[AZ-900] 일반적인 보안 및 네트워크 보안 기능

Q1. Tailwind Traders가 특정 애플리케이션만 VM에서 실행되도록 하려면 어떻게 해야 하나요? (2)

1. VM을 Azure Sentinel에 연결합니다.
2. Azure Security Center에서 애플리케이션 제어 규칙을 만듭니다.
3. 각 VM에서 실행 중인 프로세스를 나열하는 스크립트를 정기적으로 실행합니다. 그러면 IT 관리자는 실행되고 있지 않은 애플리케이션을 종료할 수 있습니다.

[해설]

Azure Security Center를 사용하여 허용하는 애플리케이션만 실행할 수 있도록 허용되는 애플리케이션 목록을 정의할 수 있습니다. 또한 Azure Security Center는 맬웨어를 탐지하고 VM에 설치되지 않도록 차단할 수 있습니다.

 

Q2. Tailwind Traders가 모든 모니터링 도구의 보안 데이터를 작업을 수행할 수 있는 단일 보고서로 결합하는 가장 쉬운 방법은 무엇인가요? (1)

1. Azure Sentinel에서 보안 데이터를 수집합니다.
2. 보안 데이터를 수집하고 웹 애플리케이션을 통해 보고서를 표시하는 사용자 지정 도구를 빌드합니다.
3. 매일 각 보안 로그를 검토하고 요약을 메일로 팀에 보냅니다.

[해설]

Azure Sentinel은 Microsoft의 클라우드 기반 SIEM입니다. SIEM은 다양한 원본의 보안 데이터를 집계하여 위협 탐지 및 위협에 대한 대응을 위한 추가 기능을 제공합니다.

 

Q3. Tailwind Traders가 해당 클라우드 VM에 액세스할 수 있도록 인증서를 안전하게 저장하는 가장 좋은 방법은 무엇인가요? (3)

1. 네트워크 공유에 인증서를 배치합니다.
2. 암호로 보호되는 VM에 저장합니다.
3. Azure Key Vault에 인증서를 저장합니다.

[해설]

Azure Key Vault를 사용하면 하나의 중앙 위치에 비밀을 저장할 수 있습니다. Key Vault를 사용하면 퍼블릭 CA(인증 기관)의 인증서를 더 쉽게 등록하고 갱신할 수도 있습니다.

 

Q4. Tailwind Traders는 특정 VM 워크로드가 다른 Azure 고객이 실행하는 워크로드에서 물리적으로 격리되도록 하려면 어떻게 해야 하나요? (3)

1. 동일한 물리적 호스트의 VM이 격리되도록 네트워크를 구성합니다.
2. 이는 불가능합니다. 해당 워크로드는 온-프레미스에서 실행해야 합니다.
3. Azure Dedicated Host에서 VM을 실행합니다.

[해설]

Azure Dedicated Host는 Windows 및 Linux용 Azure VM을 호스트하는 전용 물리적 서버를 제공합니다.

 

Q5. 공격자는 서버에 대량의 네트워크 트래픽을 전송하여 웹 사이트를 마비시킬 수 있습니다. Tailwind Traders가 해당 종류의 공격으로부터 App Service 인스턴스를 보호하는 데 도움이 될 수 있는 Azure 서비스는 무엇일까요? (3)

1. Azure Firewall
2. 네트워크 보안 그룹
3. Azure DDoS Protection

[해설]

DDoS Protection은 DDoS 공격으로부터 Azure 리소스를 보호하는 데 도움이 됩니다. DDoS 공격은 애플리케이션의 리소스에 과도한 부하를 걸고 이를 고갈시키며 합법적인 사용자에게 애플리케이션이 느리게 응답하거나 응답하지 않도록 합니다.

 

Q6. Tailwind Traders에서 VM의 모든 아웃바운드 트래픽을 알려진 호스트로 제한하는 가장 좋은 방법은 무엇일까요? (2)

1. 네트워크 액세스를 신뢰할 수 있는 포트 및 호스트로 제한하도록 Azure DDoS Protection을 구성합니다.
2. Azure Firewall에서 애플리케이션 규칙을 만듭니다.
3. 실행 중인 모든 애플리케이션이 신뢰할 수 있는 포트 및 호스트와만 통신하게 합니다.

[해설]

Azure Firewall을 사용하면 아웃바운드 HTTP/S 트래픽을 지정된 FQDN(정규화된 도메인 이름) 목록으로 제한할 수 있습니다.

 

Q7. Tailwind Traders는 VM이 서로 연결할 수 없도록 기본 거부 정책을 어떻게 가장 쉽게 구현할 수 있을까요? (2)

1. 각 VM을 자체 가상 네트워크에 할당합니다.
2. 동일한 네트워크에 있는 다른 VM의 액세스를 차단하는 네트워크 보안 그룹 규칙을 만듭니다.
3. 가상 네트워크 내에서 네트워크 액세스를 제한하도록 Azure DDoS Protection을 구성합니다.

[해설]

네트워크 보안 그룹 규칙을 사용하면 원본 및 대상 IP 주소, 포트 및 프로토콜을 기준으로 리소스와 주고받는 트래픽을 필터링할 수 있습니다.

 

Q8. 지리적 지역에서 Azure Virtual Machines 같은 Azure 리소스를 연결해야 합니다. 어떤 Azure 네트워킹 옵션을 사용해야 합니까? (3)

1. Azure ExpressRoute
2. VPN Gateway
3. 가상 네트워크 피어링

[해설]

가상 네트워크 피어링을 사용하여 가상 네트워크를 서로 연결하면 두 가상 네트워크의 리소스가 서로 통신할 수 있습니다. 연결하는 가상 네트워크는 다른 Azure 지역에 있을 수 있습니다.

 

Q9. 지점 및 사이트 간 Azure VPN Gateway의 경우 만들 때 지정해야 하는 키 매개 변수는 무엇입니까? (2)

1. 게이트웨이 형식은 Vpn 이고 vpn 형식은 RouteBased 입니다.
2. 게이트웨이 형식은 Vpn 이고 vpn 형식은 RouteBased 이며 게이트웨이 SKU를 지정해야 합니다.
3. 서브넷은 GatewaySubnet 이고 게이트웨이 형식은 Vpn 입니다.

[해설]

PowerShell cmdlet ‘New-AzVirtualNetworkGateway’를 사용합니다. 여기서 ‘-GatewayType Vpn’과 ‘-VpnType RouteBased’ 매개 변수를 사용합니다. 또한 ‘-GatewaySku’를 조직의 네트워크 요구 사항을 충족하는 SKU로 설정합니다.

 

Q10. Azure Compute 리소스에 직접 연결을 허용하기 위해 필요한 ExpressRoute 회로에 사용하는 피어링 구성은 무엇입니까? (2)

1. Azure Virtual Network 피어링
2. Azure 프라이빗 피어링
3. Microsoft 피어링

[해설]

Azure 프라이빗 피어링을 통해 프라이빗 IP 주소에서 직접 가상 머신과 클라우드 서비스에 연결할 수 있습니다.

 

Q11. Azure ExpressRoute에 대한 동적 라우팅을 제공하는 프로토콜은 무엇입니까? (2)

1. IPVPN
2. BGP(Border Gateway Protocol)
3. S 키

[해설]

Border Gateway Protocol은 업계 표준 동적 라우팅 프로토콜로, 온-프레미스 네트워크, Azure의 인스턴스 및 Microsoft 공용 주소 간에 경로를 교환합니다.