[AWS SCS 자격증 공부] AWS SCS Specialty 자격증 공부 정리

안녕하세요. 루트입니다. 이번에 클라우드 보안 전문 자격증인 AWS SCS Specialty 합격 후기를 써보려고 합니다. 작년에 자격증을 취득했는데, 한동안 블로그 운영을 안하다보니 늦게나마 합격후기를 작성합니다.

공부기간은 약 1달정도 걸렸고 783점으로 한 번에 합격했습니다. 누구나 공부하면 취득할 수 있는 자격증인 것 같습니다.

1. 시험 개요

범주 : 전문분야
시험 시간 : 170분
시험 형식 : 65개 문항, 객관식 또는 복수응답

2. 시험 출제 범위와 특징

AWS의 보안과 관련된 문제들이 출제됩니다. AWS의 보안에 관련된 5가지 항목으로 시험을 보게 됩니다.

사고 대응(12%)
로깅 및 모니터링(20%)
인프라 보안(26%)
신원 및 접근통제 관리(20%)
데이터 보안(22%)

3. 공부 및 방법

전체적인 AWS SCS 개념 및 용어 파악
자신만의 요약 암기노트를 만들어 최소 3번이상 반복하여 공부한다
남은 기간동안 아래 사이트에서 덤프를 최소 10번이상 반복하여 공부한다.

https://www.examtopics.com/exams/amazon/aws-certified-security-specialty-scs-c02/view/

4. 끄적 끄적 AWS SCS 나만의 암기노트

(아래 요약 정리는 저만 알아보기 쉽게 정리한거라 보기 어려우실 수 있습니다. 참고용으로만 보세요 :)

AWS Cloud Security Specialty 요약정리_240303.pdf

1.02MB

1. 사고 대응(Incident Response)

# AWS Abuse Reports

# AWS GuardDuty

- AWS 계정 및 워크로드에서 악의적 활동을 모니터링하고 상세한 보안 조사 결과를 제공하는 위협 탐지 서비스

# AWS Security Hub

- AWS 서비스 및 파트너 도구로부터 제공되는 보안 평가결과를 수집하고 우선순위를 지정하는데 도움을 주는 서비스

- AWS config를 써야만 함.

# Amazon Detective

- AWS 리소스에서 로그 데이터를 자동으로 수집하고 기계 학습, 통계 분석 및 그래프이론을 통해 보다 효율적인 보안관련 조사를 시행할 때 사용하는 서비스

# AWS SSM(System Manager)

- AWS와 멀티클라우드 및 하이브리드 환경에서 리소스를 관리하기 위한 엔드투 엔드 관리 솔루션

# AWS Audit Manager

- 증거 수집을 자동화하므로 정책, 절차 및 활동이 효과적으로 운영되고 있는지 평가할 수 있느 ㄴ서비스

# AWS Whitelisting Alerts in AWS GuardDuty

# Centralized Dashboard for GuardDuty Findings

# Incident Response

1. 자격 증명 무효화

n 노출된 자격 증명을 비활성화

n 적절한 경우 노출된 액세스 키를 삭제

2. 권한 있는 액세스 취소

n 사용자에게 IAM 거부 정책 연결

n 미해결 세션 취소

3. IAM 액세스 키의 소스 확인

n 액세스 키가 연결된 사용자 추적

n 액세스 키와 관련된 정책 범위 검토

4. 무결성 확인 및 폭발 반경 결정

n CloudTrail 및 AWS Config를 사용하여 변경된 사항 확인

# Incident Response Use-Cases for Exams

# Amazon Detective

# Incident Response in Cloud

# Penetration Testing in AWS

VAPR를 하지 않는 것을 권장

- T3. Nano

- T2.nano

- T1.micro

- M1.small

2. 로깅 및 모니터링(Logging & Monitoring)

How to Study

1. 보안 모니터링 및 경고를 설계하고 구현한다.

2. 보안 모니터링 및 경고 문제를 해결한다.

3. 로깅 솔루션을 설계하고 구현한다.

4. 로깅 솔루션 문제를 해결한다.

Use Tool

- AWS CloudWatch

- AWS Config

- AWS Cloudtrail

- AWS Kinesis

- # Introduction to Vulnerability, Exploit, Payload

AWS Inspector

3. 인프라 보안

How to study

1. AWS에서 엣지 보안 설계한다.

2. 보안 네트워크 인프라를 설계하고 구현한다.

3. 보안 네트워크 인프라 문제를 해결한다.

4. 호스트 기반 보안을 설계하고 구현한다.

# AMI 보안 고려 사항

1. 안전하지 않은 애플리케이션 비활성화

2. 노출 최소화

3. AMI 베이킹 시 자격 증명 보호

4. Identity and Access Management(20%)

How to study

1. AWS 리소스에 액세스할 수 있도록 확장 가능한 권한 부여 및 인증 시스템을 설계하고 구현한다.

2. AWS 리소스에 액세스하기 위한 권한 부여 및 인증 시스템 문제를 해결

#IAM Access Analyser

- 외부 엔터티와 공유되는 조직 및 계정 내 리소스(S3 버킷 또는 IAM 역할)을 식별할 수 있음. 리소스 및 데이터에 대한 의도하지 않은 액세스 보안위험 식별 가능

# AWS Assume Role

- AWS IAM에서 지원하는 기능 중 하나이다. AWS IAM에서 사용하는 Assume Role를 사용하면 IAM 사용자 또는 AWS 외부 자격증명으로 다른 AWS 계정 또는 리소스에 액세스 할 수 있음.

