SC-100 문제 186
사례 연구 1 - Fabrikam, Inc
개요
Fabrikam, Inc.는 뉴욕에 본사가 있고 파리에 지점이 있는 보험 회사입니다.
기존 환경
온프레미스 환경
온프레미스 네트워크에는 corp.fabrikam.com이라는 단일 Active Directory 도메인 서비스(AD DS) 도메인이 포함되어 있습니다.
Azure 환경
Fabrikam은 다음과 같은 Azure 리소스를 보유하고 있습니다.
- corp.fabrikam.com과 동기화되는 fabrikam.onmicrosoft.com이라는 Microsoft Entra 테넌트
- Sub1이라는 단일 Azure 구독
- 미국 동부 Azure 지역의 Vnet1이라는 가상 네트워크
- 서유럽 Azure 지역의 Vnet2라는 가상 네트워크
- Azure WAF(웹 애플리케이션 방화벽)가 활성화된 FD1이라는 Azure Front Door 인스턴스
- Microsoft Sentinel 작업 공간
- ClaimDetails라는 테이블이 포함된 ClaimsDB라는 Azure SQL 데이터베이스
- 애플리케이션 서버로 구성되고 Microsoft Defender for Cloud에 온보딩되지 않은 20개의 가상 머신
- 테스트 목적으로만 사용되는 TestRG라는 리소스 그룹
- 개인이 할당한 세션 호스트를 포함하는 Azure Virtual Desktop 호스트 풀
- Sub1의 모든 리소스는 미국 동부 또는 유럽 서부 지역에 있습니다.
파트너
Fabrikam은 Contoso, Ltd.라는 회사와 애플리케이션 개발을 위한 계약을 체결했습니다. Contoso는 다음과 같은 인프라를 보유하고 있습니다.
- contoso.onmicrosoft.com이라는 Microsoft Entra
- ContosoAWS1이라는 Amazon Web Services(AWS) 구현에는 Fabrikam 애플리케이션의 테스트 워크로드를 호스팅하는 데 사용되는 AWS EC2 인스턴스가 포함되어 있습니다. Contoso의 개발자는 Fabrikam의 리소스에 연결하여 애플리케이션을 테스트하거나 업데이트합니다.
개발자는 fabrikam.onmicrosoft.com의 Contoso Developers라는 보안 그룹에 추가되며, 이 그룹은 Sub1의 역할에 할당됩니다. ContosoDevelopers 그룹에는 ClaimsDB 데이터베이스의 db.owner 역할이 할당됩니다.
규정 준수 이벤트
Fabrikam은 다음과 같은 규정 준수 환경을 구축합니다.
- Defender for Cloud는 Sub1의 모든 리소스가 HIPAA HITRUST 표준을 준수하는지 평가하도록 구성되어 있습니다.
- 현재 HIPAA HITRUST 표준을 준수하지 않는 리소스는 수동으로 수정하고 있습니다.
- Qualys는 서버의 표준 취약성 평가 도구로 사용됩니다.
문제 진술
Defender for Cloud의 보안 점수는 모든 가상 머신이 다음 권장 사항을 생성함을 보여줍니다. 머신에는 취약성 평가 솔루션이 있어야 합니다. 모든 가상 머신은 Defender for Cloud를 준수해야 합니다.
ClaimApp 배포
Fabrikam은 다음 사양을 갖는 ClaimsApp이라는 인터넷 접근 가능 애플리케이션을 구현할 계획입니다.
- ClaimsApp은 Vnet1 및 Vnet2에 연결되는 Azure App Service 인스턴스에 배포됩니다.
- 사용자는 https://claims.fabrikam.com URL을 사용하여 ClaimsApp에 연결합니다.
- ClaimsApp은 ClaimsDB의 데이터에 접근합니다.
- ClaimsDB는 Azure 가상 네트워크에서만 액세스할 수 있어야 합니다.
- ClaimsApp에 대한 앱 서비스 권한은 ClaimsDB에 할당되어야 합니다.
애플리케이션 개발 요구 사항
Fabrikam은 애플리케이션 개발에 대한 다음과 같은 요구 사항을 파악했습니다.
- Azure DevTest 랩은 개발자가 테스트하는 데 사용됩니다.
- 모든 애플리케이션 코드는 GitHub Enterprise에 저장되어야 합니다.
- Azure Pipelines는 애플리케이션 배포를 관리하는 데 사용됩니다.
- 모든 애플리케이션 코드 변경 사항에 대해 보안 취약점 검사를 실시해야 합니다. 여기에는 일반 텍스트로 비밀 정보가 포함된 애플리케이션 코드나 구성 파일도 포함됩니다. 검사는 코드가 저장소에 푸시될 때 수행해야 합니다.
