Azure Fundamentals | AZ-900 | 문제 풀이 #21~30

질문 #21

가상 머신에 설치될 중요한 LOB 애플리케이션을 Azure에 배포하는 작업이 지정되었습니다.

애플리케이션 배포 전략은 99.99%의 보장된 가용성을 허용해야 한다는 정보를 받았습니다. 전략에 필요한 가상 머신과 가용성 영역이 가능한 한 적은지 확인해야 합니다.

솔루션: 전략에 두 개의 가상 머신과 두 개의 가용성 영역을 포함합니다.

솔루션이 목표를 충족합니까?

• A. 네
• B. 아니오

---

LOB(Line of Business)

기업의 핵심 비즈니스 영역이나 주요 업무를 의미합니다. LOB 애플리케이션은 이러한 핵심 비즈니스를 지원하는 애플리케이션으로, 회사의 일상적인 운영과 수익 창출에 필수적인 역할을 합니다.

예를 들어 은행에서는 거래 처리 시스템이 LOB 애플리케이션일 수 있고, 제조업에서는 생산 관리 시스템이 해당될 수 있습니다. LOB 애플리케이션은 기업에 매우 중요하기 때문에 높은 가용성과 안정성이 요구됩니다.

 

LOB 애플리케이션의 주요 특징:

• 기업의 중요한 비즈니스 프로세스를 처리함
• 종종 여러 부서에서 공유하고 사용됨
• 높은 안정성과 성능이 요구됨
• 데이터 보안이 매우 중요함

LOB 애플리케이션은 기업의 핵심 수익 창출이나 비즈니스 목표를 지원하기 때문에 Azure와 같은 클라우드 환경에 배포할 때 가용성과 복구 전략이 매우 중요한 요소로 고려됩니다.

---

정답: 네

 

 

---

 

 

질문 #22

귀사의 개발자는 매주 많은 수의 사용자 지정 가상 머신을 배포하려고 합니다. 또한 배포된 주에 이러한 가상 머신을 제거합니다. 가상 머신의 60%는 Windows Server 2016이 설치되어 있고 나머지 40%는 Ubuntu Linux가 설치되어 있습니다.

적합한 Azure 서비스를 사용하여 이 프로세스에 필요한 관리 노력을 줄여야 합니다.

솔루션: Microsoft Managed Desktop을 사용하는 것이 좋습니다.

솔루션이 목표를 충족합니까?

• A. 네
• B. 아니오

---

Microsoft Managed Desktop (MMD)는 Microsoft가 제공하는 엔드 유저 디바이스 관리 서비스로, 주로 회사의 PC와 같은 최종 사용자 장치를 대상으로 하여 기업이 디바이스 관리, 보안, 업데이트 등을 더 쉽게 할 수 있도록 돕는 관리형 서비스입니다. 이 서비스를 통해 회사는 IT 관리 작업을 간소화하고 Microsoft가 엔드포인트 장치의 관리를 대신 수행하게 할 수 있습니다.

 

주요 특징:

1. 하드웨어 선택:
   • Microsoft Managed Desktop은 지정된 Microsoft 인증 하드웨어에서만 작동합니다. 주로 Microsoft Surface 장치나 특정 OEM 파트너의 장치들이 포함됩니다.
2. 자동 업데이트 및 보안 관리:
   • MMD는 장치에 Windows 10/11을 설치하고, Microsoft의 클라우드 기반 관리 도구를 통해 자동으로 보안 업데이트, 펌웨어 업데이트, 운영 체제 패치를 관리합니다. 이로 인해 회사 IT 부서의 관리 부담이 줄어들고 보안 취약점에 대해 더 빠르게 대응할 수 있습니다.
3. 엔드포인트 보안:
   • Microsoft Managed Desktop은 Microsoft Defender와 같은 도구를 통해 장치의 보안을 유지하고 클라우드 기반의 보안 관리 및 모니터링을 제공합니다. 이를 통해 악성 소프트웨어나 보안 위협에 신속하게 대응할 수 있습니다.
4. 디바이스 모니터링 및 지원:
   • Microsoft는 MMD 장치의 상태를 실시간으로 모니터링하고 문제 발생 시 자동으로 문제를 해결하거나 알림을 제공합니다. 기업은 필요에 따라 Microsoft의 기술 지원을 받을 수 있습니다.
5. Microsoft Intune과의 통합:
   • MMD는 Microsoft Intune과 같은 클라우드 기반 관리 도구를 활용하여 장치의 구성과 정책을 관리합니다. 이를 통해 회사 정책을 모든 장치에 일관되게 적용할 수 있습니다.
6. Windows Autopilot:
   • MMD는 Windows Autopilot을 사용하여 새로운 장치를 회사의 표준 설정으로 쉽게 프로비저닝(provisioning)할 수 있습니다. 사용자가 장치를 처음 받을 때 네트워크에 연결만 하면 회사에서 설정한 정책과 소프트웨어가 자동으로 설치됩니다.

Microsoft Managed Desktop이 적합한 상황:

• IT 관리 리소스가 부족한 회사가 디바이스 관리 및 보안 작업을 Microsoft에 아웃소싱하고 싶을 때
• 직원들이 사용하는 PC 및 노트북 장치에 대한 지속적인 업데이트와 보안 유지가 중요한 경우
• 최신 Microsoft 기술을 활용해 자동화된 관리와 보안 강화를 원할 때

MMD가 적합하지 않은 상황:

• 가상 머신(VM) 관리와 같이 서버 인프라를 관리해야 할 때는 MMD가 적합하지 않습니다. 이 경우에는 Azure의 가상 머신 관리 도구(예: Azure Automation, Virtual Machine Scale Sets 등)가 더 적합합니다.

Microsoft Managed Desktop은 엔드 유저 디바이스를 관리하고 보안을 유지하는 데 중점을 둔 서비스로, 기업의 IT 운영을 간소화하는 데 도움을 줍니다. 주로 회사의 PC와 같은 디바이스에 대해 자동 업데이트, 보안 유지, 정책 관리 등의 작업을 Microsoft가 대신 수행해주는 방식입니다.

---

정답: 아니오

Microsoft Managed Desktop은 주로 기업의 엔드 유저 디바이스(사용자들의 PC, 노트북 등)를 관리하고 유지보수하는 서비스입니다. 이 서비스는 사용자의 PC에 최신 보안 업데이트를 자동으로 설치하고 디바이스 관리 및 모니터링을 통해 기업의 IT 관리를 간소화하는 데 중점을 둡니다. 가상 머신(VM) 관리와는 관련이 없습니다.

 

질문에서는 가상 머신의 대규모 배포와 주기적인 제거를 간소화하는 것이 목표입니다. 또한 가상 머신에는 Windows Server 2016과 Ubuntu Linux가 설치되어 있습니다. Microsoft Managed Desktop은 이런 서버 및 가상 머신 배포나 관리에 적합한 서비스가 아닙니다.