#AWS STS(Security Token Service)

- AWS에서 보안 토큰을 생성하는 서비스이다. AWS STS를 사용하면 AWS IAM 사용자나 AWS 외부 자격 증명을 사용하여 액세스 권한을 부여할 수 있다.

참조 : https://kyung123a.tistory.com/entry/AWS-STS%EC%99%80-Assume-Role

#AWS Secrets Manager

- 보안 암호의 수명주기를 중앙에서 관리하는데 사용하는 관리형 웹 서비스

- 안전한 저장: 암호화된 형태로 보안 정보를 안전하게 저장합니다.

- 자동 로테이트: 보안 정보의 주기적인 자동 갱신을 통해 보안을 강화합니다.

- 액세스 제어: AWS Identity and Access Management(IAM)을 통한 엄격한 액세스 제어를 제공합니다.

- 강력한 통합: 다양한 AWS 서비스 및 애플리케이션과의 간편한 통합을 지원합니다.

# AWS Break Glass

- AWS 리소스에 대한 비상 접근 또는 특별한 권한을 제공하는 절차 서비스

- AWS 계정에 대한 액세스 권한이 없는 사람이 승인된 프로세스를 사용하여 예외적인 상황에서 액세스 권한을 빠르게 얻을 수 있음.

# AWS Cognito

- 사용자 인증 및 권한 부여를 관리하는되 사용되는 서비스

- 웹 및 모바일 어플리케이션에서 사용자를 인증하고 정보를 안전하게 저장하며 임시 보안 자격증명을 부여하는데 사용

1. 데이터 보안

How to study

1. 키 관리를 설계하고 구현한다.

2. 키 관리 문제를 해결한다.

3. 저장 데이터와 전송 중인 데이터에 대한 데이터 암호화 솔루션을 설계하고 구현한다.

AWS S3

객체 : AWS S3에 저장된 데이터 하나 하나를 객체라고 하는데, 하나 하나의 파일이라고 생각하면 된다.

버킷 : 객체가 파일이라면 버킷은 연관된 객체들을 그룹핑한 최상위 디렉토리이다.

버킷단위로 리전을 지정할 수 있고, 버킷에 포함된 모든 객체에 대해서 일괄적으로 인증과 접속 제한을 걸 수 있다.

AWS 보안 용어 정리

관리 및 거버넌스

# AWS Inspector

- AWS에 배포된 애플리케이션의 보안 및 규정 준수를 개선에 도움을 주는 자동화된 보안 평가 서비스

- Inspector : 감독관

- 애플리케이션의 노출, 취약성 및 모범 사례의 편차를 자동으로 평가

- 평가를 수행한 후 심각도 수준에 따라 우선 순위가 지정된 세부 보안 결과 목록 생성

# AWS Artifact

- 규정 준수와 관련된 정보를 제공하는 신뢰할 수 있는 중앙 리소스

- AWS 보안 및 규정 준수 보고서

# AWS Cloud HSM(Hardware Security Module)

- AWS 클라우드에서 자체 암호화 키를 쉽게 생성하고 사용할 수 있게 해주는 하드웨어 보안 모듈

# AWS Directory Service

- 클라우드 환경에서 사용자, 그룹 및 디바이스에 대한 액세스 정보를 중앙 관리할 수 있는 서비스

# IAM

- AWS 리소스에 대한 액세스를 인증 및 권한 부여를 통해 대상을 안전하게 제어하는 서비스

- AWS 서비스 및 리소스에 대한 액세스를 안전하게 관리

- AWS 사용자 및 그룹을 생성/관리, 권한에 따라 AWS 리소스 액세스 Allow/Deny 설정 가능

# AWS KMS

- 데이터 암호화에 사용되는 암호화 키인 고객 마스터 키(CMK)를 쉽게 생성하고 제어할 수 있는 관리형 서비스

# AWS Organizations

- 생성한 여러 AWS계정을 조직에 통합하고 중앙에서 관리할 수 있는 계정 관리 서비스

- 통합된 결제를 추구

# AWS Shield

- AWS에서 실행되는 애플리케이션을 보호하는 DDoS 보호 서비스

# AWS WAF

- 일반적인 웹 공격으로부터 웹 애플리케이션이나 API를 보호하는 웹 방화벽

- SQL Injention, XSS 방지용

관리도구

# AWS CloudWatch

- AWS Management Conlose를 통해서 애플리케이션을 모니터링하고, 성능 변화에 대응하고 운영 상태에 대한 인사이트를 제공하는 서비스

- AWS Management Console 로그인 이벤트에 대한 경고를 실시간으로 모니터링하는 서비스

- 예상 AWS 요금을 모니터링 가능

- AWS 계정에 대한 예상 요금 모니터링을 활성화 On하면 요금이 계산되어 매일 여러 번 지표 데이터로 CloudWatch에 전송

# AWS CloudWatch Logs Insights

- CloudWatch의 로그 데이터를 효율적으로 검색하고 분석할 수 있는 완전 관리형 서비스

- 직접 로그를 대화형으로 탐색하고 분석할 수 있어 운영 효율성이 좋음.

