SAP-C02 Q534 · DNS

Question

회사는 Amazon EC2 인스턴스 플릿에서 프록시 서버를 운영합니다. 다른 국가의 파트너는 프록시 서버를 사용하여 회사의 기능을 테스트합니다. EC2 인스턴스는 VPC에서 실행 중입니다. 인스턴스는 인터넷에 접근할 수 있습니다. 회사의 보안 정책에 따라 파트너는 회사가 소유한 도메인에서만 리소스에 접근할 수 있습니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

Accepted Answer

**문제 요구사항 분석:**
1. EC2 프록시 서버가 VPC에서 운영됨
2. 파트너가 프록시를 통해 리소스에 접근
3. **회사가 소유한 도메인에서만** 리소스 접근 허용 (화이트리스트 방식)

**정답 A가 충족하는 방법:**

**Step 1:** Route 53 Resolver DNS Firewall 도메인 목록 생성 → 회사 소유 도메인들을 허용 목록(allow list)에 등록

**Step 2:** DNS 방화벽 규칙 그룹에 두 가지 규칙 구성:
- **높은 우선순위 숫자(= 낮은 우선순위) 규칙:** 모든 DNS 요청을 BLOCK → 기본적으로 모든 도메인 차단
- **낮은 우선순위 숫자(= 높은 우선순위) 규칙:** 허용 목록 도메인에 대해 ALLOW → 회사 도메인만 통과

**Step 3:** 규칙 그룹을 VPC에 연결 → VPC 내 모든 DNS 쿼리에 적용

**핵심 원리:** DNS Firewall은 VPC의 Route 53 Resolver를 통과하는 모든 아웃바운드 DNS 쿼리를 검사합니다. 허용되지 않은 도메인의 DNS 해석 자체를 차단하므로, 프록시 서버가 비허용 도메인으로 연결할 수 없게 됩니다.

**우선순위 숫자 규칙:** DNS Firewall에서는 숫자가 **낮을수록 먼저 평가**됩니다. 따라서 ALLOW 규칙(낮은 숫자)이 먼저 매칭되고, 매칭되지 않으면 BLOCK 규칙(높은 숫자)이 나머지를 모두 차단합니다.

📖 해설

✅ 정답 분석

❌ 오답 분석

📘 핵심 개념

🏗️ 아키텍처

⚙️ 운영 관점

🔒 보안 관점

🎯 시험 팁