AWS 보안 및 암호화: KMS, SSM Parameter Store, CloudHSM, Shield, WAF

GonnabeAlright·2022년 6월 23일
1
post-thumbnail
  1. 전송 중 암호화(이행 중 암호화)를 암호화하기 위해서는 ( )가 필요합니다.
  • A. SSL 인증서를 가진 HTTP 엔드 포인트
  • B. SSL 인증서를 가진 HTTPS 엔드 포인트
  • C. TCP 엔드포인트

✅ 전송 중 암호화 = HTTPS이며, HTTPS는 SSL 인증서 없이 활성화될 수 없습니다.

  1. 서버 측 암호화는 데이터가 암호화된 상태로 서버로 보내진다는 의미입니다.
  • A. 맞습니다.
  • B. 아닙니다.

✅ 서버 측 암호화는 서버가 데이터를 암호화해 준다는 의미입니다.

  1. 서버 측 암호화에서 암호호와 복호화는 어디에서 이루어지나요 ?
  • A. 암호화와 복호화 모두 서버에서 이루어짐
  • B. 암호화와 복호화 모두 클라이언트 측에서 이루어짐
  • C. 암호화는 서버에서 이루어지며, 복호화는 클라이언트 측에서 이루어짐
  • D. 암호화는 클라이언트 측에서 이루어지며, 복호화는 서버에서 이루어짐
  1. 클라이언트 측 암호화의 경우, 데이터를 업로드하기 전에 서버가 암호화 체계를 알고 있어야 합니다.
  • A. 아닙니다.
  • B. 맞습니다.

✅ 클라이언트 측 암호화를 사용할 경우, 서버에서 암호화 또는 복호화 작업을 수행하지 않기 때문에 사용된 암호화 체계에 대한 어떤 정보도 알 필요가 없습니다.

  1. EBS, S3, RDS에 대한 암호화 기능을 사용하려면 AWS KMS 내에서 KMS 키를 먼저 생성해야 합니다.
  • A. 맞습니다.
  • B. 아닙니다.

✅ KMS에서 AWS 관리 서비스 키를 사용할 수 있으므로, 자체적인 KMS 키를 생성할 필요가 없습니다.

  1. AWS KMS Key는 대칭 및 비대칭 KMS 키 모두를 지원합니다.
  • A. 맞습니다.
  • B. 아닙니다.

✅ KMS 키는 대칭일 수도, 비대칭일 수도 있습니다. 대칭 KMS 키는 암호화와 복호화에 사용되는 256비트 키를 나타냅니다. 비대칭 KMS 키는 암호화 및 복호화, 혹은 서명과 검증에 사용되는 RSA 키 쌍을 나타내지만, 둘 다에 사용되지는 않습니다. 혹은 서명 및 검증에 사용되는 타원 곡선 (ECC) 키 쌍을 나타냅니다.

  1. KMS 키는 자동 교체를 활성화하면 백업 키가 매 ( )마다 교체됩니다.
  • A. 90일
  • B. 1년
  • C. 2년
  • D. 3년
  1. KMS CMK를 사용해 암호화된 EBS 스냅샷이 있는 AMI가 있습니다. 이 AMI를 다른 AWS 계정과 공유하려 합니다. AMI를 원하는 AWS 계정과 공유했으나 다른 AWS 계정에서는 여전히 이를 사용할 수 없는 상태입니다. 이 경우 어떻게 문제를 해결해야 할까요 ?
  • A. 다른 AWS 계정이 로그아웃 후 다시 로그인해 자격 증명을 새로고침해야 함
  • B. AMI를 암호화하는 데에 사용된 KMS CMK를 다른 AWS 계정과 공유해야 함
  • C. 암호화된 EBS 스냅샷을 가진 AMI는 공유할 수 없음
  1. S3 버킷과 EBS 스냅샷 모두를 암호화하는 데에 사용한 고객 관리형 CMK를 KMS에서 생성했습니다. 기업 정책에 따라 암호화 키를 매 3개월마다 교체해야 합니다. 어떻게 해야 할까요 ?
  • A. KMS CMK를 다시 구성해 자동 교체를 활성화하고, "Period(기간)"를 3개월로 선택
  • B. AWS에 의해 3개월마다 자동으로 교체되는 AWS 관리 키를 사용
  • C. KMS CMK를 수동으로 교체, KMS CMK를 생성하고 키 별칭을 사용해 새로운 KMS CMK를 참조, 오래된 데이터의 복호화를 위해 기존의 KMS CMK는 유지
  1. KMS CMK에 대한 액세스를 제어하기 위해서는 다음 중 어떤 방법을 사용해야 할까요 ?
  • A. KMS 키 정책
  • B. KMS IAM 정책
  • C. AWS GuardDuty
  • D. KMS Access Control List (KMS ACL)
  1. 데이터베이스 내에서 데이터를 차리하던 Lambda 함수가 있습니다. Lambda 함수에 데이터베이스 비밀번호에 대한 액세스를 부여하려 합니다. 이를 위해서는 다음 중 어떤 옵션을 사용하는 게 가장 안전할까요 ?
  • A. 코드에 임베딩
  • B. 평문 환경 변수로 만들기
  • C. 암호화된 환경 변수로 만들고 런타임에서 복호화
  1. 암호화 목적으로 사용하는 암호 값이 있고, 시간 경과에 따라 암호의 값을 저장하고 추적하려 합니다. 이 경우, 다음 중 어떤 AWS 서비스를 선택해야 할까요 ?
  • A. AWS KMS 버전 관리 기능
  • B. SSM 파라미터 스토어
  • C. Amazon S3

✅ SSM 파라미터 스토어는 암호를 저장하는 데에 사용될 수 있으며, 추적 기능이 내장되어 있습니다. 파라미터의 값을 감사할 때마다 SSM 파라미터 스토어가 파라미터의 새 버전을 생성하고 기존의 버전을 보관합니다. 값을 포함한 모든 파라미터 버전의 내역을 상세히 볼 수 있습니다.