# AWS EC2 System Manager

- AWS 인프라를 보고 제어하기 위해 사용할 수 있는 AWS 서비스

- AWS리소스에서 운영 태스크를 자동화 가능

- 관리형 인스턴스를 검사하고 탐지된 정책 위반을 보고하거나 시정 조치를 취하여 보안 및 규정 준수 유지하는데 도움

# AWS CloudFormation

- AWS 리소스를 모델링하고 설정하여 리소스 관리 시간을 줄이고 애플리케이션에 더 효율적인 시간을 사용하도록 해주는 서비스

- 서비스 구성을 모델링 가능하게 해주고 맘에 들면 코드로 배포 가능

- 인프라 관리 간소화, 신속하게 코드형 인프라 배포

- 사용자가 리소스 프로비저닝 프로세스를 자동화하여 코드형 인프라를 배포할 수 있는 AWS 서비스는 무엇입니까? CloudFormation

# AWS CloudTrail

- AWS 계정에 대한 거버넌스, 규정 준수, 운영 및 위협 감사를 도와주는 서비스

- 계정 활동 추적 사용 Tracing에 용이

# AWS Config

- AWS 리소스 구성을 측정, 감사 및 평가할 수 있는 서비스

- 감사용, AWS 리소스 변경 사항 확인

# AWS OpsWorks

- Puppet 또는 Chef를 사용하여 애플리케이션을 구성하고 운영을 자동화하는 서비스

- Puppet 및 Chef은 코드를 사용해 서버 구성을 자동화할 수 있게 해주는 플랫폼

- 클라우드 기반 인프라를 관리하기 위한 완전 통합 자동화 툴 제품군 제공

# AWS Marketplace

- 클라우드에 사용할 S/W를 구입하는 곳

- 다른 AWS 사용자에게 솔루션을 판매할 수 있음

- AWS에서 실행되는 타사 소프트웨어를 구입

- 사용자는 라이선스에 따라 시간 또는 월 단위로 소프트웨어 비용 지불

- 사용자가 One-Click으로 애플리케이션을 시작할 수 있음

# AWS Trusted Advisor

- 고객의 AWS 환경을 정밀조사하여 권장 사항을 알려줘 서비스 및 리소스를 최적화할 수 있게 도와주는 서비스

- AWS 환경을 분석하고 모범 사례 권장 : 비용 최적화 / 성능 / 보안 / 내결함성 / 서비스 제한

# AWS Personal Health Dashboard

- 고객의 환경에 영향을 줄 수 있는 AWS 이벤트에 대한 알림과 지침을 제공하는 서비스

- 특정 AWS 서비스의 상태에 대한 맞춤형 보기 제공

- 사용자에게 영향을 줄 수 있는 이벤트를 경험할 때 알림 및 교정 지침 제공

- 예약된 활동에 대해 사전 알림 제공

# AWS Managed Services(AMS)

- AMS가 엔터프라이즈 고객 및 파트너를 대신하여 AWS 인프라 운영하는 서비스

네트워킹 및 콘텐츠 전

# Amazon Detective

# AWS Firewall Manager

# AWS Network Firewall

# AWS Security Hub

# AWS Shield

# Amazon VPC

- VPC 엔드포인트

- 네트워크 ACL

- 보안 그룹

보안, 자격 증명 및 규정 준수

# AWS Certificate Manager(ACM)

# AWS CloudHSM

# AWS Directory Service

# Amazon GuardDuty

- AWS 계정 및 워크로드에서 악의적 활동을 모니터링하고 상세한 보안 조사 결과를 제공하여 가시성 및 해결을 촉진하는 위협 탐지 서비스

# AWS Identity and Access Management(IAM)

# AWS Securets Manager

- AWS에서 제공하는 비밀 관리 서비스로, 자체 인프라 운영에 대한 선행 투자 및 지속적인 유지 관리 비용 없이 애플리케이션, 서비스 및 IT 리소스에 대한 액세스 보호하는 서비스

# Amazon Inspector

# AWS Key Management Service(AWS KMS)

# Amazon Macie

- 데이터 보안 및 데이터 프라이버시 서비스로서, 기계 학습(ML)및 패턴 일치를 활용하여 민감한 데이터를 검색하고 보호하는 서비스

# Amazon Athena

- 표준 SQL을 사용하여 S3에 있는 데이터를 직접 간편하게 분석할 수 있는 대화형 쿼리 서비스

# AWS Single Sign-On

# AWS EvenBridge

- 다양한 소스의 데이터와 어플리케이션을 연결하는데 사용할 수 있는 서버리스 이벤트 버스 서비스

1. 기출문제 정리

#덤프문제사이트(3번이상반복하기)

https://www.examtopics.com/exams/amazon/aws-certified-security-specialty-scs-c02/view/

Q8.

한 회사에서 Amazon GuardDuty를 배포했으며 이제 잠재적인 위협에 대한 자동화를 구현하려고 합니다. 회사는 회사 AWS 환경의 Amazon EC2 인스턴스에서 발생하는 RDP 무차별 대입 공격부터 시작하기로 결정했습니다. 보안 엔지니어는 조사 및 잠재적인 해결이 이루어질 때까지 의심스러운 인스턴스로부터 감지된 통신을 차단하는 솔루션을 구현해야 합니다.
어떤 솔루션이 이러한 요구 사항을 충족합니까?

· A. 이벤트를 Amazon Kinesis 데이터 스트림으로 보내도록 GuardDuty를 구성합니다. Amazon Simple 알림 서비스(Amazon SNS)를 통해 회사에 알림을 보내는 Apache Flink용 Amazon Kinesis Data Analytics 애플리케이션을 사용하여 이벤트를 처리합니다. 의심스러운 인스턴스와 주고받는 트래픽을 차단하는 규칙을 네트워크 ACL에 추가합니다.