 

이 경우 적합한 Azure 서비스는 Azure Virtual Machine Scale Sets 또는 Azure Automation입니다.

• Azure Virtual Machine Scale Sets: 대규모 가상 머신을 자동으로 배포하고 관리할 수 있는 서비스입니다. 일정한 조건에 따라 VM을 자동으로 생성하거나 제거할 수 있어 배포 및 제거 과정에서의 관리 노력을 줄일 수 있습니다.
• Azure Automation: 가상 머신의 배포, 유지관리, 제거 등의 작업을 자동화할 수 있는 서비스입니다. 이 서비스를 사용하면 스크립트를 통해 Windows와 Linux VM을 자동으로 생성하거나 제거할 수 있어 관리자가 수동으로 작업할 필요가 없습니다.

 

 

---

 

 

질문 #23

귀사의 개발자는 매주 많은 수의 사용자 지정 가상 머신을 배포하려고 합니다. 또한 배포된 주에 이러한 가상 머신을 제거합니다. 가상 머신의 60%는 Windows Server 2016이 설치되어 있고 나머지 40%는 Ubuntu Linux가 설치되어 있습니다.

적합한 Azure 서비스를 사용하여 이 프로세스에 필요한 관리 노력을 줄여야 합니다.

솔루션: Azure Reserved Virtual Machines(VM) 인스턴스를 사용하는 것이 좋습니다.

솔루션이 목표를 충족합니까?

• A. 네
• B. 아니오

---

Azure Reserved Virtual Machines (VM) Instances는 Microsoft Azure에서 제공하는 가상 머신을 장기 예약하여 비용을 절감할 수 있는 옵션입니다. 이 옵션을 사용하면 1년 또는 3년 동안 특정 가상 머신을 예약하고, 그 대가로 할인된 가격으로 가상 머신을 사용할 수 있습니다. 주로 장기적으로 가상 머신을 사용해야 하는 경우에 유용하며 Azure의 사용량 기반 요금제(Pay-as-you-go)에 비해 비용 절감 효과가 큽니다.

 

주요 특징:

1. 장기 예약(1년 또는 3년)
   • 사용자는 가상 머신을 1년 또는 3년 기간 동안 예약할 수 있습니다. 예약 기간 동안 고정된 비용으로 가상 머신을 사용할 수 있습니다. 이는 장기간 가상 머신을 사용할 계획이 있는 경우에 비용을 대폭 절감하는 효과가 있습니다.
2. 비용 절감
   • Azure Reserved VM Instances는 일반적인 사용량 기반 요금제에 비해 최대 72%까지 비용 절감이 가능합니다. 특히 장기적으로 일정한 워크로드를 처리하는 경우 매우 유리합니다.
3. 유연한 크기 관리
   • Azure는 VM 크기 유연성(Size Flexibility)을 지원합니다. 같은 VM 시리즈 내에서 크기를 변경할 수 있기 때문에 필요에 따라 예약한 인스턴스의 크기를 유연하게 조정할 수 있습니다.
4. 영역 제한 없는 사용
   • Azure Reserved VM Instances는 리전(Region) 내에서 사용할 수 있으며 특정 가용성 영역에 고정되지 않으므로 리전 내에서 자유롭게 가상 머신을 배치할 수 있습니다.
5. 재할당 및 취소 가능
   • 예약된 인스턴스는 다른 구독이나 리소스 그룹으로 이동하거나 취소할 수도 있습니다. 취소 시 잔여 기간에 대해 일정 비율의 환불을 받을 수 있지만 일부 수수료가 부과될 수 있습니다.
6. 결제 방식
   • 예약 인스턴스의 비용은 선불로 지불됩니다. 이를 통해 할인 혜택을 받는 대신 예약 시 전체 기간에 대한 비용을 미리 지불해야 합니다.

사용 사례:

• 예측 가능한 장기 워크로드: 일정한 용량의 가상 머신이 오랜 기간 동안 필요할 때(예: 기업의 백엔드 서버, 데이터베이스 서버, 핵심 애플리케이션 서버)
• 비용 최적화가 중요한 경우: 사용량 기반 요금제보다 낮은 비용으로 운영할 수 있기 때문에 IT 예산 절감이 중요한 프로젝트에 적합합니다.
• 데이터 센터 이전: 온프레미스에서 클라우드로 이전하는 경우 장기적으로 가상 머신을 사용할 계획이라면 예약 인스턴스를 사용하여 비용 절감 효과를 얻을 수 있습니다.

한계:

• 단기 사용에는 적합하지 않음: Azure Reserved VM Instances는 장기적인 사용을 전제로 하므로 몇 주나 몇 달 동안만 가상 머신을 사용하는 경우에는 오히려 비용이 더 비싸질 수 있습니다.
• 유연성 부족: 예약 인스턴스는 장기 계약이므로 예약 기간 동안 워크로드 요구 사항이 크게 변화하면 유연하게 대처하기 어렵습니다.
• 선불 결제: 예약 시 미리 비용을 지불해야 하기 때문에 자본 지출(CapEx)을 요구하는 경우가 있습니다.

Azure Reserved Virtual Machines (VM) Instances는 장기적으로 가상 머신을 사용할 계획이 있는 기업이나 조직에 매우 유리한 옵션입니다. 주로 예측 가능한 워크로드나 장기적으로 안정적인 환경을 제공해야 하는 경우에 적합하며, 이를 통해 상당한 비용 절감을 실현할 수 있습니다. 하지만 단기적인 사용이나 주기적인 생성 및 제거가 필요한 환경에서는 적합하지 않기 때문에 이 경우에는 사용량 기반 요금제나 다른 자동화 도구를 고려해야 합니다.

---

정답: 아니오

Azure Reserved VM Instances는 주로 장기적인 사용을 위한 비용 절감 옵션입니다. 이 인스턴스는 1년 또는 3년 동안 특정 가상 머신을 예약하여 할인을 받는 방식으로, 단기적으로 배포하고 제거하는 가상 머신에는 적합하지 않습니다. 즉 회사에서 매주 많은 수의 가상 머신을 배포하고 같은 주에 제거하는 상황에는 이 예약된 VM 인스턴스를 사용하는 것이 경제적이거나 관리적으로 효율적이지 않습니다.

