CloudPass LogoCloud Pass
AWSGoogle CloudMicrosoftCiscoCompTIADatabricks
Certifications
AWSGoogle CloudMicrosoftCiscoCompTIADatabricks
  1. Cloud Pass
  2. Microsoft
  3. Microsoft AZ-500
Microsoft AZ-500

Microsoft

Microsoft AZ-500

442+ 기출 문제 (AI 검증 답안 포함)

Microsoft Azure Security Engineer Associate

Free questions & answers실제 시험 기출 문제
AI-powered explanations상세 해설
Real exam-style questions실제 시험과 가장 유사
442+ 문제 보기

AI 기반

3중 AI 검증 답안 및 해설

모든 Microsoft AZ-500 답안은 3개의 최고 AI 모델로 교차 검증하여 최고의 정확도를 보장합니다. 선택지별 상세 해설과 심층 문제 분석을 제공합니다.

GPT Pro
Claude Opus
Gemini Pro
선택지별 상세 해설
심층 문제 분석
3개 모델 합의 정확도

시험 도메인

Secure Identity and Access출제율 18%
Secure Networking출제율 24%
Secure Compute, Storage, and Databases출제율 24%
Secure Azure using Microsoft Defender for Cloud and Microsoft Sentinel출제율 34%

실전 문제

1
문제 1

HOTSPOT - Azure subnet에 바인딩된 network security group (NSG)이 있습니다. Get-AzNetworkSecurityRuleConfig를 실행하면 다음 예시에 표시된 출력을 받습니다. Name : DenyStorageAccess Description : Protocol : * SourcePortRange : {} DestinationPortRange : {} SourceAddressPrefix : {*} DestinationAddressPrefix : {Storage} SourceApplicationSecurityGroups: [] DestinationApplicationSecurityGroups: [] Access : Deny Priority : 105 Direction : Outbound

Name : StorageE2A2Allow ProvisioningState : Succeeded Description : Protocol : * SourcePortRange : {} DestinationPortRange : {443} SourceAddressPrefix : {} DestinationAddressPrefix : {Storage.EastUS2} SourceApplicationSecurityGroups: [] DestinationApplicationSecurityGroups: [] Access : Allow Priority : 104 Direction : Outbound

Name : Contoso_FTP Description : Protocol : TCP SourcePortRange : {*} DestinationPortRange : {21} SourceAddressPrefix : {1.2.3.4/32} DestinationAddressPrefix : {10.0.0.5/32} SourceApplicationSecurityGroups: [] DestinationApplicationSecurityGroups: [] Access : Allow Priority : 504 Direction : Inbound

그래픽에 제시된 정보를 기반으로 각 문장을 완성하는 정답을 선택하려면 드롭다운 메뉴를 사용하세요. 참고: 각 정답 선택에는 1점이 부여됩니다. Hot Area:

파트 1:

Azure Storage account로 향하는 트래픽은 ______.

Azure Storage로의 아웃바운드 트래픽은 우선순위에 따라 아웃바운드 규칙에 대해 평가됩니다. 규칙 "StorageE2A2Allow" (Priority 104)는 대상 포트 443의 대상 service tag "Storage.EastUS2"로 향하는 아웃바운드 트래픽을 허용합니다. 다음 규칙 "DenyStorageAccess" (Priority 105)는 모든 포트에서 대상 service tag "Storage"(모든 Storage 리전)로 향하는 아웃바운드 트래픽을 거부합니다. NSG 평가는 첫 번째 일치 항목에서 중지되므로, 443의 East US 2 Storage endpoint로 향하는 트래픽은 104의 허용 규칙과 일치하여 허용됩니다. 다른 리전(예: East US 또는 West Europe)의 Storage로 향하는 트래픽은 "Storage.EastUS2"와 일치하지 않으며, 이후 더 광범위한 "Storage" 거부 규칙인 105와 일치하므로 차단됩니다. 따라서 Storage 연결은 East US 2로만(443에서) 허용됩니다.

파트 2:

1.2.3.4에서 10.0.0.10/32로의 FTP 연결은 ______입니다.

NSG inbound rules는 5-tuple (protocol, source IP/port, destination IP/port) 및 direction과 일치해야 합니다. 규칙 "Contoso_FTP"는 source 1.2.3.4/32에서 destination 10.0.0.5/32로의 destination port 21에 대한 inbound TCP 트래픽을 허용합니다. 문제는 1.2.3.4에서 10.0.0.10/32로의 FTP 연결에 대해 묻고 있습니다. source IP와 destination port(21)는 규칙의 의도와 일치하지만, destination IP는 그렇지 않습니다. 10.0.0.10은 destination prefix 10.0.0.5/32에 포함되지 않습니다. 10.0.0.10/32와 일치하는 다른 inbound allow rule이 제시되지 않았으므로, 이 트래픽은 기본 inbound 동작(DenyAllInBound)으로 넘어가 드롭됩니다. NSG는 트래픽을 "forward"하지 않으며, 허용하거나 거부합니다.

2
문제 2
(2개 선택)

새 Azure subscription을 만듭니다. Azure Security Center에서 custom alert rule을 만들 수 있도록 해야 합니다. 어떤 두 가지 작업을 수행해야 합니까? 각 정답은 솔루션의 일부를 나타냅니다. 참고: 각 정답 선택은 1점의 가치가 있습니다.

Azure AD Identity Protection은 Microsoft Entra ID에서 위험한 sign-in과 위험한 사용자를 탐지하는 identity 중심 서비스입니다. 이는 Azure Security Center에서 custom alert rule을 구성하기 위한 필수 조건이 아닙니다. identity 신호가 더 넓은 보안 전략을 보완할 수는 있지만, Identity Protection을 온보딩한다고 해서 Security Center custom alert가 활성화되지는 않습니다. 따라서 이 문제에서 요구하는 설정과는 관련이 없습니다.

Azure Storage account는 classic Azure Security Center custom alert 워크플로에서 분석에 사용되는 수집된 보안 데이터를 보관하는 데 필요합니다. Security Center는 alert 생성을 위한 탐지 파이프라인의 일부로 이 저장된 telemetry를 사용할 수 있습니다. storage account가 없으면 이 시험 시나리오에서 언급하는 데 필요한 백엔드 저장소가 서비스에 없습니다. 따라서 이전 Security Center 모델에서 custom alert rule을 만들기 위한 필수 조건이 됩니다.

Azure Advisor는 비용, 안정성, 성능, 운영 우수성 및 보안에 대한 모범 사례 권장 사항을 제공합니다. 이러한 권장 사항을 구현하면 환경을 개선할 수 있지만, Azure Security Center에서 custom alert rule 기능을 활성화하거나 구성하지는 않습니다. Advisor는 권장 사항 엔진이지, Security Center custom alert를 정의하는 플랫폼이 아닙니다. 따라서 필요한 솔루션의 일부가 아닙니다.

