Q73. AWS 보안 그룹을 활용한 안전한 배스천 호스트 구성하기
AWS 자격증을 준비하는 여러분, 안녕하세요. 오늘은 AWS 네트워크 보안의 핵심 요소인 보안 그룹(Security Group)을 활용하여 안전한 배스천 호스트를 구성하는 방법에 대해 알아보겠습니다. 이 문제를 통해 VPC, 서브넷, EC2 인스턴스, 그리고 보안 그룹 간의 상호작용을 이해할 수 있을 것입니다.
문제 상황
Q1:
한 회사가 최근 프라이빗 서브넷의 Amazon EC2에서 Linux 기반 애플리케이션 인스턴스를 시작하고 VPC의 퍼블릭 서브넷에 있는 Amazon EC2 인스턴스에서 Linux 기반 배스천 호스트를 시작했습니다. 솔루션 설계자는 사내 네트워크에서 회사의 인터넷 연결을 통해 배스천 호스트 및 애플리케이션 서버에 연결해야 합니다. 솔루션 설계자는 모든 EC2 인스턴스의 보안 그룹이 해당 액세스를 허용하는지 확인해야 합니다.
솔루션 설계자는 이러한 요구 사항을 충족하기 위해 어떤 단계 조합을 취해야 합니까? (2개를 선택하세요.)
<small>A company recently launched Linux-based application instances on Amazon EC2 in private subnets and Linux-based bastion hosts on Amazon EC2 instances in public subnets of a VPC. A solutions architect needs to connect to the bastion hosts and application servers from the company's on-premises network through the company's internet connection. The solutions architect must ensure that the security groups of all EC2 instances allow that access.
Which combination of steps should the solutions architect take to meet these requirements? (Choose two.)</small>
선택지
A. 배스천 호스트의 현재 보안 그룹을 애플리케이션 인스턴스의 인바운드 액세스만 허용하는 보안 그룹으로 교체합니다.
<small>Replace the current security group of the bastion hosts with a security group that allows inbound access from only the application instances.</small>
B. 배스천 호스트의 현재 보안 그룹을 회사의 내부 IP 범위에서만 인바운드 액세스를 허용하는 보안 그룹으로 교체합니다.
<small>Replace the current security group of the bastion hosts with a security group that allows inbound access from only the company's internal IP range.</small>
C. 배스천 호스트의 현재 보안 그룹을 회사의 외부 IP 범위에서만 인바운드 액세스를 허용하는 보안 그룹으로 교체합니다.
<small>Replace the current security group of the bastion hosts with a security group that allows inbound access from only the company's external IP range.</small>
D. 애플리케이션 인스턴스의 현재 보안 그룹을 배스천 호스트의 개인 IP 주소에서만 인바운드 SSH 액세스를 허용하는 보안 그룹으로 교체합니다.
<small>Replace the current security group of the application instances with a security group that allows inbound SSH access from only the private IP address of the bastion hosts.</small>
E. 애플리케이션 인스턴스의 현재 보안 그룹을 배스천 호스트의 공용 IP 주소에서만 인바운드 SSH 액세스를 허용하는 보안 그룹으로 교체합니다.
<small>Replace the current security group of the application instances with a security group that allows inbound SSH access from only the public IP address of the bastion hosts.</small>
정답 및 해설
정답은 C와 D입니다.
<small>The correct answers are C and D.</small>
이 문제는 안전한 배스천 호스트 구성을 위한 보안 그룹 설정에 관한 것입니다. 배스천 호스트는 프라이빗 네트워크에 안전하게 접근하기 위한 진입점 역할을 합니다. 따라서 보안 설정이 매우 중요합니다.
C. 배스천 호스트의 보안 그룹은 회사의 외부 IP 범위에서만 인바운드 액세스를 허용해야 합니다. 이는 회사 네트워크에서 인터넷을 통해 배스천 호스트에 접근할 때 사용되는 IP 주소이기 때문입니다.
D. 애플리케이션 인스턴스의 보안 그룹은 배스천 호스트의 프라이빗 IP 주소에서만 인바운드 SSH 액세스를 허용해야 합니다. 이는 배스천 호스트를 통해서만 애플리케이션 서버에 접근할 수 있도록 하기 위함입니다.
이러한 설정을 통해 회사는 안전하게 외부에서 내부 리소스에 접근할 수 있는 구조를 만들 수 있습니다.
<small>This question is about setting up security groups for a secure bastion host configuration. A bastion host serves as an entry point for securely accessing a private network. Therefore, security settings are crucial.
C. The security group for the bastion hosts should allow inbound access only from the company's external IP range. This is because these are the IP addresses used when accessing the bastion host from the company network via the internet.
D. The security group for the application instances should allow inbound SSH access only from the private IP address of the bastion hosts. This ensures that the application servers can only be accessed through the bastion hosts.
These settings allow the company to create a structure where internal resources can be securely accessed from outside.</small>
오답 설명
A. 배스천 호스트의 보안 그룹을 애플리케이션 인스턴스에서만 접근 가능하도록 설정하는 것은 목적에 맞지 않습니다. 배스천 호스트는 외부에서 접근 가능해야 합니다.
B. 회사의 내부 IP 범위는 온프레미스 네트워크 내부에서 사용되는 IP 주소를 의미합니다. 인터넷을 통해 접근할 때는 외부 IP를 사용하므로 이 설정은 적절하지 않습니다.
E. 배스천 호스트의 공용 IP 주소는 변경될 수 있으므로, 이를 기반으로 보안 그룹을 설정하는 것은 안정적이지 않습니다. 대신 프라이빗 IP를 사용하는 것이 더 적절합니다.
<small>A. Setting the security group of the bastion hosts to be accessible only from application instances does not serve the purpose. Bastion hosts need to be accessible from outside.
B. The company's internal IP range refers to IP addresses used within the on-premises network. This setting is not appropriate as external IPs are used when accessing through the internet.
E. The public IP address of bastion hosts can change, so setting security groups based on this is not reliable. Using private IPs is more appropriate instead.</small>
결론
이 문제는 AWS에서 안전한 네트워크 구성의 중요성을 강조합니다. 배스천 호스트를 사용하여 프라이빗 리소스에 안전하게 접근하는 방법, 그리고 이를 위한 적절한 보안 그룹 설정 방법을 이해하는 것이 중요합니다. 또한 퍼블릭 IP와 프라이빗 IP의 차이, 그리고 각각의 사용 상황을 구분할 수 있어야 합니다. 이러한 개념들은 AWS 솔루션 아키텍트로서 안전하고 효율적인 네트워크 구조를 설계하는 데 필수적입니다.
<small>This question emphasizes the importance of secure network configuration in AWS. It's crucial to understand how to use bastion hosts to securely access private resources, and how to properly configure security groups for this purpose. It's also important to distinguish between public and private IPs and understand when to use each. These concepts are essential for designing secure and efficient network architectures as an AWS Solutions Architect.</small>
댓글
댓글 쓰기