 

질문에서 언급된 것처럼 회사는 매주 많은 가상 머신을 배포하고 해당 가상 머신을 같은 주에 삭제할 예정입니다. 단기 사용을 위한 VM 관리에 대해 적합한 서비스는 다음과 같은 Azure 도구입니다:

더 적합한 솔루션:

1. Azure Virtual Machine Scale Sets:
   • 가상 머신을 자동으로 배포하고 확장할 수 있는 기능을 제공합니다. 스케일링 정책에 따라 가상 머신을 자동으로 생성하거나 삭제할 수 있어 관리적인 노력을 줄이는 데 매우 효과적입니다.
2. Azure Automation:
   • 자동화 스크립트나 Runbook을 작성하여 가상 머신의 배포, 관리, 제거를 자동화할 수 있습니다. 이를 통해 관리자는 수동으로 작업할 필요 없이 주기적으로 가상 머신을 생성하고 제거하는 작업을 자동으로 처리할 수 있습니다.
3. Azure DevTest Labs:
   • 가상 머신을 빠르게 배포하고 관리하는 데 특화된 서비스입니다. 주로 개발 및 테스트 환경에 사용되며 단기간에 여러 대의 VM을 쉽게 생성하고 제거할 수 있습니다. 이 서비스는 가상 머신의 수명 주기를 간소화하여 관리 부담을 줄일 수 있습니다.

Azure Reserved VM Instances는 장기적인 가상 머신 사용에 적합하며, 단기적인 VM 배포 및 제거에는 적합하지 않습니다. 이 시나리오에서는 Azure Virtual Machine Scale Sets이나 Azure Automation, Azure DevTest Labs 같은 서비스를 사용하는 것이 더 효율적입니다.

 

 

---

 

 

질문 #24

귀사의 개발자는 매주 많은 수의 사용자 지정 가상 머신을 배포하려고 합니다. 또한 배포된 주에 이러한 가상 머신을 제거합니다. 가상 머신의 60%는 Windows Server 2016이 설치되어 있고 나머지 40%는 Ubuntu Linux가 설치되어 있습니다.

적합한 Azure 서비스를 사용하여 이 프로세스에 필요한 관리 노력을 줄여야 합니다.

솔루션: Azure DevTest Labs를 사용하는 것이 좋습니다.

솔루션이 목표를 충족합니까?

• A. 네
• B. 아니오

---

Azure DevTest Labs는 개발자와 테스트 팀이 가상 머신(VM)과 기타 리소스를 손쉽게 관리하고 자동화할 수 있도록 돕는 Azure의 서비스입니다. 주로 개발, 테스트 환경에서 필요한 인프라를 신속하게 제공하고 관리 작업을 간소화하여 비용 절감과 효율적인 운영을 지원하는 데 중점을 둡니다.

 

주요 특징:

1. 신속한 가상 머신 프로비저닝:
   • 개발자와 테스터는 Azure DevTest Labs를 통해 필요할 때 가상 머신을 빠르게 생성할 수 있습니다. 미리 설정된 이미지 템플릿이나 아티팩트(추가 설치 소프트웨어, 스크립트)를 사용하여 쉽게 환경을 구성할 수 있습니다.
2. 비용 관리:
   • 자동 시작/중지 기능을 사용하여 가상 머신이 실제로 사용될 때만 작동하도록 설정할 수 있어 비용을 절감할 수 있습니다(예: 업무 시간 후에 자동으로 VM을 종료하고 다음 날 아침에 다시 시작하는 방식).
3. 환경 복제:
   • 기존 환경을 복제하여 새로운 개발/테스트 환경을 신속하게 생성할 수 있습니다. 이를 통해 새로운 기능이나 패치를 기존 환경에서 테스트한 후 실제 환경에 배포하기 전에 빠르게 시뮬레이션할 수 있습니다.
4. 템플릿 기반 배포:
   • 미리 구성된 기본 VM 이미지와 아티팩트를 사용하여 표준화된 개발/테스트 환경을 쉽게 만들 수 있습니다. 또한 조직의 표준 이미지를 사용하여 일관된 배포를 보장할 수 있습니다.
5. 정책 관리:
   • 관리자나 팀 리더는 사용자가 배포할 수 있는 VM의 크기나 갯수를 제어할 수 있어 리소스 남용을 방지할 수 있습니다. 이를 통해 비용 초과를 막고 예산 내에서 인프라를 관리할 수 있습니다.
6. 지속적인 통합 및 배포(CI/CD) 지원:
   • 지속적인 통합(CI) 및 지속적인 배포(CD) 파이프라인과 쉽게 통합할 수 있어, 코드가 변경될 때마다 자동으로 새로운 테스트 환경을 생성하고 결과를 확인한 뒤 해당 환경을 종료하는 등의 자동화가 가능합니다.
7. 다중 플랫폼 지원:
   • 다양한 운영체제와 개발 환경을 지원합니다. Windows, Linux 기반의 가상 머신은 물론, 다른 클라우드 리소스와 통합하여 다양한 테스트 시나리오를 실행할 수 있습니다.
8. 사용 제한 설정:
   • 사용자별로 가상 머신 사용량을 제한할 수 있습니다. 예산을 관리하거나 자원을 낭비하지 않기 위해 팀이나 프로젝트별로 최대 VM 수나 VM 크기를 설정할 수 있습니다.

Azure DevTest Labs의 활용 사례:

1. 개발 환경:
   • 팀원들이 동일한 개발 환경을 쉽게 생성할 수 있도록 사전 구성된 템플릿을 제공하여 환경 설정 시간을 절약할 수 있습니다.
2. 테스트 환경:
   • QA 팀은 테스트할 애플리케이션이나 시스템의 복제본을 빠르게 생성하여 다양한 시나리오에서 테스트할 수 있으며 테스트가 완료되면 환경을 즉시 제거할 수 있습니다.
3. 교육 및 실습 환경:
   • 교육 목적으로 여러 가상 머신을 설정하고, 교육이 끝나면 자동으로 환경을 제거하여 비용을 최소화할 수 있습니다.
4. 시스템 시뮬레이션:
   • 새로운 애플리케이션을 실제 배포 전에 여러 시나리오에서 테스트하기 위한 시스템 시뮬레이션 환경을 쉽게 만들 수 있습니다.

Azure DevTest Labs의 장점:

• 자동화 및 효율성: 개발 및 테스트 환경을 빠르게 배포하고 자동으로 관리할 수 있어 개발 속도를 높이고 관리 비용을 절감할 수 있습니다.
• 비용 절감: 자동 시작/중지, 정책 관리 등을 통해 불필요한 리소스 사용을 줄이고 예산을 효율적으로 관리할 수 있습니다.
• 유연성: 다양한 운영체제 및 개발 도구를 지원하며 미리 정의된 템플릿과 아티팩트로 환경 구성을 표준화할 수 있습니다.
• 통합성: Azure DevOps 또는 다른 CI/CD 파이프라인과 쉽게 통합하여 자동화된 테스트 환경을 지원합니다.

Azure DevTest Labs는 개발 및 테스트 환경을 효율적으로 관리하고 비용 절감을 지원하는 강력한 도구입니다. 이를 통해 조직은 개발 속도를 높이고 관리 부담을 줄이며 리소스를 효율적으로 사용할 수 있습니다. 자동화, 정책 제어, 비용 절감이 중요한 조직에게 매우 유용한 서비스입니다.

