SAA-C03 Q533 · Security

Question

한 회사가 AWS 클라우드에서 애플리케이션을 구축하고 있습니다. 이 애플리케이션은 Application Load Balancer(ALB) 뒤의 Amazon EC2 인스턴스에 호스팅됩니다. 이 회사는 DNS 에 Amazon Route 53 을 사용합니다. 이 회사는 DDoS 공격을 탐지하기 위한 사전 대응적 참여가 가능한 관리형 솔루션이 필요합니다. 어떤 솔루션이 이러한 요구 사항을 충족할까요?

Accepted Answer

문제의 핵심 요구사항을 분해하면:

1️⃣ **DDoS 공격 탐지** → DDoS 전용 보호 서비스 필요
2️⃣ **사전 대응적 참여(Proactive Engagement)** → 이것은 AWS Shield Advanced만의 고유 기능
3️⃣ **관리형 솔루션** → AWS가 관리하는 서비스

**AWS Shield Advanced가 모든 요구사항을 충족하는 이유:**

- Shield Advanced를 구독하면 **AWS Shield Response Team(SRT)**에 접근 가능
- SRT의 **Proactive Engagement** 기능: Route 53 헬스체크와 연동하여 DDoS 공격이 감지되면 SRT가 **먼저 고객에게 연락**하여 공격 대응을 지원
- ALB, Route 53, CloudFront, Elastic IP 등을 **보호된 리소스(Protected Resources)**로 등록 가능
- DDoS 공격으로 인한 비용 급등 시 **비용 보호(Cost Protection)** 제공

**흐름:** Shield Advanced 구독 → Route 53 호스팅 영역 + ALB를 보호 리소스로 등록 → 헬스체크 연동 → DDoS 감지 시 SRT가 사전 대응적으로 연락

📖 해설

✅ 정답 분석

❌ 오답 분석

📘 핵심 개념

🏗️ 아키텍처

⚙️ 운영 관점

💰 비용 관점

🔒 보안 관점

🎯 시험 팁