보안 요구 사항
Fabrikam은 다음과 같은 보안 요구 사항을 식별합니다.
- 인터넷 접속이 가능한 애플리케이션은 북한에서 시작된 연결을 차단해야 합니다.
- InfraSec이라는 그룹의 멤버만 네트워크 보안 그룹(NSG)과 Azure Firewall, VJM, Sub1의 Front Door 인스턴스를 구성할 수 있어야 합니다.
- 관리자는 가상 머신의 원격 관리를 위해 보안 호스트에 연결해야 합니다. 보안 호스트는 사용자 지정 운영 체제 이미지에서 프로비저닝되어야 합니다.
AWS 요구 사항
Fabrikam은 ContosoAWSV에 호스팅된 데이터에 대해 다음과 같은 보안 요구 사항을 식별합니다.
- AWS EC2 인스턴스가 보안 점수 권장 사항을 준수하지 않는 경우 Fabrikam의 보안 관리자에게 알립니다.
- 보안 관리자가 Azure 환경에서 직접 AWS 서비스 로그를 쿼리할 수 있는지 확인합니다.
Contoso 개발자 요구 사항
Fabrikam은 Contoso 개발자에게 다음과 같은 요구 사항을 제시했습니다.
- 매달 ContosoDevelopers 그룹의 멤버십을 확인해야 합니다.
- Contoso 개발자는 Sub1의 리소스에 액세스하려면 기존 contoso.onmicrosoft.com 자격 증명을 사용해야 합니다.
- 코모로 개발자는 ClaimDetails 테이블의 MedicalHistory라는 열에 있는 데이터를 볼 수 없어야 합니다.
준수 요구 사항
Fabrikam은 Sub1의 가상 머신이 HIPPA HITRUST 표준을 준수하도록 자동으로 수정하고자 합니다. TestRG의 가상 머신은 규정 준수 평가에서 제외해야 합니다.
핫스팟 질문
AWS 요구 사항을 충족하는 솔루션을 추천해야 합니다.
추천서에는 무엇을 포함해야 할까요? 답변하려면 답변 영역에서 적절한 항목을 선택하세요.
참고: 정답 하나당 1점입니다.
개요
Fabrikam, Inc.는 뉴욕에 본사가 있고 파리에 지점이 있는 보험 회사입니다.
기존 환경
온프레미스 환경
온프레미스 네트워크에는 corp.fabrikam.com이라는 단일 Active Directory 도메인 서비스(AD DS) 도메인이 포함되어 있습니다.
Azure 환경
Fabrikam은 다음과 같은 Azure 리소스를 보유하고 있습니다.
- corp.fabrikam.com과 동기화되는 fabrikam.onmicrosoft.com이라는 Microsoft Entra 테넌트
- Sub1이라는 단일 Azure 구독
- 미국 동부 Azure 지역의 Vnet1이라는 가상 네트워크
- 서유럽 Azure 지역의 Vnet2라는 가상 네트워크
- Azure WAF(웹 애플리케이션 방화벽)가 활성화된 FD1이라는 Azure Front Door 인스턴스
- Microsoft Sentinel 작업 공간
- ClaimDetails라는 테이블이 포함된 ClaimsDB라는 Azure SQL 데이터베이스
- 애플리케이션 서버로 구성되고 Microsoft Defender for Cloud에 온보딩되지 않은 20개의 가상 머신
- 테스트 목적으로만 사용되는 TestRG라는 리소스 그룹
- 개인이 할당한 세션 호스트를 포함하는 Azure Virtual Desktop 호스트 풀
- Sub1의 모든 리소스는 미국 동부 또는 유럽 서부 지역에 있습니다.
파트너
Fabrikam은 Contoso, Ltd.라는 회사와 애플리케이션 개발을 위한 계약을 체결했습니다. Contoso는 다음과 같은 인프라를 보유하고 있습니다.
- contoso.onmicrosoft.com이라는 Microsoft Entra
- ContosoAWS1이라는 Amazon Web Services(AWS) 구현에는 Fabrikam 애플리케이션의 테스트 워크로드를 호스팅하는 데 사용되는 AWS EC2 인스턴스가 포함되어 있습니다. Contoso의 개발자는 Fabrikam의 리소스에 연결하여 애플리케이션을 테스트하거나 업데이트합니다.
개발자는 fabrikam.onmicrosoft.com의 Contoso Developers라는 보안 그룹에 추가되며, 이 그룹은 Sub1의 역할에 할당됩니다. ContosoDevelopers 그룹에는 ClaimsDB 데이터베이스의 db.owner 역할이 할당됩니다.
