S3 MFA Delete로 로그 파일 보호하기
S3 MFA Delete는 S3 버킷의 객체를 삭제하거나 버전 관리를 변경할 때, MFA (Multi-Factor Authentication)를 요구함으로써 의도치 않은 또는 악의적인 삭제로부터 보호하는 기능이다.
S3 MFA Delete 활성화 시 주의점
버전 관리가 이미 활성화 되어있는 상태여야 S3 MFA Delete를 활성화 할 수 있다.
AWS CLI 또는 SDK에서만 활성화 할 수 있다.
S3 Object Lock을 대체하는 수준은 아니지만, 중간 보안 계층으로 유용하다.
예제 문제
한 회사가 여러 고객의 중요 데이터를 호스팅하는 애플리케이션을 운영하고 있습니다. 이 회사는 AWS CloudTrail을 사용하여 다양한 AWS 리소스에서 사용자 활동을 추적합니다. 새로운 보안 요건을 충족하기 위해 이 회사는 CloudTrail 로그 파일이 수정, 삭제 또는 위조되지 않도록 보호해야 합니다.
이러한 요건을 충족하는 솔루션은 무엇일까요?
- A. CloudTrail 로그 파일 무결성 검증을 활성화합니다.
- B. CloudTrail 로그 파일이 저장된 S3 버킷에서 Amazon S3 MFA Delete를 사용합니다.
- C. Amazon S3 버전 관리를 사용하여 CloudTrail 로그 파일의 모든 버전을 보관합니다.
- D. AWS Key Management Service(AWS KMS) 보안 키를 사용하여 CloudTrail 로그 파일을 보호합니다.
답 : B
이유 : MFA Delete를 활성화 하기 위해서는 버전 관리가 필수적으로 활성화 되어야 한다. 따라서, 로그 파일, 수정, 삭제, 위조에 대해서 MFA 인증으로 1차적으로 방어할 수 있으며, 위조된다고 하더라도 버전 관리를 활용해 다시 복구할 수 있다.
A가 답이 아닌 이유 : 무결성 검증은 다이제스트 파일을 기준으로 해당 파일이 변조(위조)되었는지 여부를 구분하는 기능이다. 해당 파일을 수정, 삭제하는 것을 막을 수는 없다.
'Certificate > AWS SOA-C02' 카테고리의 다른 글
| [AWS] AWS Organization, SCP, AWS Control Tower, 한 눈에 비교하기 (0) | 2025.04.17 |
|---|---|
| [AWS] SQS 기반 ASG, EventBridge(CloudWatch Events) 조합, 한 번에 이해하기 (0) | 2025.04.17 |
| [AWS] AWS Config, EventBridge(CloudWatch Events), Auto Remediation 조합, 한 번에 이해하기 (0) | 2025.04.16 |
| [AWS] VPC 피어링, 한 번에 이해하기 (0) | 2025.04.16 |
| [AWS] EC2 시스템 상태 검사 실패(System Status Check Failure)란?, 한 번에 이해하기 (0) | 2025.04.16 |
