Q74. AWS 보안 그룹 구성 - 2계층 웹 애플리케이션의 보안 강화

-

AWS 자격증을 준비하는 여러분, 안녕하세요. 오늘은 2계층 웹 애플리케이션의 보안 그룹 구성에 대해 알아보겠습니다. 이 주제는 AWS Certified Solutions Architect - Associate 시험에서 자주 다루어지는 중요한 내용입니다.

문제 상황

Q1:
솔루션 설계자는 2계층 웹 애플리케이션을 설계하고 있습니다. 애플리케이션은 퍼블릭 서브넷의 Amazon EC2에서 호스팅되는 퍼블릭 웹 티어로 구성됩니다. 데이터베이스 계층은 프라이빗 서브넷의 Amazon EC2에서 실행되는 Microsoft SQL Server로 구성됩니다. 보안은 회사의 최우선 과제입니다.

이 상황에서 보안 그룹을 어떻게 구성해야 합니까? (2개를 선택하세요.)

<small>A solutions architect is designing a two-tier web application. The application consists of a public web tier hosted on Amazon EC2 in a public subnet. The database tier consists of Microsoft SQL Server running on Amazon EC2 in a private subnet. Security is the company's top priority.

How should the security groups be configured in this situation? (Select TWO.)</small>

선택지

A. 0.0.0.0/0에서 포트 443의 인바운드 트래픽을 허용하도록 웹 계층에 대한 보안 그룹을 구성합니다.
<small>Configure the security group for the web tier to allow inbound traffic on port 443 from 0.0.0.0/0.</small>

B. 0.0.0.0/0에서 포트 443의 아웃바운드 트래픽을 허용하도록 웹 계층에 대한 보안 그룹을 구성합니다.
<small>Configure the security group for the web tier to allow outbound traffic on port 443 to 0.0.0.0/0.</small>

C. 웹 계층에 대한 보안 그룹에서 포트 1433의 인바운드 트래픽을 허용하도록 데이터베이스 계층에 대한 보안 그룹을 구성합니다.
<small>Configure the security group for the database tier to allow inbound traffic on port 1433 from the security group for the web tier.</small>

D. 데이터베이스 계층의 보안 그룹을 구성하여 포트 443 및 1433의 아웃바운드 트래픽을 웹 계층의 보안 그룹으로 보냅니다.
<small>Configure the security group for the database tier to send outbound traffic on ports 443 and 1433 to the security group for the web tier.</small>

E. 웹 계층에 대한 보안 그룹의 포트 443 및 1433에서 인바운드 트래픽을 허용하도록 데이터베이스 계층에 대한 보안 그룹을 구성합니다.
<small>Configure the security group for the database tier to allow inbound traffic on ports 443 and 1433 from the security group for the web tier.</small>

정답 및 해설

정답은 A와 C입니다.

<small>The correct answers are A and C.</small>

A. 웹 계층의 보안 그룹은 인터넷에서 오는 HTTPS 트래픽(포트 443)을 허용해야 합니다. 이는 0.0.0.0/0에서의 인바운드 트래픽을 허용함으로써 달성됩니다.

C. 데이터베이스 계층의 보안 그룹은 웹 계층에서 오는 SQL Server 트래픽(포트 1433)만 허용해야 합니다. 이는 웹 계층의 보안 그룹을 소스로 지정하여 인바운드 트래픽을 허용함으로써 달성됩니다.

이러한 구성은 최소 권한 원칙을 따르며, 필요한 트래픽만 허용하여 애플리케이션의 보안을 강화합니다.

<small>A. The security group for the web tier should allow HTTPS traffic (port 443) from the internet. This is achieved by allowing inbound traffic from 0.0.0.0/0 on port 443.

C. The security group for the database tier should only allow SQL Server traffic (port 1433) from the web tier. This is achieved by allowing inbound traffic on port 1433 from the security group of the web tier.

This configuration follows the principle of least privilege, allowing only the necessary traffic and enhancing the security of the application.</small>

오답 설명

B. 웹 계층에서 아웃바운드 트래픽을 명시적으로 허용할 필요가 없습니다. 보안 그룹은 기본적으로 모든 아웃바운드 트래픽을 허용합니다.

D. 데이터베이스 계층에서 웹 계층으로의 아웃바운드 트래픽을 명시적으로 구성할 필요가 없습니다. 또한, 데이터베이스는 일반적으로 웹 서버로 직접 연결을 시작하지 않습니다.

E. 데이터베이스 계층은 포트 443(HTTPS)에서 인바운드 트래픽을 허용할 필요가 없습니다. 이는 웹 서버의 역할입니다.

<small>B. There's no need to explicitly allow outbound traffic from the web tier. Security groups allow all outbound traffic by default.

D. There's no need to explicitly configure outbound traffic from the database tier to the web tier. Also, databases typically don't initiate connections directly to web servers.

