SAA-C03 Q396 · Security

Question

한 회사가 애플리케이션 로드 밸런서(ALB) 뒤에 있는 Amazon EC2 인스턴스 그룹에서 애플리케이션을 실행하고 있습니다. 이 회사는 레이어 7 DDoS 공격으로부터 애플리케이션을 보호하고자 합니다. 다음 중 어떤 솔루션이 이 요구 사항을 충족합니까?

Accepted Answer

**문제 요구사항 분석:**
1. ALB 뒤의 EC2 인스턴스에서 애플리케이션 실행 중
2. **레이어 7(애플리케이션 계층) DDoS 공격** 방어 필요

**정답 C가 충족하는 이유:**
- **AWS WAF는 레이어 7 전용 방화벽**이다. HTTP/HTTPS 요청을 검사하여 악의적인 트래픽을 차단한다.
- **AWS 관리형 규칙(Managed Rules)**은 AWS 보안 전문가들이 미리 만들어 놓은 규칙 세트로, SQL Injection, XSS, Bot 제어, 알려진 악의적 IP 등 일반적인 공격 패턴을 즉시 방어한다.
- 특히 `AWSManagedRulesCommonRuleSet`, `AWSManagedRulesKnownBadInputsRuleSet`, `AWSManagedRulesBotControlRuleSet` 등이 레이어 7 DDoS에 효과적이다.
- **Rate-based 규칙**도 WAF에서 설정 가능하여, 특정 IP에서 과도한 요청이 오면 자동 차단한다.
- WAF 웹 ACL은 **ALB에 직접 연결 가능**하므로 아키텍처 변경 없이 적용할 수 있다.

📖 해설

✅ 정답 분석

❌ 오답 분석

📘 핵심 개념

🏗️ 아키텍처

⚙️ 운영 관점

💰 비용 관점

🔒 보안 관점

🎯 시험 팁