보안 엔지니어에게 웹 서버에 대한 인바운드 연결 문제를 해결하라는 요청을 받았습니다. 이 단일 웹 서버는 인터넷에서 인바운드 연결을 수신하지 않는 반면 다른 모든 웹 서버는 제대로 작동합니다.
아키텍처에는 네트워크 ACL, 보안 그룹 및 가상 보안 어플라이언스가 포함됩니다. 또한 개발 팀은 모든 웹 서버에 로드를 분산하기 위해 ALB(Application Load Balancer)를 구현했습니다. 웹 서버와 인터넷 간의 트래픽이 가상 보안 어플라이언스를 통해 흐르도록 하는 것이 요구 사항입니다.
보안 엔지니어는 다음을 확인했습니다.
1. 보안 그룹에 설정된 규칙이 정확합니다.
2. 네트워크 ACL에 설정된 규칙이 올바른지
3. 가상 어플라이언스에 설정된 규칙이 정확합니다.
다음 중 이 시나리오에서 문제를 해결할 수 있는 다른 유효한 항목은 무엇입니까? (2개를 선택하세요.)

• A.웹 서버 서브넷에 대한 라우팅 테이블의 0.0.0.0/0 경로가 NAT 게이트웨이를 가리키는지 확인합니다.
• B.특정 웹 서버의 탄력적 네트워크 인터페이스(ENI)에 어떤 보안 그룹이 적용되었는지 확인합니다.
• C.웹 서버 서브넷에 대한 라우팅 테이블의 0.0.0.0/0 경로가 가상 보안 어플라이언스를 가리키는지 확인합니다.
• D.ALB에 등록된 대상을 확인합니다.
• E.퍼블릭 서브넷의 0.0.0.0/0 경로가 NAT 게이트웨이를 가리키는지 확인합니다.

Comment: *

Name: *

Email: *

Verification: *

AWS에서 자체 키 페어를 사용하여 EC2 인스턴스를 시작하려고 합니다. 어떻게 이것을 달성할 수 있습니까? 아래 주어진 옵션에서 3개의 답변을 선택하십시오.
선택 해주세요:

• A.타사 도구를 사용하여 키 쌍 생성
• B.AWS CLI를 사용하여 새 키 페어 생성
• C.공개 키를 EC2로 가져오기
• D.개인 키를 EC2로 가져오기

Comment: *

Name: *

Email: *

Verification: *

Amazon CloudWatch Logs 에이전트가 CloudWatch Logs 서비스에 성공적으로 로그를 전달하고 있습니다. 그러나 연결된 로그 스트림이 특정 시간 동안 활성화된 후에는 로그 전달이 중지됩니다.
이 현상의 원인을 확인하려면 어떤 단계가 필요합니까? (2개를 선택하세요.)

• A.CloudWatch Logs 지표를 생성하여 로깅이 중지되기 전 기간 동안 한 번 이상 변경되는 값을 격리합니다.
• B.AWS CloudFormation을 사용하여 CloudWatch Logs 에이전트에 대한 구성 파일을 동적으로 생성하고 유지 관리합니다.
• C.Amazon Kinesis Streams에 로그를 먼저 입력하도록 Amazon Kinesis 생산자를 구성합니다.
• D.OS 로그 순환 규칙이 에이전트 스트리밍에 대한 구성 요구 사항과 호환되는지 확인합니다.
• E.CloudWatch Logs 에이전트가 파일을 읽을 수 있도록 하는 모니터링된 파일에 대한 파일 권한이 수정되지 않았는지 확인합니다.

