회사는 AWS Organizations에서 관리하는 여러 AWS 계정을 사용합니다. 보안 엔지니어는 이러한 모든 계정에 대한 표준 보안 그룹 세트를 생성했습니다. 보안 정책은 이러한 보안 그룹이 모든 애플리케이션에 사용되도록 요구하고 수정 권한을 보안 팀에만 위임합니다.
최근 보안 감사에서는 보안 그룹이 계정 전체에 걸쳐 구현된 불일치와 보안 그룹에 무단 변경이 이루어진 것으로 나타났습니다. 보안 엔지니어는 일관성을 개선하고 향후 개별 계정의 무단 변경을 방지하기 위한 솔루션을 권장해야 합니다.
보안 엔지니어는 어떤 솔루션을 권장해야 합니까?

• A.필요한 보안 그룹을 생성하는 AWS CloudFormation 템플릿 생성 새 계정 구성의 일부로 템플릿 실행 변경 사항 발생 시 Amazon Simple Notification Service(Amazon SNS) 알림 활성화
• B.AWS Firewall Manager를 사용하여 보안 그룹 정책을 생성하고 정책 기능을 활성화하여 로컬 변경 사항을 식별 및 되돌리고 자동 수정을 활성화합니다.
• C.AWS Resource Access Manager를 사용하여 요청된 각 보안 그룹에 대한 공유 리소스를 생성하고 보안 그룹에만 읽기 전용 액세스를 허용하는 IAM 정책을 적용합니다.
• D.AWS Control Tower를 사용하여 스네어 보안 그룹 옵션을 활성화하도록 계정 공장 템플릿을 편집합니다. 로컬 계정 사용자의 보안 그룹 수정을 금지하는 OU 또는 개별 계정에 SCP 적용

Comment: *

Name: *

Email: *

Verification: *

애플리케이션은 현재 네트워크 액세스 제어 목록 및 보안 그룹을 사용하여 보호됩니다. 웹 서버는 ALB(Application Load Balancer) 뒤의 퍼블릭 서브넷에 있습니다. 애플리케이션 서버는 프라이빗 서브넷에 있습니다.
공격으로부터 Amazon EC2 인스턴스를 보호하기 위해 엣지 보안을 어떻게 강화할 수 있습니까? (2개를 선택하세요.)

• A.모든 인바운드 및 아웃바운드 네트워크 트래픽이 AWS Direct Connect 연결을 통해 라우팅되도록 요구합니다.
• B.웹 서버를 공인 IP 주소가 없는 사설 서브넷으로 이동합니다.
• C.ALB에 대한 DDoS 공격 보호를 제공하도록 AWS WAF를 구성합니다.
• D.모든 인바운드 네트워크 트래픽이 프라이빗 서브넷의 배스천 호스트를 통해 라우팅되도록 요구합니다.
• E.모든 인바운드 트래픽에 대해 NAT 게이트웨이를 사용하도록 애플리케이션의 EC2 인스턴스를 구성합니다.

Comment: *

Name: *

Email: *

Verification: *

회사는 AWS S3 버킷에서 민감한 데이터를 호스팅하고 있습니다. 버킷이 항상 비공개로 유지되도록 해야 합니다. 이것이 어떻게 지속적으로 보장될 수 있습니까? 아래 주어진 옵션에서 2개의 답변을 선택하십시오. 선택하십시오:

• A.AWS Config를 사용하여 AWS 버킷의 변경 사항 모니터링
• B.AWS Lambda 함수를 사용하여 버킷 정책 변경
• C.AWS Trusted Advisor API를 사용하여 AWS 버킷의 변경 사항 모니터링
• D.AWS Lambda 함수를 사용하여 버킷 ACL 변경

Correct Answer: A,D

AWS 블로그 중 하나는 이를 달성하기 위해 AWS Config 및 Lambda의 사용을 언급합니다. 아래는 이에 대한 다이어그램 표현입니다.