회사는 AWS Organizations를 사용하고 여러 AWS 계정에 걸쳐 프로덕션 워크로드를 보유하고 있습니다. 보안 엔지니어는 프로덕션 워크로드가 포함된 모든 계정에서 의심스러운 동작을 사전에 모니터링하는 솔루션을 설계해야 합니다.
솔루션은 프로덕션 계정 전반에 걸쳐 사고 해결을 자동화해야 합니다. 또한 이 솔루션은 중요한 보안 결과가 탐지되면 Amazon Simple 알림 서비스(Amazon SNS) 주제에 알림을 게시해야 합니다. 또한 솔루션은 모든 보안 사고 로그를 전용 계정으로 보내야 합니다.
어떤 솔루션이 이러한 요구 사항을 충족합니까?

· D. 각 프로덕션 계정에서 AWS Security Hub를 활성화합니다. 전용 로깅 계정에서 각 프로덕션 계정의 모든 Security Hub 결과를 집계합니다. Amazon EventBridge를 사용하여 Security Hub 결과에서 사용자 지정 AWS Lambda 함수를 호출하여 사고를 해결합니다. SNS 주제에도 알림을 게시하도록 Lambda 함수를 구성합니다.

보안 엔지니어가 한 회사와 협력하여 전자상거래 애플리케이션을 설계하고 있습니다. 애플리케이션은 ALB(Application Load Balancer) 뒤의 Auto Scaling 그룹에서 실행되는 Amazon EC2 인스턴스에서 실행됩니다. 애플리케이션은 데이터베이스로 Amazon RDS DB 인스턴스를 사용합니다.
인터넷에서 필요한 유일한 연결은 애플리케이션에 대한 HTTP 및 HTTPS 트래픽입니다. 애플리케이션은 미리 구성된 IP 주소 허용 목록의 트래픽만 허용하는 외부 결제 공급자와 통신해야 합니다. 회사는 환경이 확장됨에 따라 외부 결제 제공업체와의 통신이 중단되지 않도록 해야 합니다.
이러한 요구 사항을 충족하기 위해 보안 엔지니어는 어떤 작업 조합을 권장해야 합니까? (3개를 선택하세요.)

A. 사용 중인 모든 가용 영역에 대해 각 프라이빗 서브넷에 NAT 게이트웨이를 배포합니다.

C. DB 인스턴스를 프라이빗 서브넷에 배치합니다.

E. EC2 인스턴스를 프라이빗 서브넷에 배치하도록 Auto Scaling 그룹을 구성합니다.

보안 엔지니어는 모든 사용자의 액세스를 거부하는 Amazon S3 버킷 정책을 생성합니다. 며칠 후 보안 엔지니어는 다른 직원 한 명에게 읽기 전용 액세스를 허용하는 추가 명령문을 버킷 정책에 추가합니다. 정책을 업데이트한 후에도 해당 직원은 액세스 거부 메시지를 받습니다.
이 액세스 거부의 원인은 무엇입니까?

D. 허용 권한이 거부로 인해 무시됩니다.( 정책의 명시적 거부는 허용보다 우선합니다.")

한 회사는 AWS Lambda, Amazon S3, Amazon Simple 알림 서비스(Amazon SNS) 및 Amazon DynamoDB를 사용하여 애플리케이션을 개발했습니다. 외부 애플리케이션은 회사의 S3 버킷에 객체를 넣고 날짜와 시간으로 객체에 태그를 지정합니다. Lambda 함수는 날짜 및 시간 태그를 기반으로 회사의 S3 버킷에서 주기적으로 데이터를 가져오고 추가 처리를 위해 특정 값을 DynamoDB 테이블에 삽입합니다.
데이터에는 개인 식별 정보(PII)가 포함됩니다. 회사는 S3 버킷 및 DynamoDB 테이블에서 30일보다 오래된 데이터를 제거해야 합니다.
가장 효율적인 운영 효율성으로 이 요구 사항을 충족하는 솔루션은 무엇입니까?

B. 30일보다 오래된 객체를 만료시키는 S3 수명 주기 정책을 생성합니다. DynamoDB 테이블에 TTL 속성을 추가하도록 Lambda 함수를 업데이트합니다. TTL 속성을 기준으로 30일보다 오래된 항목을 만료하려면 DynamoDB 테이블에서 TTL을 활성화합니다.

해설 : S3의 수명 주기 정책, dynamodb의 TTL.

회사는 SAML 연동을 사용하여 사용자에게 AWS 계정에 대한 액세스 권한을 부여합니다. 격리된 AWS 계정에 있는 회사 워크로드는 Amazon EC2에 사람이 액세스할 수 없는 변경 불가능한 인프라에서 실행됩니다. 회사에서는 SAML 오류가 발생할 경우 워크로드 AWS 계정 및 인스턴스에 액세스할 수 있도록 Break Glass 사용자라고 하는 전문 사용자가 필요합니다. 최근 감사에서는 회사가 워크로드가 포함된 AWS 계정에 대한 Break Glass 사용자를 생성하지 않은 것으로 나타났습니다.

회사는 Break Glass 사용자를 생성해야 합니다. 회사는 Break Glass 사용자의 모든 활동을 기록하고 해당 로그를 보안팀에 보내야 합니다.

이러한 요구 사항을 충족하는 솔루션 조합은 무엇입니까? (2개를 선택하세요.)

A, E

· A. 보안 팀을 위한 로컬 개별 Break Glass IAM 사용자를 생성합니다. Amazon CloudWatch Logs가 활성화된 AWS CloudTrail에 추적을 생성합니다. Amazon EventBridge를 사용하여 로컬 사용자 활동을 모니터링합니다. 최다 투표

· B. AWS 계정에 대한 Break Glass EC2 키 쌍을 생성합니다. 보안팀에 키 쌍을 제공하세요. AWS CloudTrail을 사용하여 키 페어 활동을 모니터링합니다. Amazon Simple 알림 서비스(Amazon SNS)를 사용하여 보안 팀에 알림을 보냅니다.