Comment: *

Name: *

Email: *

Verification: *

당신은 회사에서 일하고 있으며 AWS와 온프레미스 Active Directory 사이에 연합 인증 메커니즘 설정이 있는지 확인하는 작업을 할당받았습니다. 다음 중 이 프로세스에서 다루어야 하는 중요한 단계는 무엇입니까? 아래 주어진 옵션에서 2개의 답변을 선택하십시오.
선택 해주세요:

• A.온프레미스 AD 그룹 및 1AM 역할에 대해 올바른 일치가 있는지 확인합니다.
• B.온프레미스 AD 그룹 및 1AM 그룹에 대해 올바른 일치가 있는지 확인합니다.
• C.Active Directory에서 AWS를 신뢰 당사자로 구성
• D.Active Directory Federation 서비스에서 AWS를 신뢰 당사자로 구성

Correct Answer: A,D

AWS 설명서는 AWS를 사용한 온프레미스 AD 구성과 관련하여 몇 가지 주요 측면을 언급합니다. 하나는 AD Active Directory 구성의 그룹 구성입니다. AWS에서 AD 그룹 및 1AM 역할을 생성하고 설명하는 방법을 결정하는 것은 보안을 유지하는 방법에 중요합니다 계정에 액세스하고 리소스를 관리할 수 있습니다. AWS 환경에 대한 SAML 어설션 및 해당 1AM 역할 액세스는 온프레미스 AD 그룹 이름과 AWS 1AM 역할 간의 정규식(regex) 일치를 통해 관리됩니다.
AWS 1AM 역할 매핑을 고유하게 식별하는 AD 그룹을 생성하는 한 가지 접근 방식은 공통 그룹 명명 규칙을 선택하는 것입니다. 예를 들어, AD 그룹은 식별자로 시작합니다(예: AWS-). 이는 AWS 그룹을 조직 내의 다른 그룹과 구별하기 때문입니다. 다음으로 12자리AWS 계정 번호를 입력합니다. 마지막으로 AWS 계정 내에서 일치하는 역할 이름을 추가합니다. 다음은 예입니다.

다음은 AWS인 신뢰 당사자의 구성입니다.
ADFS 페더레이션은 두 당사자의 참여로 발생합니다. ID 또는 클레임 ​​제공자(이 경우 ID 저장소의 소유자 - Active Directory) 및 신뢰 당사자(ID 제공자에게 인증을 아웃소싱하려는 다른 애플리케이션) 이 경우 Amazon Secure Token Service(STS). 신뢰 당사자는 페더레이션 서비스에 대한 클레임 공급자 트러스트가 나타내는 페더레이션 파트너입니다.
AD 그룹이 1AM 그룹과 일치하지 않아야 하므로 옵션 B가 유효하지 않습니다. Active Directory Federation Services에서 신뢰 당사자를 구성해야 하므로 옵션 C가 유효하지 않습니다. 페더레이션 액세스에 대한 자세한 내용은 다음 URL을 방문하십시오.
1 https://aws.amazon.com/blogs/security/aws-federated-authentication-with-active-directory-federation-services-ad-fs/ 정답은 다음과 같습니다. 전제 AD 그룹 및 1AM 역할., Active Directory Federation 서비스에서 AWS를 신뢰 당사자로 구성 전문가에게 피드백/쿼리 제출

Comment: *

Name: *

Email: *

Verification: *

조직은 Linux Amazon EC2 인스턴스에 배포된 에이전트와 함께 Amazon CloudWatch Logs를 사용하고 있습니다. 에이전트 구성 파일이 확인되었으며 푸시할 애플리케이션 로그 파일이 올바르게 구성되었습니다. 검토 결과 특정 인스턴스의 로깅이 누락된 것으로 확인되었습니다.
문제를 해결하려면 어떤 단계를 수행해야 합니까? (2개를 선택하세요.)

• A.EC2 실행 명령을 사용하여 "awslogs" 서비스가 모든 인스턴스에서 실행 중인지 확인합니다.
• B.에이전트가 사용하는 권한이 로그 그룹/스트림 생성 및 로그 이벤트를 허용하는지 확인합니다.
• C.유효하지 않은 타임스탬프로 인해 애플리케이션 로그 항목이 거부되었는지 여부를 검토하여 확인합니다.
  /var/cwlogs/rejects.log.
• D.신뢰 관계가 Amazon S3 스테이징 버킷에 객체를 쓸 수 있는 권한을 서비스 "cwlogs.amazonaws.com"에 부여하는지 확인합니다.
• E.애플리케이션 서버의 시간대가 UTC인지 확인합니다.

Comment: *

Name: *

Email: *

Verification: *