Log Analytics workspace는 일반적으로 Azure Monitor, Microsoft Sentinel 및 많은 Defender for Cloud 데이터 수집 시나리오와 관련이 있습니다. 그러나 이 문제에서 평가하는 classic Azure Security Center custom alert rule 맥락에서는, 이것이 묻고 있는 구체적인 필수 조건이 아닙니다. 시험은 대신 Standard tier 활성화와 storage account의 조합을 기대합니다. 따라서 여기서 Log Analytics workspace를 선택하는 것은 문제의 대상 아키텍처와 다른 모니터링 아키텍처를 반영합니다.

Azure Security Center의 Standard pricing tier는 위협 탐지 및 custom alerting 기능을 포함한 고급 보안 기능을 제공합니다. Free tier는 주로 보안 상태 평가 및 권장 사항으로 제한되며, 고급 구성 가능한 탐지는 제공하지 않습니다. 문제에서 custom alert rule을 구체적으로 묻고 있으므로 Standard를 활성화해야 합니다. 이는 고급 Security Center 기능이 필요할 때 자주 나오는 AZ-500 패턴입니다.

문제 분석

핵심 개념: 이 문제는 classic AZ-500 맥락에서 Azure Security Center(현재 Microsoft Defender for Cloud)에서 custom alert rule을 만들기 위한 필수 조건에 관한 것입니다. Security Center의 custom alert는 수집된 보안 데이터와 Standard tier에서만 제공되는 고급 기능에 의존했습니다. 탐지에 사용되는 보안 이벤트 데이터를 저장하려면 storage account가 필요하며, custom alert 기능을 사용하려면 subscription을 Standard로 업그레이드해야 합니다. 정답인 이유: storage account를 만들면 Security Center가 custom alert 시나리오를 위해 분석할 수 있는 수집된 보안 이벤트 및 telemetry를 저장할 위치가 제공됩니다. Security Center를 Standard tier로 업그레이드하면 Free tier에서는 사용할 수 없는 고급 위협 탐지 및 custom alert rule 기능이 활성화됩니다. 주요 기능: Security Center Standard는 고급 위협 방어, 더 풍부한 탐지, 구성 가능한 alerting을 추가합니다. Storage account는 이전 Security Center 워크플로에서 보안 이벤트에 대한 데이터 수집 파이프라인의 일부로 사용될 수 있습니다. Free tier는 주로 고급 alert 사용자 지정이 아니라 보안 상태 및 권장 사항에 중점을 둡니다. 일반적인 오해: Log Analytics workspace는 많은 Azure Monitor 및 Sentinel 시나리오에서 중요하지만, 일반적으로 출제되는 이 특정 Security Center custom alert rule 문제에서 요구되는 필수 조건은 아닙니다. Azure AD Identity Protection과 Azure Advisor는 별도의 서비스이며 Security Center custom alert 생성을 활성화하지 않습니다. 시험 팁: 이전 Azure Security Center 시험 문제에서는 Azure Monitor/Sentinel analytics rule과 Security Center custom alert를 구분하십시오. 문제가 Security Center custom alert rule을 구체적으로 묻는다면, Log Analytics가 항상 필수라고 가정하기보다 Standard tier 활성화와 이를 지원하는 데이터 저장소 요구 사항을 찾으십시오.

3
문제 3

참고: 이 문제는 동일한 시나리오를 제시하는 일련의 문제 중 일부입니다. 시리즈의 각 문제에는 제시된 목표를 충족할 수 있는 고유한 솔루션이 포함되어 있습니다. 일부 문제 세트에는 둘 이상의 올바른 솔루션이 있을 수 있지만, 다른 문제 세트에는 올바른 솔루션이 없을 수도 있습니다. 이 섹션의 문제에 답한 후에는 해당 문제로 돌아갈 수 없습니다. 따라서 이러한 문제는 검토 화면에 표시되지 않습니다. Sub1이라는 Azure subscription이 있습니다. RG1이라는 resource group에 sa1이라는 Azure Storage account가 있습니다. 사용자와 애플리케이션은 여러 shared access signature(SAS) 및 stored access policy를 사용하여 sa1의 blob service와 file service에 액세스합니다. 권한이 없는 사용자가 file service와 blob service 모두에 액세스한 것을 발견했습니다. sa1에 대한 모든 액세스를 취소해야 합니다. 해결 방법: 새 stored access policy를 만듭니다. 이 방법이 목표를 충족합니까?

예는 오답입니다. 새로 만든 stored access policy는 향후 SAS 생성을 위한 또 다른 선택적 policy를 만들 뿐이며, 이미 존재하는 SAS token에는 영향을 주지 않습니다. blob service와 file service의 SAS token은 직접 발급되었거나 다른 stored access policy에 연결된 경우 계속 유효합니다. 모든 액세스를 취소하려면 사용된 기존 policy를 대상으로 해야 하거나, 해당 키로 서명된 SAS를 무효화하기 위해 storage account key를 다시 생성해야 합니다. 따라서 제안된 작업은 sa1에 대한 모든 액세스를 취소한다는 목표를 충족하지 않습니다.

아니요가 정답입니다. Azure Resource Graph는 resource query service이지, policy 패키징/배포 메커니즘이 아니기 때문입니다. 여러 policy definition을 함께 배포하려면 initiative(policy set definition)를 만들고, 세 개의 subscription을 포함하는 management group에 할당해야 합니다. management group assignment 자체는 유효하지만, “resource graph” 부분 때문에 이 솔루션은 올바르지 않습니다.