규정 준수 이벤트
Fabrikam은 다음과 같은 규정 준수 환경을 구축합니다.
- Defender for Cloud는 Sub1의 모든 리소스가 HIPAA HITRUST 표준을 준수하는지 평가하도록 구성되어 있습니다.
- 현재 HIPAA HITRUST 표준을 준수하지 않는 리소스는 수동으로 수정하고 있습니다.
- Qualys는 서버의 표준 취약성 평가 도구로 사용됩니다.
문제 진술
Defender for Cloud의 보안 점수는 모든 가상 머신이 다음 권장 사항을 생성함을 보여줍니다. 머신에는 취약성 평가 솔루션이 있어야 합니다. 모든 가상 머신은 Defender for Cloud를 준수해야 합니다.
ClaimApp 배포
Fabrikam은 다음 사양을 갖는 ClaimsApp이라는 인터넷 접근 가능 애플리케이션을 구현할 계획입니다.
- ClaimsApp은 Vnet1 및 Vnet2에 연결되는 Azure App Service 인스턴스에 배포됩니다.
- 사용자는 https://claims.fabrikam.com URL을 사용하여 ClaimsApp에 연결합니다.
- ClaimsApp은 ClaimsDB의 데이터에 접근합니다.
- ClaimsDB는 Azure 가상 네트워크에서만 액세스할 수 있어야 합니다.
- ClaimsApp에 대한 앱 서비스 권한은 ClaimsDB에 할당되어야 합니다.
애플리케이션 개발 요구 사항
Fabrikam은 애플리케이션 개발에 대한 다음과 같은 요구 사항을 파악했습니다.
- Azure DevTest 랩은 개발자가 테스트하는 데 사용됩니다.
- 모든 애플리케이션 코드는 GitHub Enterprise에 저장되어야 합니다.
- Azure Pipelines는 애플리케이션 배포를 관리하는 데 사용됩니다.
- 모든 애플리케이션 코드 변경 사항에 대해 보안 취약점 검사를 실시해야 합니다. 여기에는 일반 텍스트로 비밀 정보가 포함된 애플리케이션 코드나 구성 파일도 포함됩니다. 검사는 코드가 저장소에 푸시될 때 수행해야 합니다.
보안 요구 사항
Fabrikam은 다음과 같은 보안 요구 사항을 식별합니다.
- 인터넷 접속이 가능한 애플리케이션은 북한에서 시작된 연결을 차단해야 합니다.
- InfraSec이라는 그룹의 멤버만 네트워크 보안 그룹(NSG)과 Azure Firewall, VJM, Sub1의 Front Door 인스턴스를 구성할 수 있어야 합니다.
- 관리자는 가상 머신의 원격 관리를 위해 보안 호스트에 연결해야 합니다. 보안 호스트는 사용자 지정 운영 체제 이미지에서 프로비저닝되어야 합니다.
AWS 요구 사항
Fabrikam은 ContosoAWSV에 호스팅된 데이터에 대해 다음과 같은 보안 요구 사항을 식별합니다.
- AWS EC2 인스턴스가 보안 점수 권장 사항을 준수하지 않는 경우 Fabrikam의 보안 관리자에게 알립니다.
- 보안 관리자가 Azure 환경에서 직접 AWS 서비스 로그를 쿼리할 수 있는지 확인합니다.
Contoso 개발자 요구 사항
Fabrikam은 Contoso 개발자에게 다음과 같은 요구 사항을 제시했습니다.
- 매달 ContosoDevelopers 그룹의 멤버십을 확인해야 합니다.
- Contoso 개발자는 Sub1의 리소스에 액세스하려면 기존 contoso.onmicrosoft.com 자격 증명을 사용해야 합니다.
- 코모로 개발자는 ClaimDetails 테이블의 MedicalHistory라는 열에 있는 데이터를 볼 수 없어야 합니다.
준수 요구 사항
Fabrikam은 Sub1의 가상 머신이 HIPPA HITRUST 표준을 준수하도록 자동으로 수정하고자 합니다. TestRG의 가상 머신은 규정 준수 평가에서 제외해야 합니다.
핫스팟 질문
AWS 요구 사항을 충족하는 솔루션을 추천해야 합니다.
추천서에는 무엇을 포함해야 할까요? 답변하려면 답변 영역에서 적절한 항목을 선택하세요.
참고: 정답 하나당 1점입니다.
SC-100 문제 187
Azure Front Door 인스턴스를 통해 Azure App Service 웹앱에 대한 액세스를 제공하기 위한 보안 전략을 설계하고 있습니다.
웹 앱이 Front Door 인스턴스를 통해서만 액세스를 허용하도록 하는 솔루션을 추천해야 합니다.
