A firm runs a two-tier image processing program. The application is divided into two Availability Zones, each with its own public and private subnets.
The web tier's Application Load Balancer (ALB) makes use of public subnets. Private subnets are used by Amazon EC2 instances at the application layer.
The program is functioning more slowly than planned, according to users. According to a security audit of the web server log files, the application receives millions of unauthorized requests from a tiny number of IP addresses. While the organization finds a more permanent solution, a solutions architect must tackle the urgent performance issue.
What solution architecture approach should be recommended to satisfy this requirement?
- A. Modify the inbound security group for the web tier. Add a deny rule for the IP addresses that are consuming resources.
- B. Modify the network ACL for the web tier subnets. Add an inbound deny rule for the IP addresses that are consuming resources.
- C. Modify the inbound security group for the application tier. Add a deny rule for the IP addresses that are consuming resources.
- D. Modify the network ACL for the application tier subnets. Add an inbound deny rule for the IP addresses that are consuming resources.
한글번역
회사는 2계층 이미지 처리 프로그램을 운영합니다. 애플리케이션은 각각 고유한 퍼블릭 서브넷과 프라이빗 서브넷이 있는 두 개의 가용 영역으로 나뉩니다.
웹 계층의 ALB(Application Load Balancer)는 퍼블릭 서브넷을 사용합니다. 프라이빗 서브넷은 애플리케이션 계층의 Amazon EC2 인스턴스에서 사용됩니다.
사용자에 따르면 프로그램이 계획보다 느리게 작동하고 있습니다. 웹 서버 로그 파일의 보안 감사에 따르면 애플리케이션은 소수의 IP 주소에서 수백만 건의 무단 요청을 수신합니다. 조직이 보다 영구적인 솔루션을 찾는 동안 솔루션 설계자는 긴급한 성능 문제를 해결해야 합니다.
이 요구 사항을 충족하려면 어떤 솔루션 아키텍처 접근 방식을 권장해야 합니까?
- A. 웹 계층에 대한 인바운드 보안 그룹을 수정합니다. 리소스를 소비하는 IP 주소에 대한 거부 규칙을 추가합니다.
- B. 웹 계층 서브넷에 대한 네트워크 ACL을 수정합니다. 리소스를 소비하는 IP 주소에 대한 인바운드 거부 규칙을 추가합니다.
- C. 애플리케이션 계층에 대한 인바운드 보안 그룹을 수정합니다. 리소스를 소비하는 IP 주소에 대한 거부 규칙을 추가합니다.
- D. 애플리케이션 계층 서브넷에 대한 네트워크 ACL을 수정합니다. 리소스를 소비하는 IP 주소에 대한 인바운드 거부 규칙을 추가합니다.
정답
- B. Modify the network ACL for the web tier subnets. Add an inbound deny rule for the IP addresses that are consuming resources.
해설
먼저 Security Group(보안그룹)은 허용 규칙만 존재하고 거부 규칙은 없기 때문에 A와 C는 답변이 될 수 없다.
Network ACL이 거부 규칙과 허용 규칙이 존재한다.
Network ACL은 서브넷 단위에서 작동하고, Security Group은 인스턴스 단위에서 작동한다.
그러므로 어플리케이션 단이 아닌 웹 단에서 거부 규칙을 지정해야 한다.
20221120
회사는 2계층 이미지 처리 프로그램을 운영합니다. 애플리케이션은 각각 고유한 퍼블릭 서브넷과 프라이빗 서브넷이 있는 두 개의 가용 영역으로 나뉩니다.
웹 계층의 ALB(Application Load Balancer)는 퍼블릭 서브넷을 사용합니다. 프라이빗 서브넷은 애플리케이션 계층의 Amazon EC2 인스턴스에서 사용됩니다.
사용자에 따르면 프로그램이 계획보다 느리게 작동하고 있습니다. 웹 서버 로그 파일의 보안 감사에 따르면 애플리케이션은 소수의 IP 주소에서 수백만 건의 무단 요청을 수신합니다. 조직이 보다 영구적인 솔루션을 찾는 동안 솔루션 설계자는 긴급한 성능 문제를 해결해야 합니다.
이 요구 사항을 충족하려면 어떤 솔루션 아키텍처 접근 방식을 권장해야 합니까?
2계층 이미지 처리 프로그램을 운영한다. ALB는 퍼블릭 서브넷을 사용하며, 프라이빗 서브넷은 애플리케이션 계층의 EC2를 사용한다.
하지만 프로그램에 Latency가 발생한다고 한다. 긴급한 성능 문제를 해결해야 한다.
이럴때는 트래픽등을 제어한다면 접속량이나 트래픽이 몰리지 않으니 이런 방법을 검토하는것이 도움이 될것이라 판단된다.
하지만 선택지 A "웹 계층에 대한 인바운드 보안 그룹을 수정합니다. 리소스를 소비하는 IP 주소에 대한 거부 규칙을 추가합니다." 그리고 선택지 C "애플리케이션 계층에 대한 인바운드 보안 그룹을 수정합니다. 리소스를 소비하는 IP 주소에 대한 거부 규칙을 추가합니다."
두 선택지 모두 보안그룹과 관련된 솔루션인데, 보안 그룹의 경우는 모두 거부인 상태에서 허용하는 규칙만 있기 때문에, 올바르지 않은 솔루션이다. 하지만 Network ACL(Access Control List)의 경우는 허용과 거부가 모두 가능하다. 그렇기 때문에 NACL이 더욱 올바른 선택지도 판단된다.
'[AWS] > AWS SAA EXAMTOPICS' 카테고리의 다른 글
| [AWS][SAA][EXAMTOPICS] Question 104 (확인) (0) | 2022.11.21 |
|---|---|
| [AWS][SAA][EXAMTOPICS] Question 103 (확인) (0) | 2022.11.21 |
| [AWS][SAA][EXAMTOPICS][시험에 그대로 나옴] Question 102 (확인) (0) | 2022.11.21 |
| [AWS][SAA][EXAMTOPICS] Question 101 (확인) (0) | 2022.11.21 |
| [AWS][SAA][EXAMTOPICS][시험에 그대로 나옴] Question 99 (0) | 2022.11.18 |
| [AWS][SAA][EXAMTOPICS] Question 98 (확인) (0) | 2022.11.17 |
| [AWS][SAA][EXAMTOPICS] Question 97 (확인) (0) | 2022.11.17 |
| [AWS][SAA][EXAMTOPICS] Question 96 (확인) (0) | 2022.11.17 |
댓글