문제 분석

핵심 개념: 이 문제는 대규모 Azure Policy 배포와 Microsoft Defender for Cloud가 중앙 집중식 거버넌스를 위해 Azure Policy를 어떻게 활용하는지를 테스트합니다. 핵심 기능은 여러 policy definition을 함께(initiative로) 배포하고 management group을 사용하여 여러 subscription에 걸쳐 할당하는 것입니다. 정답인 이유: 제안된 솔루션은 올바르지 않습니다. “resource graph를 생성하는 것”은 Azure Policy definition을 배포하거나 그룹화하는 메커니즘이 아니기 때문입니다. Azure Resource Graph는 subscription 전반의 resource를 인벤토리화하고 쿼리하는 데 사용되는 query service이며, policy definition을 패키징하거나 배포하지 않습니다. management group 범위에서 policy를 할당하는 것은 올바른 확장 접근 방식이지만, “resource graph” 부분은 그룹화 및 배포에 잘못된 도구를 나타냅니다. policy definition을 그룹으로 배포하려면 Azure Policy initiative(policy set definition)를 사용한 다음, 세 개의 subscription을 포함하는 management group 범위에 단일 assignment를 만들어야 합니다. 주요 기능 / 모범 사례: - 여러 subscription에 걸쳐 일관되게 거버넌스를 적용하려면 Management Groups를 사용합니다(scope inheritance). - 여러 policy definition을 하나의 단위로 묶어 할당하려면 Initiatives(Policy Set Definitions)를 사용합니다. - Defender for Cloud에서 규정 준수 및 보안 권장 사항은 종종 기본 제공 initiative를 통해 구현되며, 조직별 요구 사항에는 custom initiative를 사용할 수 있습니다. - Azure Well-Architected Framework(Security pillar)에 맞춰 보안 기준을 일관되게 적용하고, 구성 드리프트를 줄이며, 거버넌스를 중앙 집중화합니다. 일반적인 오해: - Azure Resource Graph를 거버넌스 배포와 혼동하는 것. Resource Graph는 쿼리/보고용이지, policy 패키징이나 assignment용이 아닙니다. - management group assignment라면 자동으로 그룹 배포를 의미한다고 생각하는 것. 그룹화에는 initiative가 필요하며, 그렇지 않으면 각 policy definition을 개별적으로 할당해야 합니다. 시험 팁: “policy definition을 그룹으로 배포”라는 표현이 나오면 “initiative/policy set definition”을 찾으세요. “여러 subscription에 적용”이라는 표현이 나오면 “management group scope”를 찾으세요. 선택지에 배포를 위해 Resource Graph가 언급되면 위험 신호로 보세요. 이는 subscription 간 쿼리 및 인벤토리용이지, 적용(enforcement)용이 아닙니다.

4
문제 4

HOTSPOT - 다음 표에 표시된 virtual machines를 포함하는 Azure subscription이 있습니다. Name Resource group Status VM1 RG1 Stopped (Deallocated) VM2 RG2 Stopped (Deallocated) 다음 표에 표시된 Azure policies를 만듭니다.

다음 표에 표시된 resource locks를 만듭니다.

다음 각 문장에 대해, 문장이 참이면 Yes를 선택합니다. 그렇지 않으면 No를 선택합니다. 참고: 각 정답 선택에는 1점이 부여됩니다. Hot Area:

파트 1:

허용되지 않는 resource types: Resource type: virtualMachines, Scope: RG1

예. Microsoft.Compute/virtualMachines(종종 “virtualMachines”로 표시됨)를 포함하는 허용되지 않는 resource types 목록을 지정하는 RG1 범위의 policy assignment는 RG1 내에서 해당 resource type에 대한 create 작업을 거부합니다. Deny effect가 있는 Azure Policy는 resource를 create 또는 update하려는 요청이 있을 때 Azure Resource Manager에 의해 평가됩니다. 범위가 RG1이므로 제한은 RG1의 resource에만 적용됩니다. 이것은 기존 VM을 소급하여 삭제하거나 비활성화하지는 않습니다. 대신 policy를 위반하는 향후 create/update 요청을 방지합니다. 또한 해당 작업이 ARM write로 구현되고 policy 조건에 의해 명시적으로 거부되지 않는 한 runtime 작업을 자동으로 차단하지도 않습니다(대부분의 “허용되지 않는 resource types” policy는 resource 생성에 중점을 둡니다). 따라서 virtualMachines가 RG1 범위에서 허용되지 않는다는 설명은 참입니다.

파트 2:

허용된 리소스 유형: 리소스 유형: virtualMachines, 범위: RG2

예. Microsoft.Compute/virtualMachines를 포함하는 Allowed resource types를 지정하는 RG2 범위의 policy assignment는 RG2에서 create/update 작업에 대해 나열된 유형만 허용함을 의미합니다. virtualMachines가 허용 목록에 있으면, 해당 policy에 의해 VM 생성이 허용됩니다(다른 policy assignments가 이를 deny하지 않는다고 가정). Azure Policy에서 “Allowed resource types”는 일반적으로 목록에 없는 모든 리소스 유형에 대해 Deny effect로 구현됩니다. 따라서 허용 목록에 virtualMachines가 포함되어 있으면 해당 범위에서 그 유형이 명시적으로 허용됩니다. 이는 resource group에 배포할 수 있는 항목을 제한하기 위한 일반적인 governance control입니다. 따라서 RG2 범위에서 virtualMachines가 허용된다는 설명은 참입니다.

파트 3:

Lock1은 Read-only이며 VM1에 생성되었습니다.

예. 이 문장은 lock 구성에 대한 것입니다: Lock1은 Read-only이며 VM1에 생성되었습니다. VM resource에 직접 적용된 Read-only lock은 ARM 작업을 통해 VM resource를 수정할 수 없음을 의미합니다. 여기에는 상태 또는 구성을 변경하는 작업(예: start/stop/restart, resizing, updating extensions)이 포함되며, 이러한 작업은 ARM을 통해 실행되고 write 작업으로 처리되기 때문입니다. 시험 문제에서 lock이 “on VM1”에 생성되었다고 설명되면, 이는 lock scope가 VM resource 자체임을 의미합니다(resource group에서 상속된 것이 아님). 그 scope는 RG-level lock보다 더 좁지만, 여전히 VM1에 대한 수정을 차단하기에는 충분합니다. 따라서 Lock1을 설명하는 이 문장은 참입니다.

파트 4:

Lock2는 Read-only이며 RG2에 생성되었습니다.

예. 이 문장은 lock 구성에 대한 것입니다: Lock2는 Read-only이며 RG2에 생성되었습니다. resource group 범위의 Read-only lock은 resource group과 그 안의 모든 resources에 적용됩니다(inheritance). 즉, RG2의 모든 resource는 ARM 관점에서 사실상 read-only가 됩니다. lock이 적용되어 있는 동안에는 해당 RG에서 resources를 생성, 삭제 또는 수정할 수 없습니다. 이것은 중요한 환경에 대한 우발적인 변경을 방지하기 위해 사용되는 강력한 보호 메커니즘입니다. 이 문제의 맥락에서는, Azure Policy가 RG2에서 VM type을 허용하더라도 Read-only lock이 생성 또는 수정 작업을 여전히 차단한다는 의미이기도 합니다. 따라서 Lock2가 Read-only이며 RG2에 생성되었다는 문장은 참입니다.

파트 5:

VM1을 시작할 수 있습니다.

아니요. VM1에 적용된 Lock1이 Read-only lock이므로 VM1을 시작할 수 없습니다. VM 시작은 ARM control-plane 작업(Microsoft.Compute/virtualMachines/start/action)이며, VM resource에 대한 write/modify 작업으로 처리됩니다. Read-only lock은 write 작업을 차단하므로 시작 요청은 Azure Resource Manager에 의해 거부됩니다. VM1이 현재 Stopped (Deallocated) 상태이더라도, deallocated 상태가 lock을 우회하게 하지는 않습니다. Lock은 management 작업 시점에 평가됩니다. 또한 RG1의 “not allowed resource types”에 대한 Azure Policy는 주로 새 resource 생성에 영향을 미치며, 시작 작업을 직접적으로 막는 것은 Read-only lock입니다. 따라서 “VM1을 시작할 수 있습니다”라는 문장은 거짓입니다.

