본 문제는 빌드업웍스에서 AWS 공인 클라우드 전문가 CLF-C01 (AWS Certified Cloud Practitioner)를 위해 개발한 연습문제입니다.
2개의 연습문제를 풀어 보시고 정답과 해설을 확인해 보세요.
문제
1. AWS 공동 책임 모델에 따라 보안 및 규정 준수 관점에서 고객의 책임은 다음 중 무엇입니까?
A) Edge Location 관리 및 유지 관리
B) 가용 영역 인프라 관리
C) EBS 스냅샷을 사용한 Elastic Block Store (EBS) 백업
D) AWS 인프라 내의 결함 패치 / 수정
2. 회사에서 HIPAA 지침과 관련된 AWS 서비스의 규정 준수를 이해하려고 합니다.
AWS에서 HIPAA 규정 준수 및 거버넌스 관련 문서를 검토하는 데 사용할 수 있는 AWS 서비스는 무엇입니까?
A) AWS Trusted Advisor
B) AWS Secrets Manager
C) AWS Systems Manager
D) AWS Artifact
정답
1. C
보안과 규정 준수는 AWS와 고객의 공동 책임입니다. 이 공유 모델은 AWS가 호스트 운영 체제 및 가상화 계층에서 서비스가 운영되는 시설의 물리적 보안에 이르기까지 구성 요소를 운영, 관리 및 제어하므로 고객의 운영 부담을 경감할 수 있습니다. 고객은 게스트 운영 체제(업데이트 및 보안 패치 포함) 및 다른 관련 애플리케이션 소프트웨어를 관리하고 AWS에서 제공한 보안 그룹 방화벽을 구성할 책임이 있습니다. 고객은 서비스를 선택할 때 신중하게 고려해야 합니다. 고객의 책임이 사용되는 서비스, IT 환경에서 이러한 서비스의 통합, 그리고 관계 법규에 따라 (첫번쨰 문단 ‘개요’, 4번째 문장) 달라지기 때문입니다. 또한, 이러한 공동 책임의 특성은 배포를 허용하는 고객 제어권과 유연성을 제공합니다. 아래 차트에서 볼 수 있듯이 이러한 책임의 차이를 일반적으로 클라우드’의’ 보안과 클라우드’에서의’ 보안이라고 부릅니다.
AWS 책임 ‘클라우드의 보안’ — AWS는 AWS 클라우드에서 제공되는 모든 서비스를 실행하는 인프라를 보호할 책임이 있습니다. 이 인프라는 AWS 클라우드 서비스를 실행하는 하드웨어, 소프트웨어, 네트워킹 및 시설로 구성됩니다.
고객 책임 ‘클라우드에서의 보안’ — 고객 책임은 고객이 선택하는 AWS 클라우드 서비스에 따라 달라집니다. 이에 따라 고객이 보안 책임의 일부로 수행해야 하는 구성 작업량이 정해집니다. 예를 들어, Amazon Elastic Compute Cloud (Amazon EC2) 같은 서비스는 IaaS(Infrastructure as a Service) (세번째문단 ‘고객책임’, 3번쨰 문장)로 분류되고 고객이 필요한 모든 보안 구성 및 관리 작업을 수행하도록 요구합니다. Amazon EC2 인스턴스를 배포하는 고객은 게스트 운영 체제의 관리(업데이트, 보안 패치 등), 고객이 인스턴스에 설치한 모든 애플리케이션 소프트웨어 또는 유틸리티의 관리, 인스턴스별로 AWS에서 제공한 방화벽(보안 그룹이라고 부름)의 구성 관리에 대한 책임이 있습니다. Amazon S3 및 Amazon DynamoDB와 같은 추상화 서비스의 경우, AWS는 인프라 계층, 운영 체제, 플랫폼을 운영하고 고객은 데이터를 저장하고 검색하기 위해 엔드포인트에 액세스합니다. 고객은 데이터 관리(암호화 옵션 포함), 자산 분류, 적절한 허가를 부여하는 IAM 도구 사용에 책임이 있습니다.
이 고객/AWS 공동 책임 모델은 IT 제어까지도 확장됩니다. IT 환경을 운영할 책임이 AWS와 고객 간에 분담되는 것과 마찬가지로 IT 제어의 관리, 운영 및 검증도 분담됩니다. AWS는 AWS 환경에서 배포되는 물리적 인프라와 관련하여 이전에는 고객이 관리해야 했던 제어 항목을 대신 관리함으로써 고객이 제어를 운영하는 부담을 경감하도록 도울 수 있습니다. 모든 고객이 AWS에서 다르게 배포되므로 고객은 특정 IT 제어 항목의 관리를 AWS로 이전함으로써 (새로운) 분산형 제어 환경의 이점을 활용할 수 있습니다. 고객은 제공되는 AWS 제어 및 규정 준수 설명서를 사용하여 필요에 따라 제어 평가 및 확인 절차를 수행할 수 있습니다. 다음은 AWS, AWS 고객 및/또는 양쪽에서 관리하는 제어 항목의 예입니다.