---

정답: 네

 

 

---

 

 

질문 #25

귀사에는 Microsoft Azure에 호스팅된 가상 머신(VM)이 있습니다. VM은 VNet1이라는 단일 Azure 가상 네트워크에 있습니다.

이 회사에는 원격으로 작업하는 사용자가 있습니다. 원격 근무자는 VNet1의 VM에 액세스할 수 있어야 합니다.

원격 근무자에게 액세스를 제공해야 합니다.

어떻게 해야 합니까?

• A. 사이트 간(S2S) VPN을 구성합니다.
• B. VNet-toVNet VPN을 구성합니다.
• C. P2S(Point-to-Site) VPN을 구성합니다.
• D. Windows Server 2012 서버 VM에서 DirectAccess를 구성합니다.
• E. 다중 사이트 VPN 구성

---

1. 사이트 간(Site-to-Site, S2S) VPN 구성
   • 사이트 간 VPN은 온프레미스 네트워크와 Azure 가상 네트워크(VNet)를 연결하는 데 사용됩니다. 이를 통해 두 네트워크 간에 암호화된 터널을 설정하고 서로 안전하게 통신할 수 있습니다. 이 방식은 일반적으로 온프레미스 데이터 센터와 Azure를 연결하는 데 사용되며, 회사 네트워크 전체를 Azure 네트워크에 연결하는 데 적합합니다.
   • 사용 사례: 온프레미스 네트워크와 Azure 간의 영구적인 연결이 필요할 때
2. VNet-to-VNet VPN 구성
   • VNet-to-VNet VPN은 Azure의 두 개 이상의 가상 네트워크 간에 안전한 연결을 설정하는 방식입니다. 서로 다른 Azure 리전이나 다른 VNet 간에 가상 네트워크 트래픽을 암호화하고 연결할 때 사용됩니다.
   • 사용 사례: Azure 내 여러 VNet 간의 연결이 필요할 때
3. Point-to-Site (P2S) VPN 구성
   • Point-to-Site VPN은 개별 사용자가 원격으로 Azure 가상 네트워크에 연결할 수 있는 방법입니다. 인터넷을 통해 안전한 터널을 생성하고 원격 근무자가 Azure에 호스팅된 리소스에 직접 접근할 수 있도록 합니다. P2S VPN은 사용자가 Azure의 리소스에 접근하기 위해 VPN 클라이언트를 통해 연결하는 방식입니다.
   • 사용 사례: 원격 근무자들이 안전하게 Azure에 있는 가상 네트워크와 리소스에 접근해야 할 때
4. Windows Server 2012 서버 VM에서 DirectAccess 구성
   • DirectAccess는 Windows Server 2012에서 제공하는 원격 액세스 기술로, 원격 사용자들이 내부 네트워크에 안전하게 접속할 수 있도록 하는 방법입니다. 주로 온프레미스 네트워크 환경에서 사용됩니다.
   • 사용 사례: DirectAccess는 온프레미스 서버와 원격 근무자 간의 안전한 연결을 설정하는 데 사용됩니다. Azure 환경에서는 잘 사용되지 않으며, Azure의 네이티브 VPN 옵션보다 복잡할 수 있습니다.
5. 다중 사이트 VPN 구성
   • 다중 사이트 VPN은 여러 온프레미스 사이트와 Azure 가상 네트워크 간의 연결을 설정하는 방법입니다. 이는 사이트 간 VPN과 유사하지만 여러 개의 온프레미스 사이트가 Azure VNet과 연결될 수 있습니다.
   • 사용 사례: 여러 온프레미스 사이트가 하나의 Azure VNet과 연결되어야 할 때 사용됩니다.

---

 

정답: P2S(Point-to-Site) VPN을 구성합니다.

원격 근무자가 각자의 디바이스를 사용해 개별적으로 Azure 가상 네트워크(VNet1)에 있는 가상 머신에 접근해야 하므로, P2S VPN이 이 요구 사항에 부합하는 최적의 솔루션입니다.

 

Point-to-Site (P2S) VPN을 설정하면 원격 근무자들이 개인 디바이스에서 안전하게 Azure 가상 네트워크(VNet1)에 연결할 수 있습니다. 이는 인터넷을 통해 보안된 터널을 형성하고 원격 근무자가 Azure 네트워크에 연결된 것처럼 동작하게 만듭니다.

 

절차:

• Azure Virtual Network Gateway 생성:
  • 먼저 Azure Portal에서 Virtual Network Gateway를 VNet1에 연결합니다. Virtual Network Gateway는 Azure VNet과 외부 네트워크 간의 트래픽을 암호화하여 전달하는 역할을 합니다.
• Point-to-Site VPN 설정:
  • Gateway를 구성할 때 Point-to-Site VPN을 설정합니다. 이 설정을 통해 원격 근무자가 개인 디바이스에서 VPN 클라이언트를 사용하여 Azure VNet1에 접속할 수 있게 됩니다.
• VPN 클라이언트 구성:
  • P2S VPN 설정을 완료한 후 Azure는 사용자들이 각자의 디바이스에서 VPN 클라이언트를 다운로드하고 설치할 수 있는 프로파일을 제공합니다. 이를 통해 원격 근무자들이 쉽게 네트워크에 접속할 수 있습니다.

이유:

1. 보안된 접근: P2S VPN은 사용자와 Azure VNet 간의 모든 트래픽을 암호화하여 보안된 접근을 제공합니다. 따라서 외부에서의 무단 접근을 방지할 수 있습니다.
2. 간편한 구성: P2S VPN은 원격 근무자들이 간편하게 연결할 수 있는 방법으로, 추가 하드웨어가 필요하지 않으며 Azure 네트워크에 직접 접속할 수 있는 방식입니다.
3. 확장성: 많은 사용자가 원격으로 접속할 수 있도록 쉽게 확장할 수 있습니다. 새로운 사용자가 필요할 경우 Azure에서 제공하는 클라이언트 구성 프로파일을 추가하여 간편하게 확장할 수 있습니다.

 

 

---

 

 

질문 #26

상사로부터 Azure에 대한 서버 배포를 자동화하려는 회사의 의도에 대해 통보를 받았습니다. 그러나 이 프로세스 중에 관리 자격 증명이 노출될 수 있다는 우려가 있습니다.

배포 중에 관리 자격 증명이 적합한 Azure 솔루션을 사용하여 암호화되었는지 확인해야 합니다.

솔루션: Azure Information Protection을 사용하는 것이 좋습니다.

솔루션이 목표를 충족합니까?

• A. 네
• B. 아니오

---

Azure Information Protection (AIP)는 Microsoft Azure에서 제공하는 클라우드 기반 솔루션으로, 문서와 이메일을 비롯한 민감한 정보를 보호하고 관리할 수 있도록 설계된 서비스입니다. AIP를 통해 조직은 데이터의 보안 수준을 강화하고 데이터를 안전하게 분류, 암호화, 모니터링할 수 있습니다.