해결 방법: 게이트웨이에 필요한 가상 네트워크 통합을 구성하는 것이 좋습니다.
이것이 목표를 달성하는가?
웹 앱이 Front Door 인스턴스를 통해서만 액세스를 허용하도록 하는 솔루션을 추천해야 합니다.
해결 방법: 게이트웨이에 필요한 가상 네트워크 통합을 구성하는 것이 좋습니다.
이것이 목표를 달성하는가?
SC-100 문제 188
핫스팟 질문
다양한 개발자 그룹이 임의의 시간과 속도로 다양한 API 세트에 액세스할 수 있도록 하는 Azure API Management 솔루션을 배포할 계획입니다.
구매할 가격 책정 등급과 요금 제한 정책 적용 범위를 제시해야 합니다. 솔루션은 다음 요구 사항을 충족해야 합니다.
- 각 개발자 그룹이 특정 API 세트에만 액세스할 수 있는지 확인합니다.
- 각 API 세트를 특정 속도로 구성할 수 있는지 확인하세요.
제한.
- 개발 및 관리 노력과 비용을 최소화합니다.
무엇을 추천해야 할까요? 답변하려면 답변 영역에서 적절한 옵션을 선택하세요.
참고: 정답 하나당 1점입니다.
다양한 개발자 그룹이 임의의 시간과 속도로 다양한 API 세트에 액세스할 수 있도록 하는 Azure API Management 솔루션을 배포할 계획입니다.
구매할 가격 책정 등급과 요금 제한 정책 적용 범위를 제시해야 합니다. 솔루션은 다음 요구 사항을 충족해야 합니다.
- 각 개발자 그룹이 특정 API 세트에만 액세스할 수 있는지 확인합니다.
- 각 API 세트를 특정 속도로 구성할 수 있는지 확인하세요.
제한.
- 개발 및 관리 노력과 비용을 최소화합니다.
무엇을 추천해야 할까요? 답변하려면 답변 영역에서 적절한 옵션을 선택하세요.
참고: 정답 하나당 1점입니다.
SC-100 문제 189
한 고객이 Microsoft 365 E5 구독과 Azure 구독이 포함된 하이브리드 클라우드 인프라를 보유하고 있습니다.
경계 네트워크의 모든 온프레미스 서버는 인터넷에 직접 연결하는 것이 금지됩니다.
해당 고객은 최근 랜섬웨어 공격으로부터 복구되었습니다.
고객은 Microsoft Sentinel을 배포할 계획입니다.
다음 요구 사항을 충족하는 구성을 권장해야 합니다.
* 보안 운영팀이 보안 로그와 운영 로그에 접근할 수 있는지 확인하세요.
* IT 운영팀이 경계 네트워크의 서버 이벤트 로그를 포함한 운영 로그에만 액세스할 수 있는지 확인합니다.
추천에 어떤 두 가지 구성을 포함할 수 있습니까? 정답은 각각 완전한 해결책을 제시합니다. 참고: 정답 하나당 1점입니다.
경계 네트워크의 모든 온프레미스 서버는 인터넷에 직접 연결하는 것이 금지됩니다.
해당 고객은 최근 랜섬웨어 공격으로부터 복구되었습니다.
고객은 Microsoft Sentinel을 배포할 계획입니다.
다음 요구 사항을 충족하는 구성을 권장해야 합니다.
* 보안 운영팀이 보안 로그와 운영 로그에 접근할 수 있는지 확인하세요.
* IT 운영팀이 경계 네트워크의 서버 이벤트 로그를 포함한 운영 로그에만 액세스할 수 있는지 확인합니다.
추천에 어떤 두 가지 구성을 포함할 수 있습니까? 정답은 각각 완전한 해결책을 제시합니다. 참고: 정답 하나당 1점입니다.
SC-100 문제 190
Microsoft Defender for Cloud가 활성화된 Azure 구독이 있고, Amazon Web Services(AWS) 구현이 있습니다.
Azure 보안 전략을 AWS 구현으로 확장할 계획입니다. 이 솔루션은 Azure Arc를 사용하지 않습니다. AWS 리소스에 보안을 제공하기 위해 사용할 수 있는 세 가지 서비스는 무엇입니까? 각 정답은 완전한 해결책을 제시합니다. 참고: 정답은 1점입니다.
Azure 보안 전략을 AWS 구현으로 확장할 계획입니다. 이 솔루션은 Azure Arc를 사용하지 않습니다. AWS 리소스에 보안을 제공하기 위해 사용할 수 있는 세 가지 서비스는 무엇입니까? 각 정답은 완전한 해결책을 제시합니다. 참고: 정답은 1점입니다.