A company recently migrated to AWS and wants to implement a solution to protect the traffic that flows in and out of the production VPC. The company had an inspection server in its on-premises data center. The inspection server performed specific operations such as traffic flow inspection and traffic filtering. The company wants to have the same functionalities in the AWS Cloud.
Which solution will meet these requirements?
- A. Use Amazon GuardDuty for traffic inspection and traffic filtering in the production VPC.
- B. Use Traffic Mirroring to mirror traffic from the production VPC for traffic inspection and filtering.
- C. Use AWS Network Firewall to create the required rules for traffic inspection and traffic filtering for the production VPC.
- D. Use AWS Firewall Manager to create the required rules for traffic inspection and traffic filtering for the production VPC.
최근에 AWS로 마이그레이션한 회사에서 프로덕션 VPC로 들어오고 나가는 트래픽을 보호하기 위한 솔루션을 구현하려고 합니다. 이 회사는 온프레미스 데이터 센터에 검사 서버를 가지고 있었습니다. 검사 서버는 트래픽 흐름 검사 및 트래픽 필터링과 같은 특정 작업을 수행했습니다. 회사는 AWS 클라우드에서 동일한 기능을 갖기를 원합니다.
이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
- A. 프로덕션 VPC에서 트래픽 검사 및 트래픽 필터링에 Amazon GuardDuty를 사용하십시오.
- B. 트래픽 미러링을 사용하여 트래픽 검사 및 필터링을 위해 프로덕션 VPC의 트래픽을 미러링합니다.
- C. AWS Network Firewall을 사용하여 프로덕션 VPC에 대한 트래픽 검사 및 트래픽 필터링에 필요한 규칙을 생성합니다.
- D. AWS Firewall Manager를 사용하여 프로덕션 VPC에 대한 트래픽 검사 및 트래픽 필터링에 필요한 규칙을 생성합니다.
AWS로 마이그레이션한 회사에서 VPC로 들어오고 나가는 트래픽을 보호하기위한 솔루션을 구현하려고 한다. 온프레미스 데이터 센터에 검사 서버가 있는데 해당 서버는 트래픽 흐름 검사 및 트래픽 필터링과 같은 특정 작업을 수행해왔었는데 AWS에 이와 동일한 기능을 하기는 서비스를 적용하기 원한다.
우선 각 선택지의 서비스에 대해서 알아보자.
Amazon GuardDuty란?
GuardDuty Amazon은 Amazon S3 로그, CloudTrail 관리 이벤트 로그, DNS 로그, Amazon EBS 볼륨AWS CloudTrail 데이터, 쿠버네티스 감사 로그 및 Amazon VPC 흐름 로그에 대한 데이터 이벤트와 같은 데이터 소스를 분석하고 처리하는 지속적인 보안 모니터링 서비스입니다. 악의적인 IP 주소 및 도메인 목록 같은 위협 인텔리전스 피드와 기계 학습을 바탕으로 Machine Learning을 적용하여AWS 환경에서 예기치 않게 발생하는 잠재적 무단 활동과 악의적 활동을 찾아냅니다. 여기에는 권한 에스컬레이션, 노출된 자격 증명 사용, 악의적인 IP 주소, 도메인과의 통신, Amazon EC2 인스턴스 및 컨테이너 워크로드에 존재하는 맬웨어 같은 문제가 포함될 수 있습니다. 예를 들어, 멀웨어를 처리하거나 비트코인을 채굴하는 손상된 EC2 인스턴스 및 컨테이너 워크로드를 GuardDuty 탐지할 수 있습니다. 또한 한 번도 사용한 적이 없는 지역에 배포된 인스턴스와 같은 무단 인프라 배포나 암호 강도를 줄이기 위한 암호 정책 변경과 같은 비정상적인 API 호출과 같은 침해 징후가 있는지AWS 계정 액세스 동작을 모니터링합니다.
VPC 흐름 로그에 대한 데이터 이벤트와 같은 데이터 소스를 분석하고 처리하는 지속적인 보안 모니터링 서비스라고 소개되어 있다.
AWS Network Firewall을 사용하여 네트워크 트래픽 필터링
AWS Network Firewall을 사용하면 VPC 경계에서 네트워크 트래픽을 필터링할 수 있습니다. Network Firewall은 상태를 저장하는 관리형 네트워크 방화벽이자, 침입 탐지 및 방지 서비스입니다.