 

주요 기능:

1. 데이터 분류 및 라벨링
   • 데이터를 자동으로 분류하거나 사용자가 직접 데이터를 분류할 수 있게 해 줍니다. 이를 통해 문서나 이메일의 민감도를 지정하고 정보가 어떻게 처리되어야 하는지에 대한 정책을 적용할 수 있습니다.
   • 예를 들어 기밀, 내부 전용, 공개 가능 등으로 라벨을 지정할 수 있으며, 라벨에 따라 자동으로 보호 정책이 적용됩니다.
2. 데이터 암호화
   • 데이터가 보호되어야 하는 경우 암호화를 적용합니다. 이 암호화는 문서나 이메일의 내용이 승인된 사용자만 볼 수 있도록 보호합니다.
   • 암호화된 파일은 데이터가 이동하더라도 보호가 유지되며 지정된 사람만 접근할 수 있습니다.
3. 권한 관리
   • 조직은 AIP를 사용해 각 문서나 이메일에 대한 세부 권한을 설정할 수 있습니다. 예를 들어 특정 사용자가 문서를 읽기만 할 수 있도록 하거나 인쇄나 편집을 금지하는 등의 제한을 설정할 수 있습니다.
   • 권한은 실시간으로 관리할 수 있으며 필요시 문서나 이메일의 접근 권한을 철회할 수 있습니다.
4. 추적 및 모니터링
   • 보호된 문서와 이메일이 어떻게 사용되고 있는지를 추적할 수 있습니다. 누가 파일을 열었고 수정했는지 등의 활동 기록을 확인할 수 있습니다.
   • 파일이 의도하지 않은 사용자에게 노출되었을 경우 관리자가 접근 권한을 취소하거나 추가적인 조치를 취할 수 있습니다.
5. 자동화된 보호
   • 머신러닝을 사용하여 민감한 정보를 자동으로 탐지하고 분류합니다. 특정 규칙이나 정책을 설정하면 파일에 민감한 데이터(예: 신용카드 번호, 주민등록번호 등)가 포함되었을 때 자동으로 보호 조치를 적용할 수 있습니다.
6. 통합된 솔루션
   • Microsoft 365, SharePoint, Outlook 등과 긴밀하게 통합되어 있어 사용자는 일상적인 워크플로우 내에서 쉽게 정보를 보호할 수 있습니다. 예를 들어 이메일을 작성할 때 AIP 라벨을 적용하여 민감한 이메일이 보호되도록 할 수 있습니다.

Azure Information Protection의 사용 사례:

1. 기밀 문서 보호:
   • 기업은 AIP를 사용하여 내부 보고서, 계약서, 재무 자료 등의 기밀 문서를 분류하고 보호할 수 있습니다. 문서가 내부에서만 사용되어야 하는 경우 적절한 권한과 암호화를 설정하여 외부 유출을 방지할 수 있습니다.
2. 이메일 보안:
   • 민감한 정보가 포함된 이메일을 전송할 때 AIP를 통해 이메일을 암호화하고 수신자 외의 사람은 이메일 내용을 확인할 수 없도록 할 수 있습니다.
3. 규정 준수:
   • AIP는 다양한 법적 및 규제 요구사항을 준수할 수 있도록 돕습니다. 예를 들어 금융 기관이나 의료 기관은 민감한 정보를 암호화하여 GDPR(유럽의 일반 데이터 보호 규칙) 또는 HIPAA(미국의 의료 정보 보호 규칙)와 같은 규정을 준수할 수 있습니다.
4. 데이터 유출 방지:
   • AIP를 통해 실수로 잘못된 수신자에게 이메일이나 문서가 전송되더라도 보호된 데이터는 열람되지 않도록 할 수 있습니다. 또한 관리자는 필요시 즉시 해당 데이터의 접근을 철회할 수 있습니다.

Azure Information Protection의 이점:

• 유연성: 사용자는 자신이 관리하는 파일에 대해 수동으로 보호를 적용할 수 있고 조직은 자동 분류 및 보호 규칙을 통해 대규모로 데이터를 관리할 수 있습니다.
• 보안성: 데이터는 암호화되어 이동하거나 저장되더라도 계속 보호됩니다.
• 추적 기능: 데이터가 어떻게 사용되고 있는지를 실시간으로 추적할 수 있어 보안 위협에 대한 빠른 대응이 가능합니다.
• Microsoft 365 통합: Microsoft 365 환경에서 간편하게 보호 기능을 사용할 수 있습니다.

한계:

• 서버 배포 암호화와는 다른 목적: AIP는 서버 배포 중에 자격 증명이나 관리 권한을 암호화하는 솔루션이 아니라, 주로 문서 및 이메일과 같은 데이터 보호를 위한 서비스입니다. 서버 배포 중 자격 증명 관리에는 Azure Key Vault가 더 적합합니다.

---

Azure Key Vault

• Azure Key Vault는 암호화 키, 비밀 값, 인증서 등을 안전하게 저장하고 관리할 수 있는 서비스입니다. 이를 통해 서버 배포 시 관리자 자격 증명을 안전하게 저장하고 암호화할 수 있습니다.
• 배포 프로세스에서 Azure Key Vault를 사용하여 관리자 자격 증명을 암호화된 형태로 저장하고 필요할 때만 안전하게 이를 참조할 수 있도록 구성할 수 있습니다.

---

정답: 아니오

Azure Information Protection (AIP)는 주로 민감한 데이터의 분류, 암호화, 보호 및 추적을 위한 솔루션입니다. 이를 통해 기업은 문서나 이메일을 안전하게 관리하고 보호할 수 있으며 데이터 유출을 방지할 수 있습니다. 하지만 서버 배포 시 자격 증명 보호와 같은 시나리오에는 Azure Key Vault와 같은 서비스가 더 적합합니다.

 

 

---

 

 

질문 #27

상사로부터 Azure에 대한 서버 배포를 자동화하려는 회사의 의도에 대해 통보를 받았습니다. 그러나 이 프로세스 중에 관리 자격 증명이 노출될 수 있다는 우려가 있습니다.

배포 중에 관리 자격 증명이 적합한 Azure 솔루션을 사용하여 암호화되었는지 확인해야 합니다.

솔루션: Azure Multi-Factor Authentication(MFA)을 사용하는 것이 좋습니다.

솔루션이 목표를 충족합니까?

• A. 네
• B. 아니오

---

Azure Multi-Factor Authentication (MFA)는 Microsoft Azure에서 제공하는 다중 인증 서비스로, 사용자들이 애플리케이션이나 서비스에 로그인할 때 두 가지 이상의 인증 요소를 요구하여 보안을 강화하는 기능입니다. 일반적으로 사용자 이름과 비밀번호만으로 인증을 진행하지만, Azure MFA는 추가 인증 단계로 사용자 계정을 보호하여 비밀번호만으로 발생할 수 있는 보안 취약성을 줄여 줍니다.