· C. 계정에 대한 Break Glass IAM 역할을 생성합니다. 보안팀 구성원이 AssumeRoleWithSAML 작업을 수행하도록 허용합니다. Amazon CloudWatch Logs가 활성화된 AWS CloudTrail 추적을 생성합니다. Amazon EventBridge를 사용하여 보안 팀 활동을 모니터링하십시오.

· D. 각 워크로드 인스턴스의 운영 체제 수준에서 로컬 개별 Break Glass IAM 사용자를 생성합니다. Break Glass IAM 사용자에게 액세스 권한을 부여하려면 인스턴스에 무제한 보안 그룹을 구성하십시오.

· E. Amazon EC2용 AWS 시스템 관리자 세션 관리자를 구성합니다. Session Manager를 기반으로 AWS CloudTrail 필터를 구성합니다. 결과를 Amazon Simple 알림 서비스(Amazon SNS) 주제로 보냅니다. 최다 투표최다 투표

회사는 리소스에 대한 공개 액세스 또는 교차 계정 액세스를 허용하는 IAM 정책을 식별하고 방지하는 능력을 향상해야 합니다. 이 회사는 AWS Organizations를 구현했으며 AWS Identity and Access Management Access Analyser를 사용하여 조직 내 계정에 대한 지나치게 광범위한 액세스를 개선하기 시작했습니다.

보안 엔지니어는 새로 생성된 정책에 대해 과도하게 허용적인 정책에 대한 회사 조직의 대응을 자동화해야 합니다. 자동화는 외부 액세스를 교정하고 회사 보안 팀에 알려야 합니다.

이러한 요구 사항을 충족하려면 보안 엔지니어가 수행해야 하는 단계 조합은 무엇입니까? (3개를 선택하세요.) A, C, F

· A. 결과에서 리소스 유형을 확인하고 IAM 역할에 대한 신뢰 정책에 명시적인 거부 문을 추가하는 AWS Step Functions 상태 머신을 생성합니다. Amazon Simple Notification Service(Amazon SNS) 주제에 알림을 게시하도록 상태 시스템을 구성합니다. 최다 투표

· B. 모든 리소스 유형 결과를 AWS Lambda 함수로 전달하는 AWS Batch 작업을 생성합니다. IAM 역할에 대한 신뢰 정책에 명시적인 거부 문을 추가하도록 Lambda 함수를 구성합니다. Amazon Simple Notification Service(Amazon SNS) 주제에 알림을 게시하도록 AWS Batch 작업을 구성합니다.

· C. Amazon EventBridge에서 활성 IAM Access Analyser 결과와 일치하는 이벤트 규칙을 생성하고 해결을 위해 AWS Step Functions를 호출합니다. 최다 투표

· D. Amazon CloudWatch에서 활성 IAM Access analyzer 결과와 일치하는 지표 필터를 생성하고 해결을 위해 AWS Batch를 호출합니다.

· E. Amazon Simple Queue Service(Amazon SQS) 대기열을 생성합니다. 외부 주체에게 특정 IAM 역할에 대한 액세스 권한이 부여되었으나 차단되었다는 알림을 보안 팀에 전달하도록 대기열을 구성합니다.

· F. 외부 또는 교차 계정 액세스 알림을 위한 Amazon Simple 알림 서비스(Amazon SNS) 주제를 생성합니다. 보안팀의 이메일 주소로 해당 주제를 구독하세요. 최다 투표

보안 엔지니어는 5분 동안 AWS Management Console에 대한 로그인 시도가 3번 이상 실패할 때 경고를 보내는 메커니즘을 구성하고 있습니다. 보안 엔지니어는 이 작업을 지원하기 위해 AWS CloudTrail에 추적을 생성합니다.

어떤 솔루션이 이러한 요구 사항을 충족합니까?

· A. CloudTrail에서 트레일에 대한 Insights 이벤트를 활성화합니다. EventName이 ConsoleLogin과 일치하고 errorMessage가 "인증 실패'와 일치하여 통찰력에 대한 경보를 구성합니다. 임계값을 3으로, 기간을 5분으로 구성합니다.

· B. 이벤트를 Amazon CloudWatch Logs로 보내도록 CloudTrail을 구성합니다. 해당 로그 그룹에 대한 지표 필터를 생성합니다. EventName이 ConsoleLogin과 일치하고 errorMessage가 "인증 실패"와 일치하는 필터 패턴을 만듭니다. 임계값이 3이고 기간이 5분인 CloudWatch 경보를 생성합니다. 최다 투표

· C. CloudTrail 이벤트에서 Amazon Athena 테이블을 생성합니다. ConsoleLogin과 일치하는 eventName 및 "인증 실패"와 일치하는 errorMessage에 대한 쿼리를 실행합니다. 쿼리에서 알림 작업을 생성하여 5분 내에 개수가 3이 되면 Amazon Simple 알림 서비스(Amazon SNS) 알림을 보냅니다.

· D. AWS Identity and Access Management Access Analyser에서 새 분석기를 생성합니다. 5분 내에 IAM 사용자에 대해 로그인 실패 이벤트가 3번 발생할 경우 Amazon Simple Notification Service(Amazon SNS) 알림을 보내도록 분석기를 구성합니다.

회사는 Amazon S3 버킷에 웹 사이트의 이미지를 저장합니다. 회사는 Amazon CloudFront를 사용하여 최종 사용자에게 이미지를 제공하고 있습니다. 회사는 최근 회사에 배포 라이센스가 없는 국가에서 이미지에 액세스하고 있음을 발견했습니다.