E. The database tier doesn't need to allow inbound traffic on port 443 (HTTPS). This is the role of the web server.</small>

결론

이 문제는 AWS의 보안 그룹 구성과 네트워크 보안의 기본 원칙을 테스트합니다. 주요 포인트는 다음과 같습니다:

  1. 웹 서버는 인터넷에서의 HTTPS 트래픽을 허용해야 합니다.
  2. 데이터베이스는 웹 서버로부터의 트래픽만 허용해야 합니다.
  3. 보안 그룹은 기본적으로 모든 아웃바운드 트래픽을 허용합니다.
  4. 최소 권한 원칙을 따라 필요한 트래픽만 허용해야 합니다.

이러한 원칙을 이해하고 적용하는 것이 AWS 환경에서 안전한 아키텍처를 설계하는 데 중요합니다.

<small>This question tests understanding of AWS security group configuration and basic principles of network security. Key points include:

  1. Web servers should allow HTTPS traffic from the internet.
  2. Databases should only allow traffic from web servers.
  3. Security groups allow all outbound traffic by default.
  4. Follow the principle of least privilege, allowing only necessary traffic.

Understanding and applying these principles is crucial for designing secure architectures in AWS environments.</small>

원본 문제 링크

댓글

댓글 쓰기

이 블로그의 인기 게시물

Anaconda-Python 환경 VSCode에서 사용하기

-
이미지
VSCode에서 Anaconda-Python 환경 구축하기 1) Anaconda 및 Visual Studio Code는 이미 설치되었다 가정  2) Command Palette (Ctrl+Shift+P) 에서 "Python:Select Interpreter"르 선택 3) Python:Select Interpreter 선택 후 아래와 같이 사용 환경을 선택한다. 3-1) 설치한 Anaconda 버전 (필자는 5.1설치)은 기본으로 선택 할 수 있으며 Anaconda Prompt(Terminal)에서 미리 만들어둔 커스텀환경(Python 3.6.1)을 선택 할 수 있다. 3-2) 아나콘다 커스텀환경설정 아나콘다 환경 구축을 위한 명령어는 다음과 같다. 새로운 환경생성 : >conda create --name 환경명 python=3.6.1 환경 활성화하기: >activate 환경명 환경 비활성화하기 : >deactive 환경명 * Activation 시 permission denied가 뜬다면, 아래와 같이 입력한다. > source Anaconda설치경로/bin/activate 환경명 현재 구축된 환경 확인 : >conda info --envs 환경 구축 후 Anaconda설치경로/envs 경로에서 생성된 환경을 확인 할 수 있다. 4)Python 윈도우 환경변수 구성 4-1)커스텀 환경을 사용하거나 Anaconda 기본환경을 사용시 설치된 python경로를 환경변수에 설정한다.  - 버전이 변경된 Python 환경사용이 경로를 용이하게 변경하기 위해 PYTHON_HOME 변수 추가  - %PYTHON_HOME%경로 Path에 추가 5) VSCode 터미널에서 Anaconda prompt 사용설정 5-1) Anaconda Prompt 설정 페이지의 바로가기 항목 중 대상에 등록...
자세한 내용 보기

Python 웹 크롤링 - Scrapy 활용 파워볼 번호 수집(파일)

-
이미지
Python 웹 크롤링 - Scrapy 활용 파워볼 번호 수집 1) scrapy 프로젝트 폴더 생성 및 gitHub 등록 1-1) vscode를 사용하여 scrapy 라이브러리를 통해 프로젝트 생성 및 git-hub에 소스 업로드 하여 관리한다.  - 위내용은 Windows Git 설치 및 GitHub 활용방법 을  통해 확인 할 수 있다. 1-2) PowerBall 프로젝트 폴더 생성 및 git bashshell 에서 git init 명령으로 로컬 Repository 생성 1-3) gitHub에 원격 Repository 생성  1-4) git remote add 명령을 통해 gitHub의 원격 Repository 등록 1-5) git pull 명령을 통해 git hub에서 원격 Repository를 새로 생성 할때 만들어지 .gitignore 파일 및 README.md 파일 다운로드 후 로컬과 동기화. 2) Scrapy 프로젝트 생성 2-1) scrapy startproject PowerBall(프로젝트명) 명령어를 통해 프로젝트를 생성한다. 2-2) git add 및 git commit 명령을 통해 프로젝트 파일 커밋, git push를 통해 원격저장소로 등록  -add, status  - commit, push 3) 크롤링 목적 및 대상확인 3-1) 크롤링 목적 : 크롤링 공부       크롤링 대상 : PowerBall 당첨번호         -  http://m.nlotto.co.kr/gameInfo.do?method=powerWinNoList&nowPage=1&searchDate=20180525&calendar=2018-05-25&sortType=num     ...
자세한 내용 보기