Network Firewall 리소스설명
| 방화벽 | 방화벽은 방화벽 정책의 네트워크 트래픽 필터링 동작을 보호하려는 VPC에 연결합니다. 방화벽 구성에는 방화벽 엔드포인트가 배치되는 가용 영역 및 서브넷에 대한 사양이 포함됩니다. 또한 AWS 방화벽 리소스의 방화벽 로깅 구성 및 태깅과 같은 상위 수준 설정을 정의합니다.자세한 내용은 AWS Network Firewall의 방화벽을 참조하세요. |
| 방화벽 정책 | 방화벽 정책은 방화벽에 대한 모니터링 및 보호 동작을 정의합니다. 동작의 세부 정보는 정책에 추가하는 규칙 그룹과 일부 정책 기본 설정에 정의됩니다. 방화벽 정책을 사용하려면 하나 이상의 방화벽과 연결합니다.자세한 내용은 AWS Network Firewall의 방화벽 정책을 참조하세요. |
| 규칙 그룹 | 규칙 그룹은 네트워크 트래픽을 검사하고 처리하기 위한 재사용 가능한 기준 세트입니다. 정책 구성의 일부로 방화벽 정책에 하나 이상의 규칙 그룹을 추가합니다. 상태 비저장 규칙 그룹을 정의하여 각 네트워크 패킷을 격리 상태에서 검사할 수 있습니다. 상태 비저장 규칙 그룹은 Amazon VPC 네트워크 액세스 제어 목록(ACL)과 동작 및 사용법이 유사합니다. 상태 저장 규칙 그룹을 정의하여 트래픽 흐름의 컨텍스트에서 패킷을 검사할 수도 있습니다. 상태 저장 규칙 그룹은 Amazon VPC 보안 그룹과 동작 및 사용법이 유사합니다.자세한 내용은 AWS Network Firewall의 규칙 그룹을 참조하세요. |
AWS Firewall Manager
AWS Firewall Manager는 다음과 같은 다양한 보호를 위해 여러 계정과 리소스에서 관리 및 유지 관리 작업을 간소화합니다.AWS WAF,AWS Shield Advanced, 아마존 VPC 보안 그룹,AWS Network Firewall및 아마존 Route 53 Resolver DNS 방화벽 Firewall Manager 보호를 한 번만 설정하면 새로 추가한 계정과 리소스를 포함한 모든 계정과 리소스에 자동으로 보호를 적용합니다.
Firewall Manager 다음과 같은 이점을 제공합니다.
- 계정의 리소스를 보호할 수 있습니다.
- 특정 유형의 모든 리소스 (예: 모든 Amazon) 를 보호하는 데 도움이 됩니다. CloudFront분포
- 특정한 태그를 가진 리소스를 모두 보호할 수 있습니다.
- 계정에 추가한 리소스에 자동으로 보호를 추가합니다.
- AWS Organizations 조직의 모든 멤버 계정을 AWS Shield Advanced에 가입시킬 수 있으며, 조직에 참가하는 새로운 범위 내 계정을 자동으로 가입시킵니다.
- 보안 그룹 규칙을 AWS Organizations 조직의 모든 구성원 계정 또는 계정의 특정 하위 집합에 적용하고 해당 규칙을 조직에 가입하는 범위 내 신규 계정에 자동으로 적용할 수 있습니다.
- 사용자 고유의 규칙을 사용하거나 AWS Marketplace에서 관리형 규칙을 구입할 수 있습니다.
Firewall Manager 소수의 특정 계정과 리소스보다 조직 전체를 보호해야 하거나 보호해야 하거나 보호해야 하는 새 리소스를 자주 추가하는 경우에 특히 유용합니다. 또한 Firewall Manager 조직 전체의 DDoS 공격에 대한 중앙 집중식 모니터링을 제공합니다.
위 설명을 토대로 AWS Network Firewall은 Amazon VPC를 위한 상태 저장 관리형 네트워크 방화벽 및 침입 탐지 및 방지 서비스이다. 네트워크 방화벽을 사용하면 VPC 경계에서 트래픽을 필터링할 수 있다. 여기에는 인터넷 게이트웨이, NAT 게이트웨이 또는 VPN이나 AWS Direct Connect를 통해 들어오고 나가는 트래픽 필터링 또한 포함되어 있다.
정답 C "AWS Network Firewall을 사용하여 프로덕션 VPC에 대한 트래픽 검사 및 트래픽 필터링에 필요한 규칙을 생성합니다."
https://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/what-is-guardduty.html
아마존이란 무엇인가 GuardDuty? - 아마존 GuardDuty
기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. 아마존이란 무엇인가 GuardDuty? GuardDuty Amazon은 Amazon S3 로그, CloudTrail 관리 이
docs.aws.amazon.com
https://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/fms-chapter.html
AWS Firewall Manager - AWS WAF, AWS Firewall Manager, 및 AWS Shield Advanced
이 페이지에 작업이 필요하다는 점을 알려 주셔서 감사합니다. 실망시켜 드려 죄송합니다. 잠깐 시간을 내어 설명서를 향상시킬 수 있는 방법에 대해 말씀해 주십시오.
docs.aws.amazon.com
https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/network-firewall.html
AWS Network Firewall을 사용하여 네트워크 트래픽 필터링 - Amazon Virtual Private Cloud
AWS Network Firewall을 사용하여 네트워크 트래픽 필터링 AWS Network Firewall을 사용하면 VPC 경계에서 네트워크 트래픽을 필터링할 수 있습니다. Network Firewall은 상태를 저장하는 관리형 네트워크 방화벽
docs.aws.amazon.com
https://www.examtopics.com/exams/amazon/aws-certified-solutions-architect-associate-saa-c03/view/4/
ExamTopics - Biggest Actual IT Exams Database - Validation
Want to unlock features that will help you study for AWS Certified Solutions Architect - Associate SAA-C03 and support ExamTopics? We work hard to maintain the website and the database. By buying Contributor Access for yourself, you'll help us maintain and
www.examtopics.com
'[AWSEXAM] > [AWS] SAA-C03' 카테고리의 다른 글
| [AWS][SAA][EXAMTOPICS][C03] Question 17 (0) | 2022.11.23 |
|---|---|
| [AWS][SAA][EXAMTOPICS][C03] Question 16 (0) | 2022.11.23 |
| [AWS][SAA][EXAMTOPICS][C03] Question 14 (0) | 2022.11.23 |
| [AWS][SAA][EXAMTOPICS][C03] Question 13 (0) | 2022.11.23 |
| [AWS][SAA][EXAMTOPICS][C03] Question 12 (0) | 2022.11.23 |