 

주요 특징:

1. 두 가지 이상의 인증 요소 요구: Azure MFA는 두 가지 이상의 서로 다른 인증 방법을 결합하여 보안을 강화하고, 기본적으로 비밀번호 외에 추가적인 인증 수단을 요구함으로써 비밀번호가 유출되더라도 계정의 보안을 유지할 수 있도록 합니다. 이 두 가지 요소는 보통 다음의 카테고리 중 하나로 구분됩니다:
   • 소유한 것: 사용자가 가지고 있는 디바이스 (예: 휴대폰 또는 보안 토큰)
   • 알고 있는 것: 사용자가 알고 있는 정보 (예: 비밀번호)
   • 자신의 것: 사용자의 생체 정보 (예: 지문, 얼굴 인식)
2. 다양한 인증 방법 지원:
   • Microsoft Authenticator 앱: 휴대폰에 설치된 앱을 사용하여 푸시 알림을 승인하거나 일회용 비밀번호(OTP)를 생성하여 로그인할 수 있습니다.
   • 전화 인증: Azure MFA는 사용자의 전화로 직접 전화를 걸어 음성 인증을 요청할 수 있습니다.
   • SMS 인증: Azure MFA는 사용자에게 SMS로 일회용 인증 코드를 전송하여 사용자가 이를 입력하도록 요구할 수 있습니다.
   • 하드웨어 토큰: 인증이 필요할 때 하드웨어 기반의 인증 장치를 사용할 수도 있습니다.
3. 사용자 및 관리자 경험:
   • 사용자 편의성: 사용자는 간편하게 다양한 인증 방법 중 하나를 선택할 수 있으며, 다중 인증 과정이 사용자 친화적으로 설계되어 있어 빠르고 안전한 인증이 가능합니다.
   • 관리자 제어: 관리자는 MFA 정책을 설정하고 특정 애플리케이션이나 그룹에 대해 MFA를 필수로 적용할 수 있습니다. 예를 들어 특정 조건에서만 MFA가 활성화되도록 설정할 수도 있습니다(예: 신뢰할 수 없는 네트워크에서 접속 시).
4. 조건부 액세스와 통합:
   • Azure MFA는 Azure Active Directory(Azure AD)의 조건부 액세스와 통합됩니다. 조건부 액세스를 사용하면, 특정 조건(예: 위치, 장치 상태, 사용자 역할 등)에 따라 MFA 요구를 설정할 수 있습니다. 예를 들어 사용자가 회사 네트워크 외부에서 로그인하려고 할 때만 MFA를 요구할 수 있습니다.
5. 보안 강화:
   • Azure MFA는 비밀번호 기반 공격(예: 피싱, 크리덴셜 스터핑, 비밀번호 재사용 공격)으로부터 사용자 계정을 보호하는 강력한 보안 수단입니다. 비밀번호 유출 시에도 추가 인증 수단이 필요하므로, 단순 비밀번호만으로는 로그인할 수 없습니다.
6. 클라우드 및 온프레미스 환경에서 사용 가능:
   • Azure MFA는 Azure AD와 통합되어 클라우드 기반 애플리케이션에서 사용할 수 있으며 필요에 따라 온프레미스 애플리케이션에도 적용할 수 있습니다. 이를 통해 사용자는 클라우드 및 온프레미스 환경에서 동일한 수준의 보안을 유지할 수 있습니다.

Azure MFA의 인증 흐름:

1. 1차 인증 (비밀번호): 사용자는 일반적으로 사용자 이름과 비밀번호를 입력하여 1차 인증을 진행합니다.
2. 2차 인증 (추가 인증 방법): 1차 인증이 완료된 후, 사용자는 두 번째 인증 방법을 선택해야 합니다. 이는 SMS, 전화, 인증 앱 등을 통해 이루어지며, 사용자는 이를 통해 본인이 실제 사용자임을 증명합니다.
3. 성공적인 인증: 두 번째 인증 단계가 성공적으로 완료되면 사용자는 해당 리소스나 애플리케이션에 접근할 수 있습니다.

사용 사례:

1. 원격 근무자 보안 강화:
   • 원격 근무자들이 외부 네트워크에서 회사의 리소스에 접근할 때 MFA를 요구함으로써, 계정 도난 위험을 줄일 수 있습니다.
2. 중요 데이터 접근 보호:
   • 재무 데이터, 고객 정보 등 민감한 데이터에 접근할 때 MFA를 적용하여 보안을 강화할 수 있습니다.
3. 조건부 액세스 정책 적용:
   • 예를 들어, 사용자가 신뢰할 수 없는 네트워크에서 접속하려 할 때만 MFA를 요구하는 조건부 액세스 정책을 통해 사용자 경험을 최적화하면서 보안을 유지할 수 있습니다.

Azure MFA의 장점:

1. 강력한 보안:
   • 두 단계 이상의 인증을 요구함으로써, 비밀번호만으로는 보호할 수 없는 상황에서도 높은 보안을 제공합니다. 비밀번호 유출이나 해킹으로부터 계정을 보호할 수 있습니다.
2. 사용자 친화적:
   • 여러 가지 인증 옵션을 제공하여 사용자들이 자신의 편의에 맞는 인증 방법을 선택할 수 있습니다. Microsoft Authenticator 앱과 같은 인증 방법은 간편하면서도 강력한 보안을 제공합니다.
3. 확장 가능성:
   • Azure MFA는 클라우드 애플리케이션뿐만 아니라 온프레미스 환경에서도 적용 가능하며, 다양한 규모의 조직에서 사용할 수 있습니다.
4. 조건부 액세스와 통합 가능:
   • MFA는 Azure AD의 조건부 액세스와 통합되어 상황에 맞게 사용자에게 적절한 수준의 인증을 요구할 수 있습니다. 이를 통해 사용자의 로그인 경험을 방해하지 않으면서 보안을 강화할 수 있습니다.

Azure Multi-Factor Authentication (MFA)는 사용자 계정 보안을 강화하는 매우 중요한 서비스로, 특히 비밀번호 기반 공격에 대한 방어를 크게 강화합니다. 여러 인증 방법을 제공하여 편리하면서도 강력한 보안을 유지하며, 클라우드 및 온프레미스 환경에서 모두 적용할 수 있어 다양한 조직과 사용 사례에 적합한 솔루션입니다.

---

정답: 아니오

 

 

---

 

 

질문 #28

드래그 드롭 -

이 회사는 Azure Government를 활용하여 클라우드 솔루션을 개발하고자 합니다. Azure Government는 특정 유형의 클라이언트만 클라우드 솔루션을 개발하는 데 사용할 수 있습니다.

이 상황에서 Azure Government를 활용할 수 있는 고객 유형은 다음 중 어느 것입니까? 목록에서 정답 영역으로 올바른 옵션을 드래그하여 답하십시오.