파트 6:

VM2를 시작할 수 있습니다.

아니요. VM2를 시작할 수 없습니다. 왜냐하면 Lock2가 RG2 범위에 적용된 Read-only lock이기 때문입니다. Resource group lock은 VM2를 포함하여 해당 그룹의 모든 resource에 상속됩니다. VM1과 마찬가지로, VM을 시작하는 것은 ARM을 통해 실행되는 management operation이며 VM resource state의 수정으로 간주됩니다. Resource group 수준의 Read-only lock은 start/stop/restart 및 configuration 변경을 포함하여 해당 그룹의 resource에 대한 모든 write operation을 차단합니다. RG2의 Azure Policy가 virtualMachines를 허용하더라도 lock을 override하지는 않습니다. lock은 ARM에 의해 독립적으로 적용되며 여전히 해당 operation을 거부합니다. 따라서 “VM2를 시작할 수 있습니다”라는 문장은 거짓입니다.

파트 7:

RG2에서 virtual machine을 생성할 수 있습니다.

아니요. RG2의 Azure Policy가 virtualMachines resource type을 허용하더라도, RG2에 있는 Read-only lock(Lock2) 때문에 해당 resource group에서 새로운 리소스를 생성할 수 없습니다. VM 생성은 ARM create operation(쓰기)이며, resource group 범위의 Read-only lock에 의해 차단됩니다. 이것은 시험의 핵심 포인트입니다. Azure Policy는 요청이 규정을 준수하는지와 수락될 수 있는지를 결정하지만, 요청이 규정을 준수하더라도 lock이 작업을 차단할 수 있습니다. 즉, “policy에 의해 허용됨”이 Read-only lock이 존재할 때 “실행 가능함”을 의미하지는 않습니다. RG2에서 VM을 생성하려면 lock을 제거하거나 변경해야 합니다(예: Read-only를 제거하거나 다른 protection strategy를 사용). 따라서 “RG2에서 virtual machine을 생성할 수 있습니다”라는 문장은 거짓입니다.

5
문제 5

Azure Security Center에서 사용자 지정 alert rule을 만듭니다. alert가 트리거될 때 어떤 사용자가 이메일 메시지를 받을지 구성해야 합니다. 어떻게 해야 합니까?

오답입니다. Azure Monitor action group은 metric alert, log alert, activity log alert와 같은 Azure Monitor alert의 알림 대상을 정의하는 데 사용됩니다. 이 문제는 Azure Security Center 사용자 지정 alert 알림에 관한 것이며, 이는 Security Center 자체의 policy 기반 이메일 알림 설정을 통해 구성됩니다. action group을 선택하는 것은 Azure Monitor alerting과 Defender for Cloud alert 알림 구성을 혼동한 것입니다.

정답입니다. Azure Security Center에서 alert 이메일 알림의 수신자는 subscription의 Security policy 설정에서 구성합니다. 여기서 subscription owner에게 알릴지 여부를 정의하고 security alert 알림을 위한 추가 이메일 주소를 추가합니다. 문제는 Azure Security Center와 alert가 트리거될 때 누가 이메일을 받는지에 대해 구체적으로 묻고 있으므로, subscription의 Security policy 설정을 수정하는 것이 적절한 조치입니다.

오답입니다. Azure AD 또는 Azure RBAC의 Security Reader role은 alert 및 recommendation과 같은 security 관련 정보를 누가 볼 수 있는지 결정합니다. 이는 Security Center alert가 트리거될 때 누가 이메일 알림을 받는지를 제어하지 않습니다. 이메일 전달 설정은 Security Center policy 설정에서 별도로 구성됩니다.

오답입니다. alert rule을 수정하면 어떤 조건이 alert를 생성하는지와 같은 rule 정의 자체에 영향을 줍니다. 이는 Security Center alert에 대한 이메일 알림을 받을 사용자 목록을 결정하지 않습니다. 수신자 구성은 alert rule 내부에서 직접 처리되는 것이 아니라 subscription의 Security policy 알림 설정을 통해 처리됩니다.

문제 분석

핵심 개념: Azure Security Center(현재 Microsoft Defender for Cloud)에서 security alert에 대한 이메일 알림은 subscription의 Security policy 설정에서 구성합니다. 이러한 설정을 통해 security alert가 생성될 때 알림을 받을 사용자 또는 이메일 주소를 지정할 수 있습니다. 정답인 이유: Security Center alert에 대한 이메일 메시지를 누가 받을지 제어하려면 Azure subscription의 Security policy 아래에 있는 이메일 알림 구성을 수정해야 합니다. 이것이 Security Center가 alert 알림 수신자를 위해 사용하는 기본 메커니즘이며, Azure Monitor action group이 아닙니다. 주요 기능: - Security policy 설정에는 security alert에 대한 이메일 알림 옵션이 포함됩니다. - subscription owner에게 알릴 수 있고 추가 이메일 수신자를 지정할 수 있습니다. - 이러한 설정은 subscription 수준에서 적용되며 Defender for Cloud의 security 구성의 일부입니다. - RBAC role은 alert에 대한 액세스에 영향을 주지만 이메일 전달 구성에는 영향을 주지 않습니다. 일반적인 오해: - Azure Monitor action group은 Azure Monitor alert에 사용되지만, 이 문맥에서 Security Center alert 이메일 수신자는 Security policy 설정을 통해 구성됩니다. - alert rule을 편집해도 Security Center 이메일 알림의 수신자 목록은 정의되지 않습니다. - 사용자를 Security Reader에 할당하면 alert 및 recommendation에 대한 가시성만 부여되며 이메일 구독이 되지는 않습니다. 시험 팁: AZ-500에서 Azure Security Center/Defender for Cloud alert의 이메일 알림을 누가 받는지 묻는 문제를 보면 subscription 수준의 Security policy 이메일 알림 설정을 떠올리십시오. 문제가 Azure Monitor alert를 명시적으로 언급하지 않는 한 Azure Monitor action group은 Azure Monitor alerting 시나리오에 사용하십시오.

이동 중에도 모든 문제를 풀고 싶으신가요?

Cloud Pass를 다운로드하세요 — 모의고사, 학습 진도 추적 등을 제공합니다.