배포를 제한하기 위해 이미지를 보호하기 위해 회사는 어떤 조치를 취해야 합니까? (2개를 선택하세요.)

· A. S3 버킷 정책을 업데이트하여 CloudFront 원본 액세스 제어(OAC)에 대한 액세스를 제한합니다. 최다 투표

· B. 회사에 라이선스가 부족한 국가의 Amazon Route 53 지리 위치 기록 거부 목록을 사용하려면 웹 사이트 DNS 기록을 업데이트하십시오.

· C. 회사에 라이선스가 부족한 국가의 CloudFront 지리적 제한 거부 목록을 추가합니다. 최다 투표

· D. 회사에 라이선스가 부족한 국가의 거부 목록으로 S3 버킷 정책을 업데이트합니다.

· E. CloudFront에서 Restrict Viewer Access 옵션을 활성화하여 회사에 라이선스가 부족한 국가의 거부 목록을 생성합니다.

회사는 IaC(Infrastructure as Code)를 사용하여 AWS 인프라를 생성합니다. 회사는 인프라를 배포하기 위해 코드를 AWS CloudFormation 템플릿으로 작성합니다. 회사에는 이러한 템플릿을 배포하는 데 사용할 수 있는 기존 CI/CD 파이프라인이 있습니다.

최근 보안 감사 후 회사는 AWS에서 회사의 보안 상태를 개선하기 위해 코드형 정책 접근 방식을 채택하기로 결정했습니다. 회사는 암호화되지 않은 Amazon Elastic Block Store(Amazon EBS) 볼륨과 같이 보안 정책을 위반하는 인프라의 배포를 방지해야 합니다.

어떤 솔루션이 이러한 요구 사항을 충족합니까?

· A. AWS Trusted Advisor를 활성화합니다. CI/CD 파이프라인의 기본 설정 섹션에서 보안 알림을 웹훅으로 구성합니다.

· B. AWS Config를 켭니다. 미리 작성된 규칙 또는 사용자 정의된 규칙을 사용하십시오. AWS Config에서 알림을 수신하는 Amazon Simple 알림 서비스(Amazon SNS) 주제에 대한 타일 CI/CD 파이프라인을 구독합니다.

· C. AWS CloudFormation Guard에서 규칙 세트를 생성합니다. CI/CD 프로세스의 한 단계로 CloudFormation 템플릿에 대한 유효성 검사를 실행합니다. 최다 투표

· D. 규칙 세트를 SCP로 생성합니다. CI/CD 프로세스 단계에서 검증 제어의 일부로 SCP를 통합합니다

한 회사가 VPC에서 MySQL DB 인스턴스용 Amazon RDS를 실행하고 있습니다. VPC는 인터넷을 통해 네트워크 트래픽을 보내거나 받아서는 안 됩니다.

보안 엔지니어는 AWS Secrets Manager를 사용하여 DB 인스턴스 자격 증명을 자동으로 교체하려고 합니다. 보안 정책으로 인해 보안 엔지니어는 Secrets Manager가 제공하는 표준 AWS Lambda 기능을 사용하여 자격 증명을 교체할 수 없습니다.

보안 엔지니어는 VPC에 사용자 지정 Lambda 함수를 배포합니다. 사용자 지정 Lambda 함수는 Secrets Manager에서 암호 교체를 담당합니다. 보안 엔지니어는 이 기능의 연결을 허용하도록 DB 인스턴스의 보안 그룹을 편집합니다. 함수가 호출되면 함수는 Secrets Manager와 통신하여 암호를 적절하게 교체할 수 없습니다.

함수가 비밀을 순환할 수 있도록 보안 엔지니어는 무엇을 해야 합니까?

· A. VPC에 외부 전용 인터넷 게이트웨이를 추가합니다. Lambda 함수의 서브넷만 외부 전용 인터넷 게이트웨이를 통해 트래픽을 라우팅하도록 허용합니다.

· B. VPC에 NAT 게이트웨이를 추가합니다. NAT 게이트웨이를 통해 기본 경로를 사용하여 Lambda 함수의 서브넷만 구성합니다.

· C. Secrets Manager의 기본 VPC에 대한 VPC 피어링 연결을 구성합니다. 경로에 피어링 연결을 사용하도록 Lambda 함수의 서브넷을 구성합니다.

· D. Secrets Manager 인터페이스 VPC 엔드포인트를 구성합니다. 구성 프로세스 중에 Lambda 함수의 프라이빗 서브넷을 포함합니다. 최다 투표

보안 엔지니어는 Amazon EC2 인스턴스에서 실행되는 기존 3계층 웹 애플리케이션을 관리하고 있습니다. 이 애플리케이션은 인터넷에서 점점 더 많은 악성 공격의 표적이 되었습니다.

알려진 취약점을 확인하고 공격 표면을 제한하기 위해 보안 엔지니어는 어떤 단계를 수행해야 합니까? (2개를 선택하세요.) B, D

· A. AWS Certificate Manager를 사용하여 클라이언트와 애플리케이션 서버 간의 모든 트래픽을 암호화하십시오.

· B. 애플리케이션 보안 그룹을 검토하여 필요한 포트만 열려 있는지 확인합니다. 최다 투표

· C. Elastic Load Balancing을 사용하여 SSL(Secure Sockets Layer) 암호화를 오프로드합니다.

· D. Amazon Inspector를 사용하여 백엔드 인스턴스를 주기적으로 스캔합니다. 최다 투표

· E. AWS KMS(AWS Key Management Service)를 사용하여 클라이언트와 애플리케이션 서버 간의 모든 트래픽을 암호화합니다.