선택 및 배치:

---

Azure Government는 Microsoft가 제공하는 미국 정부 전용 클라우드 플랫폼으로, 미국 정부 기관과 그 계약자들을 위해 설계되었습니다. 이 플랫폼은 높은 보안성, 규제 준수, 데이터 주권 요구사항을 충족하며, 미국 연방, 주, 지역 및 부족 정부의 IT 워크로드를 지원하는 데 중점을 둡니다.

 

주요 특징:

1. 높은 보안 표준:
   • Azure Government는 FedRAMP High, DoD(미국 국방부) 규정 등 여러 엄격한 보안 및 컴플라이언스 표준을 충족합니다.
   • 물리적 데이터 센터는 미국 내에 위치하며, 데이터는 미국 내에서만 저장, 처리됩니다.
   • FIPS 140-2 인증 암호화와 같은 강력한 보안 기능을 통해 데이터를 보호합니다.
2. 미국 정부 전용 데이터 센터:
   • Azure Government는 미국 정부 기관과 계약자를 위해 미국 내 전용 데이터 센터를 운영합니다. 이 데이터 센터들은 상업적 Azure 데이터 센터와 분리되어 있으며 미국 시민만이 물리적 및 논리적 접근 권한을 가집니다.
3. 데이터 주권:
   • 모든 데이터는 미국 내에만 저장되며 정부 규정에 따라 데이터 주권이 엄격하게 관리됩니다. 이는 미국 내에서만 데이터를 보관하고 처리해야 하는 정부 기관들의 요구사항을 충족합니다.
4. 다양한 규제 준수:
   • Azure Government는 미국 정부와 관련된 다양한 규제 요건을 준수합니다. 여기에는 다음과 같은 규정이 포함됩니다:
     • FedRAMP High: 미국 연방 기관이 클라우드 서비스를 사용할 때 필요한 보안 표준
     • DoD(미국 국방부) Impact Level 5: 미국 국방부에서 요구하는 보안 수준
     • ITAR(International Traffic in Arms Regulations): 무기 및 방산 관련 기술 데이터의 수출 통제 규정
     • CJIS(법 집행기관 정보 시스템 규정): 법 집행 기관이 사용하는 시스템과 관련된 보안 요구사항
5. 정부 계약자를 위한 지원:
   • Azure Government는 정부 계약자도 사용할 수 있도록 지원합니다. 미국 정부와 계약을 체결한 민간 기업들은 Azure Government를 사용하여 정부 관련 프로젝트를 운영할 수 있습니다.
6. 온프레미스 통합:
   • Azure Government는 기존의 온프레미스 시스템과 통합되어 하이브리드 클라우드 솔루션을 구축할 수 있습니다. 이를 통해 정부 기관들은 기존 인프라를 유지하면서 클라우드로 확장할 수 있습니다.
7. 민감한 데이터 처리:
   • Azure Government는 국방, 법 집행, 공공 안전, 교통, 금융, 의료와 같은 중요한 부문에서 민감한 데이터를 처리하는 데 최적화되어 있습니다.

Azure Government의 사용 대상:

• 미국 연방 정부 기관: 국방부, NASA, 국세청(IRS) 등 다양한 연방 기관이 Azure Government를 사용할 수 있습니다.
• 미국 주 및 지역 정부 기관: 각 주정부, 카운티, 시 등의 정부 기관도 Azure Government를 활용할 수 있습니다.
• 미국 정부 계약자: 정부와 계약을 체결하고 있는 미국 기업도 Azure Government를 사용하여 정부 관련 서비스를 제공할 수 있습니다.

---

정답: A United States government contractor, A United States government entity

Azure Government는 미국 정부 기관과 그 계약자만을 대상으로 하므로, 미국 외의 정부나 정부 계약자는 이 서비스를 이용할 수 없습니다.

 

 

---

 

 

질문 #29

귀사는 Azure Active Directory(Azure AD) 환경을 보유하고 있습니다. 사용자는 가끔 인터넷을 통해 Azure AD에 연결합니다.

귀하는 식별되지 않은 IP 주소에서 인터넷을 통해 Azure AD에 연결하는 사용자에게 자동으로 암호를 변경하도록 권장하는 작업을 맡았습니다.

솔루션: Azure AD Identity Protection 사용을 구성합니다.

솔루션이 목표를 충족합니까?

• A. 네
• B. 아니오

---

Azure AD Identity Protection

조직 내 사용자의 보안 위협을 탐지하고 이에 대응하기 위한 자동화된 보안 정책을 제공하는 위험 기반 보안 솔루션입니다. 이 서비스를 통해 사용자 계정의 보안 상태를 평가하고, 의심스러운 활동이나 보안 위협이 감지될 때 자동으로 보안 조치를 적용할 수 있습니다.

 

주요 기능:

1. 위험 평가 및 탐지: 사용자 및 로그인 위험을 실시간으로 분석합니다. 이를 통해 다음과 같은 위험 이벤트를 탐지할 수 있습니다:
   • 이상한 로그인 시도: 사용자가 평소 사용하지 않는 기기나 지역에서 로그인할 때 발생하는 비정상적인 로그인 시도를 탐지합니다.
   • 이상한 위치에서의 로그인: 사용자가 익숙하지 않은 국가나 지역에서 로그인을 시도할 때, 위치 기반으로 위험을 평가합니다.
   • 비정상적인 동작: 사용자의 로그인 패턴에서 비정상적인 동작(예: 갑작스러운 다수의 로그인 실패 등)을 발견하면 위험을 감지합니다.
   • 침해된 계정 사용: 사용자 계정 정보가 외부에서 유출된 경우, 이를 탐지하여 보안 경고를 생성합니다.
2. 위험 기반 조건부 액세스: 위험 수준에 따라 자동으로 조건부 액세스 정책을 적용할 수 있습니다. 예를 들어 사용자가 높은 위험 상태로 로그인하려 할 경우 다음과 같은 조치를 취할 수 있습니다:
   • 비밀번호 변경 요청: 로그인 위험이 높다고 판단되면 사용자가 즉시 비밀번호를 변경하도록 유도할 수 있습니다.
   • 다중 인증(MFA) 요구: 의심스러운 로그인 시도에 대해 추가적인 다중 인증(MFA)을 요구하여 계정 보안을 강화할 수 있습니다.
   • 접속 차단: 매우 높은 위험이 감지되면 자동으로 로그인 시도를 차단하여 계정을 보호할 수 있습니다.
3. 위험 보고서 및 분석: 다양한 위험 보고서를 제공합니다. 관리자는 이 보고서를 통해 다음과 같은 정보를 확인할 수 있습니다:
   • 사용자 위험 보고서: 특정 사용자의 계정이 위험에 노출된 경우 해당 위험을 분석하고 관련된 로그인을 추적할 수 있습니다.
   • 로그인 위험 보고서: 로그인 시 발생한 위험 이벤트(예: 의심스러운 위치, IP 주소)를 분석하고 어떤 로그인 시도가 위험했는지를 파악할 수 있습니다.
   • 보안 상태 분석: 전체 조직의 보안 상태를 한눈에 파악할 수 있는 대시보드를 제공하며, 이를 통해 보안 문제를 신속하게 해결할 수 있습니다.
4. 자동화된 보안 정책: 보안 정책을 자동으로 적용할 수 있도록 설정할 수 있습니다. 예를 들어 위험이 높은 사용자가 로그인할 때 자동으로 MFA를 요구하거나 비밀번호를 변경하도록 하는 등 조직의 보안 요구에 맞춘 자동화를 지원합니다.
5. 통합 관리: Azure Active Directory와 완전히 통합되어 있어 다른 Azure 보안 서비스 및 조건부 액세스 정책과 함께 사용할 수 있습니다. 이를 통해 전반적인 보안 관리를 일관되게 적용할 수 있습니다.
6. 사용자 및 로그인 위험: Azure AD Identity Protection에서는 사용자 계정과 로그인 활동에 대해 위험 수준을 부여합니다. 예를 들어 로그인 위험은 저위험, 중간 위험, 고위험 등으로 나뉘며, 이에 따라 조직에서 취할 수 있는 대응 조치를 설정할 수 있습니다.