6
문제 6

HOTSPOT - 귀사의 회사는 Seattle과 New York에 두 개의 사무실이 있습니다. 각 사무실은 NAT device를 사용하여 Internet에 연결됩니다. 사무실은 다음 표에 표시된 IP addresses를 사용합니다. 위치 IP address space Public NAT segment Seattle 10.10.0.0/16 190.15.1.0/24 New York 172.16.0.0/16 194.25.2.0/24 회사는 contoso.com이라는 Azure Active Directory (Azure AD) tenant를 보유하고 있습니다. tenant에는 다음 표에 표시된 users가 포함되어 있습니다.

diagram

MFA service settings는 보기와 같이 구성되어 있습니다. (Exhibit 탭을 클릭하세요.) trusted ips (자세히 알아보기)

☑️ 내 intranet의 federated users 요청에 대해 multi-factor authentication 건너뛰기

다음 IP address subnets 범위의 요청에 대해 multi-factor authentication 건너뛰기

10.10.0.0/16 194.25.2.0/24

verification options (자세히 알아보기)

users가 사용할 수 있는 methods: ☑️ 전화로 통화 ☑️ 전화로 문자 메시지 ⬜ mobile app을 통한 알림 ⬜ mobile app 또는 hardware token의 verification code 다음 각 문장에 대해 문장이 참이면 Yes를 선택하세요. 그렇지 않으면 No를 선택하세요. 참고: 각 정답 선택에는 1점이 부여됩니다. Hot Area:

파트 1:

User1이 134.18.14.10의 IP address를 사용하는 device에서 Azure에 sign in하면, User1은 phone을 사용하여 인증되어야 합니다.

User1은 per-user MFA에 대해 Enabled 상태입니다. Enabled는 사용자가 MFA registration에 대해 활성화되었음을 의미하지만, Enforced 상태와 동일한 방식으로 sign-in에 대해 MFA가 아직 엄격하게 적용되지는 않음을 의미합니다. 134.18.14.10이 trusted IP range에 없고 phone 기반 method만 사용할 수 있더라도, 문장에서는 User1이 반드시 phone을 사용하여 인증되어야 한다고 말하고 있으며, 이는 Enabled 상태의 사용자에게는 보장되지 않습니다. 따라서 정답은 아니요입니다.

파트 2:

User2가 Seattle office의 디바이스에서 Azure에 sign in하는 경우, User2는 Microsoft Authenticator app을 사용하여 인증되어야 합니다.

User2는 per-user MFA에 대해 Enforced 상태이므로, trusted IP bypass가 적용되지 않는 한 sign-in 시 MFA가 필요합니다. sign-in은 Seattle office에서 이루어집니다. 그러나 Seattle 사용자는 public NAT segment 190.15.1.0/24를 통해 egress합니다. trusted IP 목록에는 10.10.0.0/16(Seattle internal space)이 포함되어 있지만 190.15.1.0/24는 포함되어 있지 않습니다. Azure AD는 수신한 public source IP를 평가하므로, Seattle에서의 sign-in은 trusted IP configuration과 일치하지 않으며 MFA는 여전히 필요합니다. 문장에서는 User2가 Microsoft Authenticator app을 사용해야 한다고 주장합니다. 이는 올바르지 않습니다. verification options에서 app 기반 방법이 허용되지 않기 때문입니다(“Notification through mobile app” 및 “Verification code from mobile app or hardware token”이 모두 선택 해제됨). phone call/SMS만 활성화된 상태에서는 User2에게 Authenticator app 사용을 요구할 수 없습니다. 따라서 이 문장은 거짓입니다.

파트 3:

User2가 New York office의 디바이스에서 Azure에 로그인하는 경우, User2는 phone을 사용하여 인증되어야 합니다.

User2는 Enforced이므로 일반적으로 MFA가 필요합니다. 하지만 로그인은 public NAT segment 194.25.2.0/24를 사용하는 New York office에서 이루어집니다. 이 정확한 public range는 trusted IPs 목록에 포함되어 있습니다. Azure AD는 source IP를 194.25.2.x로 인식하므로, 요청은 trusted IP range와 일치하며 해당 로그인에 대해 MFA는 건너뜁니다. MFA가 우회되므로, User2는 이 로그인에 대해 phone call 또는 SMS challenge(또는 어떤 MFA method도) 완료할 필요가 없습니다. 따라서 “User2는 phone을 사용하여 인증되어야 합니다”라는 진술은 이 시나리오에서 사실이 아닙니다. 172.16.0.0/16(New York internal space)의 존재는 Azure AD의 평가와 관련이 없다는 점에 유의하세요. 이는 Azure AD가 확인하는 public egress IP가 아니기 때문입니다.

7
문제 7

참고: 이 문제는 동일한 시나리오를 제시하는 일련의 문제 중 일부입니다. 시리즈의 각 문제에는 제시된 목표를 충족할 수 있는 고유한 솔루션이 포함되어 있습니다. 일부 문제 세트에는 정답이 둘 이상 있을 수 있고, 다른 문제 세트에는 정답이 없을 수도 있습니다. 이 섹션의 문제에 답한 후에는 해당 문제로 돌아갈 수 없습니다. 따라서 이러한 문제는 검토 화면에 표시되지 않습니다. 사용자는 Azure Active Directory (Azure AD)의 hybrid 구성을 가지고 있습니다. 사용자는 virtual network에 있는 Azure HDInsight cluster를 가지고 있습니다. 사용자는 on-premises Active Directory 자격 증명을 사용하여 사용자가 cluster에 인증할 수 있도록 허용할 계획입니다. 계획된 인증을 지원하도록 환경을 구성해야 합니다. 솔루션: Azure subscription에 Azure Active Directory Domain Services (Azure AD DS)를 배포합니다. 이것이 목표를 충족합니까?

예가 정답인 이유는 Azure AD DS가 Azure에서 LDAP 및 Kerberos를 지원하는 managed AD DS 호환 domain을 제공하며, 이는 HDInsight Enterprise Security Package (ESP) 인증에 일반적으로 필요하기 때문입니다. hybrid 설정에서는 on-premises AD에서 Azure AD로 동기화된 사용자가 Azure AD DS에 표시될 수 있으므로 기존 on-premises 자격 증명을 사용해 인증할 수 있습니다. Azure AD DS를 subscription에 배포하고 HDInsight cluster와 통합하면(domain join, DNS 구성) domain controller VM을 배포하고 관리하지 않고도 환경이 domain 기반 인증을 지원할 수 있습니다.

아니요는 오답입니다. 요구 사항은 on-premises Active Directory 자격 증명을 사용한 인증을 허용하는 것이며, 이는 Azure AD 전용 로그인이 아니라 domain 기반 인증 메커니즘(예: Kerberos/LDAP)을 의미합니다. Azure AD DS는 Azure에서 이러한 AD DS 프로토콜을 managed service로 제공하도록 특별히 설계되었으며 HDInsight ESP domain integration을 활성화하는 지원되는 접근 방식입니다. 대체 구현(예: Azure VM에 AD DS domain controller 배포)도 있을 수 있지만, 제안된 솔루션은 목표를 충족할 수 있으므로 아니요라고 답하는 것은 Azure AD DS가 요구 사항을 충족할 수 없다고 잘못 가정하는 것입니다.

