접근 권한 부여.
• IAM 권한 조정 후에도 접근 문제가 발생 시 해결 방법:
  • 버킷 정책을 생성하여 접근 허용.
  • 객체 ACL을 통해 사용자의 접근 권한 설정 가능.

AWS Security Hub 알림

• Security Hub의 중요한 결과에 대해 실시간 이메일 알림 필요.
• Amazon EventBridge를 사용하여 특정 결과 탐지 및 SNS를 통해 알림 전송.

컨테이너 이미지 보안

• Amazon ECS에서 실행되는 웹 애플리케이션의 보안 감사 수행.
• Amazon ECR을 통한 컨테이너 이미지 저장 및 스캔 필요.
• 지속적인 검색 및 푸시 검색을 통해 보안 문제 식별.

KMS를 통한 ECR 리포지토리 암호화

• AWS KMS를 통해 ECR의 컨테이너 이미지 암호화.
• CVE 분석 수행을 위한 Amazon Inspector 사용 가능.

EC2 콘솔 접근 제어

• 계약자의 IAM 계정에 다른 AWS 서비스 접근을 제한하는 정책 필요.
• IAM 권한 경계 정책과 인라인 IAM 정책을 통해 EC2 접근 제어 가능.

Description

이 퀴즈는 Amazon S3, EC2 인스턴스, CloudFormation 및 Security Hub와 관련된 AWS의 보안 및 관리 기능에 대해 다룹니다. 각 기능의 중요성과 활용 방법을 알아보며 AWS 환경에서의 보안을 강화하는 방법을 배울 수 있습니다.