사용 사례:

1. 비정상 로그인 탐지 및 대응: 사용자가 갑작스럽게 해외에서 로그인을 시도하거나 익숙하지 않은 기기에서 로그인을 시도하는 경우, Azure AD Identity Protection이 이를 탐지하여 자동으로 추가 인증을 요구하거나 로그인 시도를 차단할 수 있습니다.
2. 계정 탈취 방지: 사용자 계정이 외부에서 유출된 경우, 이 서비스를 통해 침해된 계정 사용 시도를 탐지하고 자동으로 비밀번호 변경을 유도하거나 추가적인 보안 인증을 요구할 수 있습니다.
3. 위험 사용자의 신속한 대응: 관리자는 위험 사용자가 발생할 경우 즉시 해당 사용자에게 보안 조치를 적용할 수 있습니다. 예를 들어 위험도가 높은 사용자가 있다면 자동으로 비밀번호를 재설정하도록 하거나 접근을 일시적으로 차단할 수 있습니다.
4. 조건부 액세스와 결합된 보안 강화: Azure AD의 조건부 액세스 정책과 결합하여 특정 위험 수준의 로그인 시도가 발생했을 때 MFA를 요구하거나 로그인 차단 등의 조치를 설정할 수 있습니다.

장점:

• 실시간 위험 감지: 실시간으로 사용자의 로그인 활동을 모니터링하고 잠재적인 보안 위협을 신속하게 탐지합니다.
• 자동화된 보안 대응: 위험을 자동으로 평가하고, 위험 수준에 따라 적절한 대응 조치를 자동으로 취할 수 있어 관리 부담을 줄여 줍니다.
• 광범위한 보고 기능: 관리자는 상세한 보고서를 통해 보안 상태를 실시간으로 분석할 수 있으며, 이를 통해 잠재적인 위협을 조기에 발견하고 대응할 수 있습니다.

Azure AD Identity Protection은 조직 내 사용자의 계정을 보호하고, 로그인 중 발생할 수 있는 다양한 보안 위협을 실시간으로 감지하여 대응할 수 있는 강력한 보안 솔루션입니다. 이를 통해 비정상적인 로그인 시도, 계정 탈취 시도 등을 신속하게 탐지하고, 위험 수준에 따라 자동화된 보안 정책을 적용하여 사용자 계정을 안전하게 보호할 수 있습니다.

---

정답: 네

Azure AD Identity Protection의 주요 기능 중 하나는 위험 기반 조건부 액세스 정책을 설정할 수 있다는 것입니다. 이 정책을 통해 특정 조건(예: 미확인 IP에서의 로그인, 위험한 로그인 시도)이 감지될 때 사용자에게 비밀번호 변경을 요구할 수 있습니다.

 

 

---

 

 

 

질문 #30

귀사는 Azure Active Directory(Azure AD) 환경을 보유하고 있습니다. 사용자는 가끔 인터넷을 통해 Azure AD에 연결합니다.
신원이 확인되지 않은 IP 주소에서 인터넷을 통해 Azure AD에 연결하는 사용자에게 자동으로 암호를 변경하도록 권장하는 작업을 맡았습니다.
솔루션: Azure AD 권한 있는 ID 관리 사용을 구성합니다.
솔루션이 목표를 충족합니까?

• A. 네
• B. 아니오

---

Azure AD Privileged Identity Management (PIM)

특권 사용자 계정과 관리자 역할을 동적으로 관리하는 Azure 서비스입니다. 조직 내에서 관리자 권한의 남용을 방지하고, 필요한 순간에만 관리자 권한을 부여하여 보안을 강화하는 것이 주요 목적입니다.

 

주요 기능:

1. 특권 계정의 역할 할당 관리:
   • 사용자는 특정 관리자 역할을 영구적으로 부여받지 않고 필요할 때만 임시로 해당 권한을 활성화할 수 있습니다.
2. 사용자 역할 활성화:
   • 사용자가 관리자 권한이 필요할 때 PIM을 통해 해당 권한을 요청하고, 일정 시간 동안만 활성화할 수 있습니다.
3. 자동 알림 및 감사 로그:
   • 특권 역할이 활성화되거나 요청될 때 자동으로 관리자가 알림을 받으며 모든 활동이 감사 로그에 기록되어 보안 사고를 방지합니다.
4. 조건부 액세스와 통합:
   • PIM은 조건부 액세스와 결합하여 특권 역할을 활성화할 때 다중 인증(MFA)을 요구하거나 특정 조건을 충족하도록 설정할 수 있습니다.

사용 사례:

• 특권 계정의 오남용 방지: 관리자 권한이 필요한 사용자가 필요한 시점에만 해당 권한을 활성화하도록 하여 보안을 강화합니다.
• 중요한 작업에 대한 승인 절차: 특권 역할을 요청할 때 관리자의 승인을 필요로 하여, 무분별한 관리 작업을 방지할 수 있습니다.

---

정답: 아니오

Azure AD Privileged Identity Management (PIM)은 특권 관리와 관련된 도구로, 주로 관리자 역할이나 특권 계정에 대한 접근 권한을 관리하는 데 사용됩니다. PIM은 사용자에게 특권 계정을 부여하거나 제한된 시간 동안 관리자 역할을 활성화하는 기능을 제공하며, 중요한 작업에 대한 접근을 관리하는 데 초점을 둡니다.

따라서 인터넷(미확인된 IP 주소)을 통해 Azure AD에 접속하는 일반 사용자들의 비밀번호 변경을 유도하는 문제에는 적합하지 않습니다.