문제 분석

핵심 개념: 이 문제는 hybrid identity 환경에서 virtual network에 배포된 Azure HDInsight cluster에 대해 domain 기반(on-premises AD) 인증을 활성화하는 방법을 테스트합니다. 정답인 이유: HDInsight는 cluster 인증/권한 부여가 domain(Kerberos/LDAP)과 통합되어 사용자가 domain 자격 증명을 사용해 로그인할 수 있는 Enterprise Security Package (ESP) 시나리오를 지원합니다. Azure Active Directory Domain Services (Azure AD DS)를 배포하면 기존 AD DS 프로토콜(LDAP/Kerberos/NTLM)과 호환되고 Azure VNet의 리소스가 조인할 수 있는 Azure의 managed domain이 제공됩니다. hybrid Azure AD 설정에서는 on-premises AD에서 Azure AD로 동기화된 사용자 identity를 Azure AD DS에서 사용할 수 있으므로, 해당 사용자는 기존 on-premises 자격 증명(동기화된 동일한 username/password)으로 HDInsight cluster에 인증할 수 있습니다. 따라서 Azure AD DS를 배포하는 것은 on-premises AD 자격 증명을 사용하여 HDInsight에 인증해야 한다는 요구 사항을 충족하는 유효한 방법입니다. 주요 기능 / 구성: - Azure AD DS는 LDAP, Kerberos, NTLM, Group Policy 및 domain join과 같은 managed domain services를 제공합니다. - Azure AD DS를 HDInsight cluster와 동일한(또는 peered) VNet에 배포하고 VNet DNS가 Azure AD DS domain controller IP를 가리키도록 구성합니다. - HDInsight Enterprise Security Package (ESP)를 사용하고 cluster를 Azure AD DS managed domain에 domain-join합니다. - 자격 증명이 일관되게 작동하도록 Azure AD Connect가 사용자(그리고 일반적으로 password hash sync)를 동기화하고 있는지 확인합니다. 일반적인 오해: - Azure AD(cloud identity)와 AD DS(domain services)를 혼동하는 것. Azure AD만으로는 많은 HDInsight ESP 통합에 필요한 Kerberos/LDAP domain join을 제공하지 않습니다. - Azure에서 전체 IaaS domain controller를 배포해야 한다고 가정하는 것; Azure AD DS는 managed service로서 domain 요구 사항을 충족할 수 있습니다. - pass-through authentication이 필요하다고 생각하는 것; Azure AD DS에서는 동일한 password로 로그인을 가능하게 하기 위해 일반적으로 password hash synchronization이 사용됩니다. 시험 팁: - 서비스에 Azure에서 LDAP/Kerberos/domain join이 필요하다면 Azure AD DS(managed) 또는 VM의 AD DS를 고려하세요. - domain 기반 인증이 있는 HDInsight의 경우 “Enterprise Security Package (ESP)” + domain integration을 찾으세요. - Azure AD DS를 도입할 때 domain join 및 조회가 작동하도록 VNet DNS 설정을 업데이트해야 한다는 점을 기억하세요.

8
문제 8

여러 번의 동일하게 구성된 Azure virtual machines 배포를 수행하기 위해 Azure Resource Manager templates를 사용할 계획입니다. 각 배포의 administrator account에 대한 password는 서로 다른 Azure key vaults에 secret으로 저장되어 있습니다. 각 배포 중 적절한 secret을 포함하는 key vault를 지정할 resource ID를 동적으로 구성하는 방법을 식별해야 합니다. key vault의 이름과 secret의 이름은 inline parameters로 제공됩니다. resource ID를 구성하기 위해 무엇을 사용해야 합니까?

Key Vault access policy는 user, service principal 또는 managed identity가 vault에서 secrets를 읽을 수 있는지 여부를 제어합니다. 이는 authorization에는 필요하지만, ARM deployment에 resource ID를 빌드하거나 전달하는 메커니즘을 제공하지는 않습니다. 올바른 access policy가 있더라도, deployment는 여전히 어떤 vault와 secret을 사용할지 지정할 방법이 필요합니다. 따라서 access policy는 permissions와 관련이 있을 뿐, Key Vault resource ID의 동적 구성이나 지정과는 관련이 없습니다.

Linked template는 배포를 재사용 가능한 modules 또는 별도의 template files로 분할하는 데 사용됩니다. linked template도 parameters를 받아 내부적으로 functions를 사용할 수는 있지만, secure parameter value에 대한 Key Vault secret reference를 제공하는 표준 메커니즘은 아닙니다. 문제는 이름이 parameters로 제공될 때 각 배포 중 적절한 Key Vault를 지정하기 위해 무엇을 사용해야 하는지를 묻고 있으며, 이는 일반적으로 다른 template를 도입하는 것이 아니라 deployment parameters를 통해 처리됩니다. linked template를 사용하면 불필요한 복잡성만 추가되며 요구 사항에 직접적으로 답하지 못합니다.

Parameters file이 정답인 이유는 ARM templates가 일반적으로 Azure Key Vault secret references를 포함한 환경별 값을 제공하기 위해 deployment parameters를 사용하기 때문입니다. secret이 배포마다 서로 다른 vaults에 저장되어 있는 경우, parameters file은 Key Vault resourceId와 secretName을 포함하는 reference object를 포함할 수 있습니다. 이를 통해 동일한 ARM template을 재사용하면서 각 배포 중 적절한 vault를 동적으로 대상으로 지정할 수 있습니다. template 자체는 변경되지 않고, 환경마다 parameter 값만 달라집니다.

Automation Account는 scripts를 실행하거나 deployment workflows를 오케스트레이션할 수 있지만, Key Vault secret references를 전달하기 위한 ARM template 구성 요소는 아닙니다. 요구 사항은 ARM deployments 중 올바른 Key Vault를 지정하는 방법에 관한 것이며, 이는 template parameters와 parameter files를 통해 기본적으로 처리됩니다. Automation이 deployment를 호출할 수는 있지만, secret resolution을 위한 ARM 메커니즘을 대체하지는 않습니다. 따라서 직접적인 해결책의 범위를 벗어납니다.

