[AWS][SAA][EXAMTOPICS] Question 318

A solutions architect must develop an automated solution to a company's compliance policy that prohibits security groups from including a rule allowing SSH from 0.0.0.0/0. If there is a violation of the policy, the business must be informed. A solution is required immediately.

What actions should the solutions architect take to ensure that these criteria are met with the LEAST amount of operational overhead possible?

• A. Write an AWS Lambda script that monitors security groups for SSH being open to 0.0.0.0/0 addresses and creates a notification every time it finds one.
• B. Enable the restricted-ssh AWS Config managed rule and generate an Amazon Simple Notification Service (Amazon SNS) notification when a noncompliant rule is created.
• C. Create an IAM role with permissions to globally open security groups and network ACLs. Create an Amazon Simple Notification Service (Amazon SNS) topic to generate a notification every time the role is assumed by a user.
• D. Configure a service control policy (SCP) that prevents non-administrative users from creating or editing security groups. Create a notification in the ticketing system when a user requests a rule that needs administrator permissions.

 

한글 번역

솔루션 설계자는 보안 그룹이 0.0.0.0/0에서 SSH를 허용하는 규칙을 포함하지 못하도록 하는 회사의 규정 준수 정책에 대한 자동화된 솔루션을 개발해야 합니다. 정책 위반이 있는 경우 해당 업체에 알려야 합니다. 즉시 해결책이 필요합니다.

이러한 기준이 가능한 최소한의 운영 오버헤드를 충족하도록 하기 위해 솔루션 설계자는 어떤 조치를 취해야 합니까?

• A. SSH가 0.0.0.0/0 주소로 열려 있는 보안 그룹을 모니터링하고 찾을 때마다 알림을 생성하는 AWS Lambda 스크립트를 작성하십시오.
• B. 제한적 SSH AWS Config 관리형 규칙을 활성화하고 비준수 규칙이 생성될 때 Amazon Simple Notification Service(Amazon SNS) 알림을 생성합니다.
• C. 보안 그룹 및 네트워크 ACL을 전역적으로 열 수 있는 권한이 있는 IAM 역할을 생성합니다. 사용자가 역할을 맡을 때마다 알림을 생성하도록 Amazon Simple Notification Service(Amazon SNS) 주제를 생성합니다.
• D. 관리자가 아닌 사용자가 보안 그룹을 생성하거나 편집하지 못하도록 하는 서비스 제어 정책(SCP)을 구성합니다. 사용자가 관리자 권한이 필요한 규칙을 요청할 때 티켓팅 시스템에서 알림을 생성합니다.

 

 

정답

• B. Enable the restricted-ssh AWS Config managed rule and generate an Amazon Simple Notification Service (Amazon SNS) notification when a noncompliant rule is created.

 

해설

AWS Config 관리형 규칙

 

AWS Config는 AWS 리소스가 일반적인 모범 사례를 준수하는지 여부를 평가하기 위해 AWS Config가 사용하는 사전 정의되고 사용자 지정 가능한 규칙인 AWS 관리형 규칙 을 제공합니다. 예를 들어 관리형 규칙을 사용 하여 Amazon Elastic Block Store(Amazon EBS) 볼륨이 암호화되었는지 또는 특정 태그가 리소스에 적용되었는지 여부를 빠르게 평가할 수 있습니다. 사용자 지정 규칙을 생성하려는 경우 필요한 AWS Lambda 함수를 생성하는 코드를 작성하지 않고도 이러한 규칙을 설정하고 활성화할 수 있습니다. AWS Config 콘솔은 관리형 규칙을 구성하고 활성화하는 프로세스를 안내합니다. AWS Command Line Interface 또는 AWS Config API를 사용하여 관리형 규칙의 구성을 정의하는 JSON 코드를 전달할 수도 있습니다.

필요에 맞게 관리형 규칙의 동작을 사용자 지정할 수 있습니다. 예를 들어 규칙의 범위를 정의하여 EC2 인스턴스 또는 볼륨과 같은 규칙에 대한 평가를 트리거하는 리소스를 제한할 수 있습니다. 규칙의 매개변수를 사용자 정의하여 리소스가 규칙을 준수해야 하는 속성을 정의할 수 있습니다. 예를 들어 매개변수를 사용자 지정하여 보안 그룹이 특정 포트 번호로 들어오는 트래픽을 차단하도록 지정할 수 있습니다.

규칙을 활성화하면 AWS Config가 리소스를 규칙 조건과 비교합니다. 이 초기 평가 후 AWS Config는 평가가 트리거될 때마다 평가를 계속 실행합니다. 평가 트리거는 규칙의 일부로 정의되며 다음 유형을 포함할 수 있습니다.

• 구성 변경 – AWS Config는 규칙의 범위와 일치하는 리소스가 구성에서 변경될 때 평가를 트리거합니다. 평가는 AWS Config가 구성 항목 변경 알림을 보낸 후 실행됩니다.
• 주기적 – AWS Config는 사용자가 선택한 빈도(예: 24시간마다)로 규칙에 대한 평가를 실행합니다.

 

제한된 SSH

보안 그룹에 대한 수신 SSH 트래픽에 액세스할 수 있는지 확인합니다. 보안 그룹에서 들어오는 SSH 트래픽의 IP 주소가 제한된 경우 규칙은 COMPLIANT입니다(0.0.0.0/0 이외의 CIDR). 이 규칙은 IPv4에만 적용됩니다.

식별자: INCOMING_SSH_DISABLED

트리거 유형: 구성 변경

AWS 리전: 아시아 태평양(자카르타), 아시아 태평양(오사카), 유럽(밀라노), 아프리카(케이프타운) 리전을 제외한 지원되는 모든 AWS 리전

매개변수:

없음

AWS CloudFormation 템플릿

AWS CloudFormation 템플릿을 사용하여 AWS Config 관리형 규칙을 생성하려면 AWS CloudFormation 템플릿을 사용하여 AWS Config 관리형 규칙 생성 을 참조하십시오 .

 

 

참조 문서

https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html

AWS Config Managed Rules - AWS Config

https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html

restricted-ssh - AWS Config