상속된 제어 항목 — 고객이 AWS로부터 전적으로 상속받는 제어 항목.
- 물리적 및 환경 제어 항목
공유된 제어 항목 — 인프라 계층과 고객 계층에 모두 적용되지만, 컨텍스트 또는 관점이 완벽하게 구분되는 제어 항목. 공유된 제어에서는 AWS는 인프라에 대한 요구 사항을 제공하고 고객은 자사의 AWS 서비스 사용 내에서 자체적인 제어 구현을 제공해야 합니다. 예:
- 패치 관리 — AWS는 인프라와 관련된 결함 수정과 패치에 대한 책임이 있으며, 고객은 게스트 OS와 애플리케이션 패치에 대한 책임이 있습니다.
- 구성 관리 — AWS는 인프라 디바이스의 구성을 유지 관리하고, 고객은 자체 게스트 운영 체제, 데이터베이스 및 애플리케이션의 구성에 대한 책임이 있습니다.
- 인지 및 교육 — AWS는 AWS 직원을 교육하고, 고객은 자사의 직원을 교육해야 합니다.
고객 특정 — 고객이 AWS 서비스 내에서 배포하는 애플리케이션에 따라 전적으로 고객의 책임인 제어 항목. 예:
- 고객이 특정 보안 환경 내에서 데이터를 라우팅하거나 영역을 지정해야 할 수 있는 서비스 및 통신 보호 또는 영역 보안.
AWS는 클라우드의 보안을 책임지고 고객은 클라우드 내부의 보안을 책임집니다. 고객은 데이터 (암호화 옵션 포함)를 관리하고 자산을 분류하고 IAM 도구를 사용하여 적절한 권한을 적용할 책임이 있습니다. EBS 볼륨에 대한 백업을 생성하는 것은 고객의 책임입니다.
[ 참조 링크 ]
2. D
AWS Artifact는 자신에게 해당되는 규정 준수와 관련된 정보를 제공하는 신뢰할 수 있는 중앙 리소스입니다. AWS Artifact에서는 AWS 보안 및 규정 준수 보고서와 엄선된 온라인 계약에 대한 온디맨드 액세스를 제공합니다. AWS Artifact에서 제공하는 보고서에는 SOC(Service Organization Control) 보고서와 PCI(Payment Card Industry) 보고서, 그리고 여러 지역의 인정 기구와 규정 준수 기관에서 AWS 보안 제어의 구현 및 운영 효율성을 입증하는 인증서가 포함되어 있습니다. AWS Artifact에서 제공하는 계약에는 BAA(Business Associate Addendum)와 NDA(Nondisclosure Agreement)이 포함되어 있습니다. 예를 들어, Business Associate Addendum (BAA)은 HIPAA (Health Insurance Portability and Accountability Act)를 준수해야하는 고객에게 제공됩니다. 서비스가 아니라 AWS의 규정 준수 보고서에 대한 온디맨드 액세스를 위한 무료 셀프 서비스 포털입니다.
[ 오답 ]
AWS Trusted Advisor는 AWS 모범 사례에 따라 리소스를 프로비저닝하는 데 도움이 되도록 실시간 지침을 제공하는 온라인 도구입니다. Trusted Advisor는 AWS 인프라를 최적화하고 보안과 성능을 향상시키고 전체 비용을 절감하며 서비스 한도를 모니터링할 수 있습니다. 새 워크플로를 설정하든, 애플리케이션을 개발하든, 지속적인 개선의 목적으로 진행하든 상관없이, 정기적으로 Trusted Advisor에서 제시하는 권장 사항을 활용하면 솔루션을 최적으로 프로비저닝된 상태로 유지하는 데 도움이 됩니다.
AWS Secrets Manager는 애플리케이션, 서비스, IT 리소스에 액세스할 때 필요한 보안 정보를 보호하는 데 도움이 됩니다.
AWS Systems Manager는 AWS 인프라에 대한 가시성과 제어를 제공합니다. Systems Manager는 통합된 사용자 인터페이스를 제공하므로 여러 AWS 서비스의 운영 데이터를 보고 AWS 리소스 전체에서 운영 작업을 자동화할 수 있습니다.
[ 참조 링크 ]
빌드업웍스에서는 AWS 공인 클라우드 전문가 CLF-C01 연습문제 (AWS Certified Cloud Practitioner)를 개발했습니다.
더 많은 문제와 자세한 해설을 원하신다면 AWS 공인 클라우드 전문가 CLF-C01 연습문제 (AWS Certified Cloud Practitioner)로 오셔서 내용을 확인하세요.
빌드업웍스와 함께 클라우드 인증 시험에 도전하여 여러분의 잠재력과 경력을 향상해보세요!
© 2020, Buildup Works LLC. All rights reserved.