  1. AWS 공동 책임 모델에 따르면, 다음 중 여러분이 RDS에서 맡고 있는 책임은 무엇인가요 ?
  • A. 보안 그룹 규칙
  • B. OS 패치
  • C. 데이터베이스 엔진 패치
  • D. 내부 하드웨어 보안

✅ 보안 그룹 규칙의 경우 여러분이 직접 구성해야 합니다.

  1. 사용자 대면 웹사이트는 디도스 공격에 취약하며, 여러분은 이러한 공격에 대비해 지원을 받고자 합니다. AWS는 공격 중 발생한 비용에 대한 배상을 제공하고 있습니다. 이 경우, 다음 중 어떤 AWS 서비스를 선택해야 할까요 ?
  • A. AWS WAF
  • B. AWS Shield Advanced
  • C. AWS Shield
  • D. AWS DDoS OpsTeam
  1. 애플리케이션이 주요 데이터베이스의 구성 값을 외부적으로 유지하여 그 값을 런타임 시 선택할 수 있도록 하려 합니다. 제어와 버전 내역을 유지하기 위해서는 다음 중 어떤 장소에 구성 값을 저장해야 할까요 ?
  • A. Amazon DynamoDB
  • B. Amazon S3
  • C. Amazon EBS
  • D. SSM Parameter Store'
  1. 암호화 키를 관리하고, 이들을 완전히 제어하기 위해 전용 하드웨어 모듈을 사용하려 합니다. 어떤 방법을 추천할 수 있을까요 ?
  • A. AWS CloudHSM
  • B. AWS KMS
  • C. AWS Parameter Store
  1. AWS GuardDuty는 다음 중 ( )를 제외한 데이터 소스를 스캔합니다.
  • A. CloudTrail 로그
  • B. VPC Flow 로그
  • C. DNS 로그
  • D. CloudWatch 로그
  1. Application Load Balancer가 관리하는 한 세트의 EC2 인스턴스에 웹사이트가 호스팅되어 있습니다. 일반적인 웹 애플리케이션 공격(예: SQL 주입)으로부터 웹사이트를 보호하기 위해서는 다음 중 어떤 방법을 사용해야 할까요 ?
  • A. AWS Shield
  • B. AWS WAF
  • C. AWS Security Hub
  • D. AWS GuardDuty
  1. EC2 인스턴스의 OS 취약점을 분석하려 합니다. 분석은 매주 수행되어야 하며, 취약점 발견 시 구체적인 권장 사항을 제공해야 합니다. 이 경우, 다음 중 어떤 AWS 서비스를 선택해야 할까요 ?
  • A. AWS Shield
  • B. Amazon GuardDuty
  • C. Amazon Inspector
  • D. AWS Config
  1. 다음 중 자동 순환을 지원하며, RDS DB 비밀번호를 저장하는 데에 가장 적합한 AWS 서비스는 무엇인가요 ?
  • A. AWS Secrets Manager
  • B. AWS KMS
  • C. AWS SSM Parameter Store
  1. AWS 조직 내 AWS 계정 전체의 EC2 보안 그룹과 AWS Shield Advanced를 중앙에서 관리하기 위해서는 다음 AWS 서비스 중 무엇을 사용해야 할까요 ?
  • A. AWS Shield
  • B. AWS GuardDuty
  • C. AWS Config
  • D. AWS Firewall Manager

✅ AWS Firewall Manager는 보안 관리 서비스로 AWS Organizations에 있는 계정과 애플리케이션 간에서 방화벽 규칙을 구성하고 중앙 관리할 수 있게 해줍니다. AWS Organizations에 통합되어 있기 때문에, AWS WAF 규칙, AWS Shield Advanced 보호, 보안 그룹, AWS Network Firewall 규칙, Amazon Route 53 Resolver와 DNS 방화벽 규칙을 활성화할 수 있습니다.

  1. 다음 중 S3 버킷에 저장된 민감한 데이터를 보호하기 위해서는 어떤 AWS 서비스를 사용해야 할까요 ?
  • A. Amazon GuardDuty
  • B. Amazon Shield
  • C. Amazon Macie
  • D. AWS KMS

✅ Amazon Macie는 완전 관리형 데이터 보안 서비스로, 머신 러닝을 사용해 S3 버킷 내에 저장된 민감한 데이터를 발견하고 보호합니다. 이는 암호화되지 않은 버킷의 목록, 공용으로 액세스 가능한 버킷 및 다른 AWS 계정과 공유된 버킷을 포함한 S3 버킷의 인벤토리를 자동으로 제공합니다. 이를 사용하면, 개인 식별 정보(PII)와 같이 민감한 데이터를 식별해 경고해 줍니다.

0개의 댓글