SAA-C03 Q78 · Security

Question

솔루션 아키텍트가 애플리케이션 로드 밸런서(ALB) 뒤의 Amazon EC2 인스턴스에서 실행될 웹 애플리케이션을 설계하고 있습니다. 회사는 애플리케이션이 악의적인 인터넷 활동 및 공격에 대한 복원력을 갖추고, 새로운 일반적인 취약점 및 노출로부터 보호되어야 한다는 엄격한 요구 사항을 가지고 있습니다. 솔루션 아키텍트는 무엇을 권장해야 할까요?

Accepted Answer

문제의 핵심 요구사항을 분해하면:

1️⃣ **악의적인 인터넷 활동 및 공격에 대한 복원력** → L7(애플리케이션 계층) 공격 방어 필요
2️⃣ **새로운 일반적인 취약점 및 노출(CVE)로부터 보호** → 지속적으로 업데이트되는 규칙 세트 필요

AWS WAF가 두 요구사항을 모두 충족하는 이유:

- **AWS WAF Managed Rules**는 AWS 위협 연구팀이 관리하며, 새로운 CVE가 발견될 때 자동으로 규칙이 업데이트됨
- **AWSManagedRulesKnownBadInputsRuleGroup**: Log4j(CVE-2021-44228) 등 알려진 취약점 차단
- **AWSManagedRulesCommonRuleSet (CRS)**: SQL Injection, XSS 등 OWASP Top 10 공격 방어
- **AWSManagedRulesAnonymousIpList**: 악의적 IP(VPN, Tor 등)에서의 요청 차단
- AWS WAF는 **ALB에 직접 연결(associate)** 가능하므로 아키텍처 변경 없이 즉시 적용

📖 해설

✅ 정답 분석

❌ 오답 분석

📘 핵심 개념

🏗️ 아키텍처

⚙️ 운영 관점

💰 비용 관점

🔒 보안 관점

🎯 시험 팁