본문 바로가기
[AWS]/AWS SAA EXAMTOPICS

[AWS][SAA][EXAMTOPICS][시험 출제] Question 59 (확인)

by METAVERSE STORY 2022. 9. 11.
반응형

A financial institution uses AWS to host a web application. The program retrieves current stock prices using an Amazon API Gateway Regional API endpoint. The security staff at the organization has detected an upsurge in API queries. The security team is worried that HTTP flood attacks may result in the application being rendered inoperable.
A solutions architect must create a defense against this form of assault.

Which method satisfies these criteria with the LEAST amount of operational overhead?

  • A. Create an Amazon CloudFront distribution in front of the API Gateway Regional API endpoint with a maximum TTL of 24 hours.
  • B. Create a Regional AWS WAF web ACL with a rate-based rule. Associate the web ACL with the API Gateway stage.
  • C. Use Amazon CloudWatch metrics to monitor the Count metric and alert the security team when the predefined rate is reached.
  • D. Create an Amazon CloudFront distribution with Lambda@Edge in front of the API Gateway Regional API endpoint. Create an AWS Lambda function to block requests from IP addresses that exceed the predefined rate.

 

한글번역

금융 기관은 AWS를 사용하여 웹 애플리케이션을 호스팅합니다. 이 프로그램은 Amazon API Gateway 지역 API 엔드포인트를 사용하여 현재 주가를 검색합니다. 조직의 보안 직원이 API 쿼리의 급증을 감지했습니다. 보안 팀은 HTTP 플러드 공격으로 인해 애플리케이션이 작동하지 않을 수 있다고 우려하고 있습니다.
솔루션 설계자는 이러한 형태의 공격에 대한 방어책을 만들어야 합니다.

다음 중 운영 오버헤드가 가장 적은 이 기준을 충족하는 방법은 무엇입니까?

  • A. 최대 TTL이 24시간인 API Gateway 리전 API 엔드포인트 앞에 Amazon CloudFront 배포를 생성합니다.
  • B. 요금 기반 규칙을 사용하여 리전 AWS WAF 웹 ACL을 생성합니다. 웹 ACL을 API Gateway 단계와 연결합니다.
  • C. Amazon CloudWatch 지표를 사용하여 Count 지표를 모니터링하고 사전 정의된 비율에 도달하면 보안 팀에 알립니다.
  • D. API Gateway 리전 API 엔드포인트 앞에 Lambda@Edge 를 사용하여 Amazon CloudFront 배포를 생성 합니다. 사전 정의된 속도를 초과하는 IP 주소의 요청을 차단하는 AWS Lambda 함수를 생성합니다.

 

 

 

정답:

  • B. Create a Regional AWS WAF web ACL with a rate-based rule. Associate the web ACL with the API Gateway stage.

 

해설:

AWS WAF는 웹 애플리케이션 및 API를 공격으로부터 보호하는 데 도움이 되는 웹 애플리케이션 방화벽입니다. 사용자가 정의한 맞춤형 웹 보안 규칙 및 조건에 따라 웹 요청을 허용, 차단 또는 계산하는 규칙 집합(웹 ACL)을 구성할 수 있습니다. 

AWS WAF를 사용하여 SQL 명령어 주입 및 교차 사이트 스크립팅(XSS) 공격과 같은 일반적인 웹 익스플로잇으로부터 API Gateway API를 보호할 수 있습니다. 이는 API 가용성 및 성능에 영향을 미치거나, 보안을 손상시키거나, 리소스를 과도하게 소비할 수 있습니다. 예를 들어 지정된 IP 주소 범위의 요청, CIDR 블록의 요청, 특정 국가 또는 리전에서 시작된 요청, 악성 SQL 코드가 포함된 요청, 악성 스크립트가 포함된 요청을 허용하거나 차단하는 규칙을 만들 수 있습니다.

HTTP 헤더, 메서드, 쿼리 문자열, URI 및 요청 본문(처음 8KB로 제한)에 지정된 문자열이나 정규식 패턴과 일치하는 규칙을 만들 수도 있습니다. 또한 특정 사용자 에이전트, 악성 봇, 콘텐츠 스크래퍼의 공격을 차단하는 규칙을 생성할 수 있습니다. 예를 들어, 비율 기반 규칙을 사용하여 연속적으로 업데이트되는 이후 5분 동안 각 클라이언트 IP에서 허용하는 웹 요청 수를 지정할 수 있습니다.

 

참조 문서

https://docs.aws.amazon.com/ko_kr/apigateway/latest/developerguide/apigateway-control-access-aws-waf.html

 

AWS WAF을 사용하여 API 보호 - Amazon API Gateway

필요한 웹 ACL이 아직 존재하지 않으면 Create WebACL(WebACL 생성)을 선택합니다. 그런 다음 AWS WAF로 이동(Go to AWS WAF)을 선택하여 새 브라우저 탭에서 AWS WAF 콘솔을 열고 리전 웹 ACL을 생성합니다. 그런

docs.aws.amazon.com

20220911

금융 기관은 AWS를 사용하여 웹 애플리케이션을 호스팅합니다. 이 프로그램은 Amazon API Gateway 지역 API 엔드포인트를 사용하여 현재 주가를 검색합니다. 조직의 보안 직원이 API 쿼리의 급증을 감지했습니다. 보안 팀은 HTTP 플러드 공격으로 인해 애플리케이션이 작동하지 않을 수 있다고 우려하고 있습니다.
솔루션 설계자는 이러한 형태의 공격에 대한 방어책을 만들어야 합니다.

다음 중 운영 오버헤드가 가장 적은 이 기준을 충족하는 방법은 무엇입니까?

현재 업체는 AWS를 사용하여 웹 애플리케이션을 서비스하고 있다. 애플리케이션은 API Gateway를 통해서 API 앤드포인트로 서비스를 하고 있는데, 이 API Gateway 쿼리의 급증이 감지되었다고 한다.
이러한 경우에 공격을 대비한 솔루션으로 적합한 솔루션은, 선택지 B "요금 기반 규칙을 사용하여 리전 AWS WAF 웹 ACL을 생성합니다. 웹 ACL을 API Gateway 단계와 연결합니다."
WAF는 웹 애플리케이션 및 API를 공격으로부터 보호하는데 도움이 되는 웹 애플리케이션 방화벽이다. 사용자가 정의한 맞춤형 웹 보안 규칙 및 조건에 따라 웹 요청을 허용, 차단 또는 계산하는 규칙 집합(웹 ACL)을 구성할수 있다.
또한 ACL 즉, Access Control List의 약자인데, Network 또는 Web으로 접속을 허용 또는 거부하는 서비스이다.
따라서 두가지의 솔루션을 적용하면, 효율적으로 공격으로부터 보호할 수 있다.

반응형

댓글