Trusted Advisor API를 사용하여 AWS 버킷 옵션 B의 변경 사항을 모니터링하는 것이 가장 적절하지 않은 것 같기 때문에 옵션 C가 유효하지 않습니다.
1. 객체가 모든 객체가 프라이빗이어야 하는 버킷에 있고 객체가 더 이상 프라이빗이 아닌 경우 Lambda 함수는 S3에 대해 PutObjectAcI를 호출하여 객체를 프라이빗으로 만듭니다.
|https://aws.amazon.com/blogs/security/how-to-detect-and-automatically-remediate-unintended-permissions-in-amazon-s3-bbiect-acls-with-cloudwatch-events/ 다음 링크 또한 새 Lambda 함수를 생성하여 Amazon S3 버킷 ACL 및 버킷 정책을 검사하도록 지정합니다. 버킷 ACL이 공개 액세스로 발견되면 Lambda 함수가 이를 비공개로 덮어씁니다. 버킷 정책이 발견되면 Lambda 함수는 SNS 메시지를 생성하고 정책을 메시지 본문에 넣은 다음 우리가 생성한 Amazon SNS 주제에 게시합니다. 버킷 정책은 복잡할 수 있으며 정책을 덮어쓰면 예기치 않은 액세스 손실이 발생할 수 있으므로 이 Lambda 함수는 어떤 식으로든 정책 변경을 시도하지 않습니다.
https://aws.amazon.com/blogs/security/how-to-use-aws-config-to-monitor-for-and-respond-to-amazon-s3-buckets-allowinj 이러한 사실에 기초하여 옵션 D는 옵션 B보다 더 적절합니다.
이 사용 사례의 구현에 대한 자세한 내용은 다음 링크를 참조하십시오.
https://aws.amazon.com/blogs/security/how-to-use-aws-config-to-monitor-for-and-respond-to-amazon-s3-buckets-allowinj 정답은 다음과 같습니다. AWS 사용 AWS 버킷의 변경 사항을 모니터링하는 구성 AWS Lambda 함수를 사용하여 버킷 ACL 변경

Comment: *

Name: *

Email: *

Verification: *

대기업은 규정 준수 팀이 Amazon S3 버킷을 감사하여 개인 식별 정보(PII)가 저장되어 있는지 확인하기를 원합니다. 이 회사는 수백 개의 S3 버킷을 보유하고 있으며 보안 엔지니어에게 모든 버킷을 스캔하도록 요청했습니다.
이 작업을 어떻게 수행할 수 있습니까?

• A.여러 리전에서 Amazon GuardDuty를 활성화하여 S3 버킷을 스캔합니다. GuardDuty 알림을 캡처하고 PII가 감지된 경우 알림을 받을 Amazon SNS 주제를 지정하도록 Amazon CloudWatch Events를 구성합니다.
• B.Amazon Inspector가 S3 버킷에서 매일 PII를 검색하도록 트리거하도록 Amazon CloudWatch Events를 구성합니다.
  PII가 감지되는 경우 규정 준수 팀에 Amazon SNS 알림을 게시하도록 Amazon Inspector를 구성합니다.
• C.AWS Management Console에서 AWS Trusted Advisor 데이터 손실 방지 페이지를 확인합니다. Amazon S3 데이터 기밀 보고서를 다운로드하여 규정 준수 팀에 보냅니다. Trusted Advisor 알림을 캡처하고 PII가 감지된 경우 알림을 받을 Amazon SNS 주제를 지정하도록 Amazon CloudWatch Events를 구성합니다.
• D.S3 버킷의 데이터를 분류하고 대시보드에서 PII 결과를 확인하도록 Amazon Macie를 구성합니다.
  Macie 알림을 캡처하고 PII가 감지된 경우 알림을 받을 Amazon SNS 주제를 지정하도록 Amazon CloudWatch Events를 구성합니다.

Comment: *

Name: *

Email: *

Verification: *

회사는 Amazon EC2 인스턴스에 연결된 Amazon EBS 볼륨에 데이터를 저장합니다. 데이터는 Amazon S3 버킷에 비동기식으로 복제됩니다. EBS 볼륨과 S3 버킷은 모두 동일한 AWS KMS CMK(고객 마스터 키)로 암호화됩니다. 전 직원이 퇴사하기 전에 해당 CMK 삭제를 예약했습니다.
회사의 개발자 운영 부서는 CMK가 삭제된 후에야 이에 대해 알게 됩니다.
이 상황을 해결하려면 어떤 조치를 취해야 합니까?

• A.볼륨이 EC2 인스턴스에서 분리되기 전에 EBS 암호화 볼륨에서 직접 데이터를 복사합니다.
• B.이전 버전의 KMS 백업 키를 사용하여 EBS 암호화 볼륨에서 데이터를 복구합니다.
• C.AWS Support에 S3 암호화 데이터 복구를 요청합니다.
• D.AWS Support에 삭제된 CMK 복원을 요청하고 데이터 복구에 사용합니다.

Comment: *

Name: *

Email: *

Verification: *