보안 엔지니어는 Amazon Simple 알림 서비스(Amazon SNS)를 사용하여 심각도가 높은 Amazon GuardDuty 결과에 대해 회사의 보안 팀에 이메일 알림을 보내려고 합니다. 또한 보안 엔지니어는 추가 조사를 위해 이러한 결과를 시각화 도구에 전달하려고 합니다.

어떤 솔루션이 이러한 요구 사항을 충족합니까?

· A. CloudWatch에 두 개의 대상이 있는 Amazon CloudWatch 경보에 알림을 보내도록 GuardDuty를 설정하십시오. CloudWatch에서 Amazon Kinesis Data Streams를 통해 결과를 첫 번째 전달 대상으로 Amazon Open Search Service 도메인으로 스트리밍합니다. Amazon QuickSight를 사용하여 결과를 시각화합니다. 추가 분석을 위해 OpenSearch 쿼리를 사용하세요. SNS 주제를 CloudWatch 경보의 두 번째 대상으로 구성하여 보안 팀에 이메일 알림을 전달합니다. Amazon EventBridge 이벤트 규칙과 일치하는 이벤트 패턴을 사용하여 알림에서 심각도가 높은 결과만 보냅니다.

· B. CloudTrail의 두 대상을 사용하여 AWS CloudTrail에 알림을 보내도록 GuardDuty를 설정합니다. CloudTrail에서 Amazon Kinesis Data Firehose를 통해 결과를 첫 번째 전달 대상으로 Amazon OpenSearch Service 도메인으로 스트리밍합니다. OpenSearch 대시보드를 사용하여 결과를 시각화합니다. 추가 분석을 위해 OpenSearch 쿼리를 사용하세요. SNS 주제를 CloudTrail의 두 번째 대상으로 구성하여 보안 팀에 이메일 알림을 전달합니다. CloudTrail 이벤트 규칙과 일치하는 이벤트 패턴을 사용하여 알림에서 심각도가 높은 결과만 보냅니다.

· C. 두 개의 대상이 있는 Amazon EventBridge에 알림을 보내도록 GuardDuty를 설정합니다. EventBridge에서 Amazon Kinesis Data Firehose를 통해 결과를 첫 번째 전달 대상인 Amazon OpenSearch Service 도메인으로 스트리밍합니다. OpenSearch 대시보드를 사용하여 결과를 시각화합니다. 추가 분석을 위해 OpenSearch 쿼리를 사용하세요. SNS 주제를 EventBridge의 두 번째 대상으로 구성하여 보안 팀에 이메일 알림을 전달합니다. EventBridge 이벤트 규칙과 일치하는 이벤트 패턴을 사용하여 경고에서 심각도가 높은 결과만 보냅니다. 최다 투표

· D. 두 개의 대상이 있는 Amazon EventBridge에 알림을 보내도록 GuardDuty를 설정합니다. EventBridge에서 Amazon Kinesis Data Streams를 통해 결과를 첫 번째 전달 대상인 Amazon OpenSearch Service 도메인으로 스트리밍합니다. Amazon QuickSight를 사용하여 결과를 시각화합니다. 추가 분석을 위해 OpenSearch 쿼리를 사용하세요. SNS 주제를 EventBridge의 두 번째 대상으로 구성하여 보안 팀에 이메일 알림을 전달합니다. EventBridge 이벤트 규칙과 일치하는 이벤트 패턴을 사용하여 경고에서 심각도가 높은 결과만 보냅니다.

해설 : 옵션에는 EventBridge를 사용하여 GuardDuty 결과를 처리한 다음 이를 두 대상, 즉 시각화를 위해 Kinesis Data Firehose를 통해 Amazon OpenSearch Service 도메인으로 결과를 스트리밍하는 작업이 포함됩니다. 심각도가 높은 결과만 필터링하기 위해 이벤트 패턴 일치를 사용하여 SNS를 통해 보안 팀에 이메일 알림을 보냅니다. 이 접근 방식은 EventBridge의 유연성을 활용하여 워크플로를 관리하고 특정 기준에 따라 다양한 서비스로 이벤트를 라우팅합니다.

이 AWS 기사에 따르면 GuardDuty -> EventBrdige -> Firehouse -> OpenSearch -> OpenSearch 시각화입니다. https://aws.amazon.com/blogs/security/visualizing-amazon-guardduty-findings/

회사는 AWS CloudFormation 템플릿에서 리소스를 배포하려면 보안 모범 사례를 따라야 합니다. CloudFormation 템플릿은 중요한 데이터베이스 자격 증명을 구성할 수 있어야 합니다.

이 회사는 이미 AWS Key Management Service(AWS KMS)와 AWS Secrets Manager를 사용하고 있습니다.

어떤 솔루션이 요구 사항을 충족합니까?

· A. CloudFormation 템플릿의 동적 참조를 사용하여 Secrets Manager의 데이터베이스 자격 증명을 참조하십시오. 최다 투표

· B. CloudFormation 템플릿의 매개변수를 사용하여 데이터베이스 자격 증명을 참조합니다. AWS KMS를 사용하여 CloudFormation 템플릿을 암호화합니다.

· C. CloudFormation 템플릿의 SecureString 매개변수를 사용하여 Secrets Manager의 데이터베이스 자격 증명을 참조합니다.

· D. CloudFormation 템플릿의 SecureString 매개변수를 사용하여 AWS KMS에서 암호화된 값을 참조합니다.