문제 분석

핵심 개념: 이 문제는 ARM template 배포가 배포마다 vault가 달라질 때 Azure Key Vault에서 secrets를 검색하는 방법에 관한 것입니다. ARM에서 secure parameter reference에 사용되는 Key Vault의 resource ID는 일반적으로 deployment parameters에서 제공되며, parameters file은 vault의 resourceId와 secretName을 포함하는 reference block을 지원합니다. 정답인 이유: vault 이름과 secret 이름이 배포마다 달라지므로, parameters file은 배포 시점에 이러한 값과 Key Vault reference를 template에 전달하는 표준 메커니즘입니다. 주요 특징: Parameters files는 환경별 값을 외부화하고, secure secret references를 지원하며, template logic을 수정하지 않고도 동일한 template을 반복 배포할 수 있게 합니다. 흔한 오해: Linked templates는 배포를 모듈화하는 데 도움이 되지만, Key Vault secret parameterization을 본질적으로 해결하지는 않습니다. access policies는 authorization만 제어합니다. Automation Accounts는 작업을 오케스트레이션하지만 ARM secret references를 정의하지는 않습니다. 시험 팁: 서로 다른 환경별 값이 포함된 ARM template 문제에서는 Key Vault secret references를 포함한 배포별 입력을 제공하는 위치로 parameters files를 떠올리십시오.

9
문제 9

Azure subscription에 Vault1이라는 Azure key vault가 포함되어 있습니다. Vault1에서 Secret1이라는 secret을 생성합니다. 애플리케이션 개발자가 Azure Active Directory (Azure AD)에 애플리케이션을 등록합니다. 해당 애플리케이션이 Secret1을 사용할 수 있도록 해야 합니다. 무엇을 해야 합니까?

오답입니다. Azure AD에서 role을 생성해도 애플리케이션에 Azure Key Vault의 secrets를 읽을 권한이 부여되지는 않습니다. Key Vault secret access는 vault 수준에서 Key Vault access policy를 통해 제어되거나, RBAC permission model을 사용하는 환경에서는 vault 범위의 Azure RBAC role assignment를 통해 제어됩니다. Azure AD role은 directory 수준의 관리를 위한 것이며, 애플리케이션이 Secret1을 사용하도록 권한을 부여하는 방법이 아닙니다.

오답입니다. Azure Key Vault에서 keys와 secrets는 서로 다른 object types이며 용도도 다릅니다. key를 생성하면 cryptographic operations는 가능해지지만, 기존의 Secret1이라는 secret에 애플리케이션이 액세스할 수 있게 되지는 않습니다. 요구 사항은 새로운 cryptographic asset 생성이 아니라 secret에 대한 액세스 권한 부여입니다.

정답입니다. Key Vault access policy는 특정 principal(사용자, 그룹 또는 등록된 애플리케이션의 service principal)이 secret operations를 수행하도록 권한을 부여하는 고전적인 메커니즘입니다. 애플리케이션에 대한 access policy를 추가하고 Get(및 필요 시 List)와 같은 Secret permissions를 부여하면, 애플리케이션은 Azure AD authentication을 사용하여 Secret1을 안전하게 검색할 수 있습니다.

오답입니다. Azure AD Application Proxy는 Azure AD를 통해 내부 웹 애플리케이션을 원격 액세스용으로 게시하는 데 사용됩니다. 이는 애플리케이션에 Azure Key Vault의 데이터를 읽을 권한을 부여하는 것과는 관련이 없습니다. Application Proxy를 사용하도록 설정하더라도, 애플리케이션이 Secret1에 액세스하려면 여전히 Vault1에 대한 명시적인 권한 부여가 필요합니다.

문제 분석

핵심 개념: 이 문제는 Azure Key Vault가 Azure AD 애플리케이션(service principal)이 secrets에 액세스하도록 권한을 부여하는 방법을 묻습니다. Key Vault는 인증(authentication, 누구인지 확인)에는 Azure AD를 사용하고, 권한 부여(authorization, 무엇을 할 수 있는지)에는 Key Vault permissions를 사용합니다. 전통적으로 이 권한 부여는 Key Vault access policies로 구성되며, 최신 배포에서는 Key Vault data-plane permissions에 Azure RBAC를 사용할 수도 있지만, AZ-500에서 고전적이고 가장 일반적으로 출제되는 방식은 access policies입니다. 정답인 이유: 등록된 Azure AD 애플리케이션이 Secret1을 읽거나 사용할 수 있도록 하려면, Vault1에서 해당 애플리케이션에 permissions를 부여해야 합니다. access policy에서 애플리케이션의 service principal을 선택하고 Get(secret 값 읽기) 및 필요 시 List(secrets 열거)와 같은 secret permissions를 할당합니다. 이와 같은 명시적인 권한 부여가 없으면, 애플리케이션은 Azure AD에 대한 인증에는 성공하더라도 Key Vault는 data-plane operations에 대해 거부(403 Forbidden)합니다. 주요 기능 / 구성 세부 사항: - Vault1에서 access policy를 생성하고 principal로 애플리케이션(service principal)을 선택합니다. - 필요한 최소한의 secret permissions(least privilege)를 부여합니다: 일반적으로 Get이며, 앱이 secret 이름/버전을 검색해야 하는 경우에만 List를 추가합니다. - 애플리케이션은 자신의 identity(client secret/certificate 또는 해당되는 경우 managed identity)를 사용하여 Key Vault용 Azure AD token을 획득한 다음, Key Vault secret endpoint를 호출합니다. - 이는 Azure Well-Architected Framework Security pillar의 least privilege, 중앙 집중식 secret 관리, 강력한 identity 기반 액세스와 일치합니다. 일반적인 오해: - Azure AD role을 생성하는 것은 Key Vault secret access를 부여하는 방법이 아닙니다. Azure AD roles는 directory resources를 관리하며, Key Vault secret operations를 제어하지 않습니다. - Azure Key Vault에서 key를 생성하는 것은 관련이 없습니다. Secret1은 key가 아니라 secret object입니다. - Azure AD Application Proxy는 온-프레미스 앱을 외부에 게시하는 기능이며, Key Vault permissions를 부여하지 않습니다. 시험 팁: Key Vault 액세스 문제에서는 authentication(Azure AD app/service principal/managed identity)과 authorization(Key Vault access policy 또는 Key Vault RBAC)을 구분하세요. 문제가 “앱이 secret을 사용할 수 있도록 보장”하라고 묻는다면, 해당 앱 identity에 대해 vault에서 secret permissions를 부여하는 것, 일반적으로 access policy(Get/List)를 떠올리면 됩니다.

