A business is developing a web application that will be accessible over the internet. The application is hosted on Amazon EC2 for Linux instances that leverage Amazon RDS MySQL Multi-AZ DB instances to store sensitive user data. Public subnets are used for EC2 instances, whereas private subnets are used for RDS DB instances. The security team has required that web-based attacks on database instances be prevented.
What recommendations should a solutions architect make?
- A. Ensure the EC2 instances are part of an Auto Scaling group and are behind an Application Load Balancer. Configure the EC2 instance iptables rules to drop suspicious web traffic. Create a security group for the DB instances. Configure the RDS security group to only allow port 3306 inbound from the individual EC2 instances.
- B. Ensure the EC2 instances are part of an Auto Scaling group and are behind an Application Load Balancer. Move DB instances to the same subnets that EC2 instances are located in. Create a security group for the DB instances. Configure the RDS security group to only allow port 3306 inbound from the individual EC2 instances.
- C. Ensure the EC2 instances are part of an Auto Scaling group and are behind an Application Load Balancer. Use AWS WAF to monitor inbound web traffic for threats. Create a security group for the web application servers and a security group for the DB instances. Configure the RDS security group to only allow port 3306 inbound from the web application server security group.
- D. Ensure the EC2 instances are part of an Auto Scaling group and are behind an Application Load Balancer. Use AWS WAF to monitor inbound web traffic for threats. Configure the Auto Scaling group to automatically create new DB instances under heavy traffic. Create a security group for the RDS DB instances. Configure the RDS security group to only allow port 3306 inbound.
한글 번역
기업은 인터넷을 통해 액세스할 수 있는 웹 응용 프로그램을 개발 중입니다. 애플리케이션은 Amazon RDS MySQL 다중 AZ DB 인스턴스를 활용하여 민감한 사용자 데이터를 저장하는 Linux 인스턴스용 Amazon EC2에서 호스팅됩니다. 퍼블릭 서브넷은 EC2 인스턴스에 사용되는 반면 프라이빗 서브넷은 RDS DB 인스턴스에 사용됩니다. 보안 팀은 데이터베이스 인스턴스에 대한 웹 기반 공격을 방지할 것을 요구했습니다.
솔루션 설계자는 어떤 권장 사항을 제시해야 합니까?
- A. EC2 인스턴스가 Auto Scaling 그룹의 일부이고 Application Load Balancer 뒤에 있는지 확인하십시오. 의심스러운 웹 트래픽을 삭제하도록 EC2 인스턴스 iptables 규칙을 구성합니다. DB 인스턴스에 대한 보안 그룹을 생성합니다. 개별 EC2 인스턴스에서 들어오는 포트 3306만 허용하도록 RDS 보안 그룹을 구성합니다.
- B. EC2 인스턴스가 Auto Scaling 그룹의 일부이고 Application Load Balancer 뒤에 있는지 확인합니다. DB 인스턴스를 EC2 인스턴스가 있는 동일한 서브넷으로 이동합니다. DB 인스턴스에 대한 보안 그룹을 생성합니다. 개별 EC2 인스턴스에서 들어오는 포트 3306만 허용하도록 RDS 보안 그룹을 구성합니다.
- C. EC2 인스턴스가 Auto Scaling 그룹의 일부이고 Application Load Balancer 뒤에 있는지 확인합니다. AWS WAF를 사용하여 위협에 대한 인바운드 웹 트래픽을 모니터링합니다. 웹 애플리케이션 서버용 보안 그룹과 DB 인스턴스용 보안 그룹을 생성합니다. 웹 응용 프로그램 서버 보안 그룹에서 들어오는 포트 3306만 허용하도록 RDS 보안 그룹을 구성합니다.
- D. EC2 인스턴스가 Auto Scaling 그룹의 일부이고 Application Load Balancer 뒤에 있는지 확인합니다. AWS WAF를 사용하여 위협에 대한 인바운드 웹 트래픽을 모니터링합니다. 트래픽이 많은 경우 새 DB 인스턴스를 자동으로 생성하도록 Auto Scaling 그룹을 구성합니다. RDS DB 인스턴스에 대한 보안 그룹을 생성합니다. 포트 3306 인바운드만 허용하도록 RDS 보안 그룹을 구성합니다.
정답
- C. Ensure the EC2 instances are part of an Auto Scaling group and are behind an Application Load Balancer. Use AWS WAF to monitor inbound web traffic for threats. Create a security group for the web application servers and a security group for the DB instances. Configure the RDS security group to only allow port 3306 inbound from the web application server security group.
해설
웹 기반의 공격을 방지해야 하기 때문에 먼저 WAF를 이용해서 위협에 대한 트래픽을 모니터링 해야 한다.
그 이후 애플리케이션 서버 보안용 그룹과 DB 인스턴스용 보안그룹을 생성하고 포트를 3306만 허용해야 한다.
게다가 민감한 정보가 담긴 DB이므로 스토리지를 오토스케일링 하는 것은 잘못 되었다. 즉 D는 답이 될 수 없다.
'[AWS] > AWS SAA EXAMTOPICS' 카테고리의 다른 글
[AWS][SAA][EXAMTOPICS] Question 140 (0) | 2022.06.27 |
---|---|
[AWS][SAA][EXAMTOPICS] Question 139 (0) | 2022.06.27 |
[AWS][SAA][EXAMTOPICS] Question 138 (0) | 2022.06.27 |
[AWS][SAA][EXAMTOPICS] Question 137 (0) | 2022.06.27 |
[AWS][SAA][EXAMTOPICS] Question 135 (0) | 2022.06.27 |
[AWS][SAA][EXAMTOPICS] Question 134 (0) | 2022.06.27 |
[AWS][SAA][EXAMTOPICS] Question 133 (0) | 2022.06.27 |
[AWS][SAA][EXAMTOPICS] Question 132 (0) | 2022.06.27 |
댓글