SAA-C03 Q461 · Networking

Question

회사에서 AWS 에 내부 웹 애플리케이션을 배포하려고 합니다. 웹 애플리케이션은 회사 사무실에서만 액세스할 수 있어야 합니다. 회사는 인터넷에서 웹 애플리케이션용 보안 패치를 다운로드해야 합니다. 회사는 VPC 를 생성하고 회사 사무실에 대한 AWS Site-to-Site VPN 연결을 구성했습니다. 솔루션 설계자는 웹 애플리케이션을 위한 보안 아키텍처를 설계해야 합니다. 어떤 솔루션이 이러한 요구 사항을 충족합니까?

Accepted Answer

문제의 요구사항을 하나씩 분석하면:

**요구사항 1: 회사 사무실에서만 접근 가능**
→ 내부(Internal) ALB를 사용해야 함. Internal ALB는 퍼블릭 IP가 없어 인터넷에서 접근 불가. Site-to-Site VPN을 통해 사무실에서만 프라이빗 IP로 접근 가능.
→ ALB 보안 그룹 인바운드를 회사 사무실 네트워크 CIDR로 제한하여 이중 보안.

**요구사항 2: EC2 인스턴스가 인터넷에서 보안 패치 다운로드**
→ EC2는 프라이빗 서브넷에 배치 (외부 노출 방지)
→ 퍼블릭 서브넷에 NAT Gateway 배포 → 프라이빗 서브넷의 라우트 테이블에서 0.0.0.0/0 → NAT Gateway로 설정
→ NAT Gateway가 인터넷 게이트웨이를 통해 아웃바운드 인터넷 접근 제공

**아키텍처 흐름:**
사무실 → VPN → VPC → Internal ALB → 프라이빗 서브넷 EC2
EC2 → NAT Gateway(퍼블릭 서브넷) → Internet Gateway → 인터넷(패치 다운로드)

📖 해설

✅ 정답 분석

❌ 오답 분석

📘 핵심 개념

🏗️ 아키텍처

⚙️ 운영 관점

💰 비용 관점

🔒 보안 관점

🎯 시험 팁