한 국제 회사에서는 회사의 모든 AWS 리전과 여러 계정에서 AWS Security Hub 결과를 결합하려고 합니다. 또한 회사는 더 심층적인 분석과 통찰력을 위해 이러한 결과를 운영 데이터와 연관시키는 중앙 집중식 사용자 지정 대시보드를 만들고 싶어합니다. 회사에는 Security Hub 결과를 검색하고 시각화하기 위한 분석 도구가 필요합니다.

이러한 요구 사항을 충족하는 단계 조합은 무엇입니까? (3개를 선택했습니다.)

B,D,F

· A. AWS 계정을 Security Hub의 위임된 관리자로 지정합니다. 위임된 관리자 계정, 모든 멤버 계정 및 Security Hub 결과에 대해 활성화된 필수 리전에서 Amazon CloudWatch에 이벤트를 게시합니다.

· B. AWS Organizations 내 조직의 AWS 계정을 Security Hub의 위임된 관리자로 지정합니다. 위임된 관리자 계정, 모든 멤버 계정 및 Security Hub 결과에 대해 활성화된 필수 지역에서 Amazon EventBridge에 이벤트를 게시합니다.

· C. 각 지역에서 Amazon Kinesis 데이터 스트림에 결과를 전달하는 Amazon EventBridge 규칙을 생성합니다. 단일 Amazon S3 버킷에 로그를 출력하도록 Kinesis 데이터 스트림을 구성합니다.

· D. 각 지역에서 Amazon Kinesis Data Firehose 전송 스트림에 결과를 전송하는 Amazon EventBridge 규칙을 생성합니다. 단일 Amazon S3 버킷에 로그를 전송하도록 Kinesis Data Firehose 전송 스트림을 구성합니다.

· E. AWS Glue DataBrew를 사용하여 Amazon S3 버킷을 크롤링하고 스키마를 구축합니다. AWS Glue 데이터 카탈로그를 사용하여 데이터를 쿼리하고 보기를 생성하여 중첩된 속성을 평면화합니다. Amazon Athena를 사용하여 Amazon QuickSight 대시보드를 구축하십시오.

· F. Amazon S3 데이터를 분할합니다. AWS Glue를 사용하여 S3 버킷을 크롤링하고 스키마를 구축합니다. Amazon Athena를 사용하여 데이터를 쿼리하고 중첩된 속성을 평면화하는 보기를 생성합니다. Athena 보기를 사용하는 Amazon QuickSight 대시보드를 구축합니다.

IAM 사용자는 Amazon S3 버킷의 객체에 액세스하려고 하면 액세스 거부 메시지를 받습니다. 사용자와 S3 버킷은 동일한 AWS 계정에 있습니다. S3 버킷은 동일한 AWS 계정의 고객 관리형 키를 사용하여 저장 중인 모든 객체를 암호화하기 위해 AWS KMS 키(SSE-KMS)를 사용한 서버 측 암호화를 사용하도록 구성됩니다. S3 버킷에는 정의된 버킷 정책이 없습니다. IAM 사용자에게는 고객 관리형 키에 대한 kms:Decrypt 권한을 허용하는 IAM 정책을 통해 권한이 부여되었습니다. IAM 정책은 S3 버킷과 해당 객체에 대한 s3:List* 및 s3:Get* 권한도 허용합니다.

다음 중 IAM 사용자가 S3 버킷의 객체에 액세스할 수 없는 이유는 무엇입니까?

· A. IAM 정책은 kms:DescribeKey 권한을 허용해야 합니다.

· B. S3 버킷은 AWS 관리형 키를 사용하여 저장 중인 객체를 암호화하도록 변경되었습니다.

· C. IAM 사용자가 객체에 액세스할 수 있도록 S3 버킷 정책을 추가해야 합니다.

· D. KMS 키 정책이 편집되어 AWS 계정이 키에 대한 전체 액세스 권한을 갖는 기능을 제거했습니다. 최다 투표

보안 엔지니어가 AWS Lambda 함수를 생성하고 있습니다. Lambda 함수는 다른 AWS 계정에서 AcmeAuditFactoryRole이라는 역할을 맡으려면 LambdaAuditRole이라는 역할을 사용해야 합니다.

코드가 처리되면 "AssumeRole 작업을 호출하는 동안 오류가 발생했습니다(AccessDenied)."라는 오류 메시지가 나타납니다.

이 오류를 해결하려면 보안 엔지니어가 수행해야 하는 단계 조합은 무엇입니까? (2개를 선택하세요.)

· A. LambdaAuditRole에 AcmeAuditFactoryRole에 대한 sts:AssumeRole 권한이 있는지 확인하십시오. 최다 투표

· B. LambdaAuditRole에 AWSLambdaBasicExecutionRole 관리형 정책이 연결되어 있는지 확인하세요.

· C. AcmeAuditFactoryRole에 대한 신뢰 정책이 LambdaAuditRole의 sts:AssumeRole 작업을 허용하는지 확인합니다. 최다 투표

· D. LambdaAuditRole에 대한 신뢰 정책이 Lambda.amazonaws.com 서비스의 sts:AssumeRole 작업을 허용하는지 확인하십시오.

· E. sts:AssumeRole API 호출이 us-east-1 리전 엔드포인트에 실행되고 있는지 확인하세요.

'CERTIFICATE > AWS' 카테고리의 다른 글

[자격증 합격 후기] AWS Cloud Practitioner 자격증 합격 후기 (7)	2023.03.19

1. 시험 개요

2. 시험 출제 범위와 특징

3. 공부 및 방법

4. 끄적 끄적 AWS SCS 나만의 암기노트

'CERTIFICATE > AWS' 카테고리의 다른 글

티스토리툴바