10
문제 10

HOTSPOT - Sub1이라는 이름의 Azure subscription이 있습니다. 하나의 subnet을 포함하는 virtual network를 생성합니다. 해당 subnet에 다음 표에 표시된 virtual machine을 프로비저닝합니다. 이름 Network interface Application security group 할당 IP 주소 VM1 NIC1 AppGroup12 10.0.0.10 VM2 NIC2 AppGroup12 10.0.0.11 VM3 NIC3 AppGroup3 10.0.0.100 VM4 NIC4 AppGroup4 10.0.0.200 현재는 어떤 network security group (NSG)도 프로비저닝하지 않았습니다. 다음 요구 사항을 충족하도록 network security를 구현해야 합니다. ✑ VM3에서만 VM4로의 트래픽을 허용합니다. ✑ Internet에서 VM1 및 VM2로의 트래픽만 허용합니다. ✑ NSG 및 network security rule의 수를 최소화합니다. 몇 개의 NSG와 network security rule을 생성해야 합니까? 답하려면 답안 영역에서 적절한 옵션을 선택하세요. 참고: 각 정답 선택에는 1점이 부여됩니다. Hot Area:

파트 1:

NSG: ______

1개의 NSG를 생성합니다. 모든 VM이 동일한 subnet에 있으므로, subnet에 단일 NSG를 연결하여 해당 subnet의 모든 NIC/VM에 대한 트래픽을 제어할 수 있습니다. 이렇게 하면 NSG 수를 최소화할 수 있으며, 이는 일반적인 시험 패턴입니다: subnet별로 서로 다른 정책이 필요하거나 서로 다른 NIC에 서로 다른 NSG를 적용해야 하는 경우가 아니라면 하나의 subnet-level NSG를 사용합니다. 여기서는 하나의 NSG 내부에서 ASG 기반 규칙으로 요구 사항을 표현할 수 있습니다(Internet 액세스를 위한 AppGroup12 대상 및 VM4 제한을 위한 AppGroup4 대상). 2~4개의 NSG를 생성해도 필요한 규칙 수는 줄어들지 않으며 관리 오버헤드만 증가하므로, “NSG 수를 최소화”해야 한다는 요구 사항을 위반합니다.

파트 2:

네트워크 보안 규칙: ______

단일 NSG에 3개의 보안 규칙(inbound)을 생성합니다. 1) 필요한 포트에서 Internet -> AppGroup12 (VM1 및 VM2) 허용(포트는 지정되지 않았으므로, 개념적으로는 “트래픽”). 이는 다른 VM은 기본 DenyAllInBound에 의해 계속 차단되므로 “Internet에서 VM1 및 VM2로만 트래픽 허용”을 충족합니다. 2) AppGroup3 (VM3) -> AppGroup4 (VM4) 허용. 이렇게 하면 VM3가 VM4에 연결할 수 있습니다. 3) VirtualNetwork -> AppGroup4 거부. 기본 AllowVnetInBound가 그렇지 않으면 VM1/VM2(및 다른 모든 VNet 소스)가 VM4에 연결하도록 허용하기 때문에 이것이 필요합니다. VM3는 계속 허용되고 다른 모든 VNet 소스는 거부되도록 규칙 (2)를 규칙 (3)보다 더 높은 우선순위(더 낮은 숫자)에 배치합니다. 규칙이 2개뿐이면 기본 허용 때문에 VM3를 허용하면서 다른 모든 VNet 소스를 차단하는 것을 동시에 수행할 수 없습니다.

이동 중에도 모든 문제를 풀고 싶으신가요?

Cloud Pass를 다운로드하세요 — 모의고사, 학습 진도 추적 등을 제공합니다.

11
문제 11

HOTSPOT - Group1 및 Group2의 멤버십은 무엇입니까? 답하려면, 답안 영역에서 적절한 옵션을 선택하세요. 참고: 각 정답 선택에는 1점이 부여됩니다. Hot Area:

파트 1:

Group1: ______

Group1의 평가된 멤버십 결과는 정확히 두 명의 사용자, 즉 User2와 User4입니다. 이 결과는 (a) User2와 User4만 명시적으로 추가된 Assigned group이거나, (b) 프롬프트 이미지에 표시된 규칙과 일치하는 사용자가 User2와 User4뿐인 Dynamic user group인 경우와 일치합니다(예: 특정 department, job title 또는 user type). 다른 옵션은 맞지 않습니다: - A (멤버 없음)는 어떤 사용자도 할당되지 않았고/않거나 어떤 사용자도 dynamic rule과 일치하지 않아야 합니다. - B (User2만)는 User4가 할당된 목록에 없거나 dynamic rule을 충족하지 않아야 합니다. - D (User1, User2, User3 및 User4)는 모든 사용자가 명시적으로 할당되었거나 모두 dynamic rule과 일치해야 함을 의미하지만, 시나리오의 멤버십 평가에 따르면 그렇지 않습니다.

파트 2:

Group2: ______

Group2의 평가된 멤버십에는 User1 및 User3만 포함됩니다. 이는 규칙이 정확히 해당 두 사용자의 특성과 일치하는 Dynamic user group의 전형적인 예입니다(예: user.department -eq "HR"가 User1 및 User3과 일치하고, User2 및 User4는 다른 부서에 속함). 또는 해당 두 사용자만 명시적으로 추가된 Assigned group일 수도 있습니다. 오답은 다음과 같이 제외할 수 있습니다: - A (멤버 없음)는 표시된 평가된 멤버십과 모순됩니다. - B (User3만)는 User1이 할당되지 않았거나 및/또는 dynamic rule을 충족하지 않아야 합니다. - D (User1, User2, User3 및 User4)는 모든 사용자가 할당되었거나 규칙과 일치해야 하는데, 이는 시나리오의 멤버십 결과로 뒷받침되지 않습니다. AZ-500에서는 dynamic membership이 자동으로 계산되며 엄격하게 규칙에 의해 결정된다는 점을 기억하세요. 이는 일반적으로 대규모 환경에서 least privilege를 적용하는 데 사용됩니다.

12
문제 12

참고: 이 문제는 동일한 시나리오를 제시하는 일련의 문제 중 일부입니다. 시리즈의 각 문제에는 제시된 목표를 충족할 수 있는 고유한 솔루션이 포함되어 있습니다. 일부 문제 세트에는 둘 이상의 올바른 솔루션이 있을 수 있지만, 다른 문제 세트에는 올바른 솔루션이 없을 수도 있습니다. 이 섹션의 문제에 답한 후에는 해당 문제로 돌아갈 수 없습니다. 따라서 이러한 문제는 검토 화면에 표시되지 않습니다. Sub1이라는 이름의 Azure 구독이 있습니다. RG1이라는 이름의 resource group에 sa1이라는 이름의 Azure Storage account가 있습니다. 사용자와 애플리케이션은 여러 shared access signature (SAS) 및 stored access policy를 사용하여 sa1의 blob service와 file service에 액세스합니다. 권한이 없는 사용자가 file service와 blob service 모두에 액세스한 것을 발견했습니다. sa1에 대한 모든 액세스를 취소해야 합니다. 해결 방법: 새 SAS를 생성합니다. 이 방법이 목표를 충족합니까?

예는 잘못되었습니다. 새 SAS token은 이전에 배포된 SAS token을 무효화하지 않기 때문입니다. 이미 유효한 SAS URI를 가지고 있는 권한 없는 사용자는 해당 token이 만료되거나 서명 기반이 취소될 때까지 blob service와 file service에 계속 액세스할 수 있습니다. 기존의 모든 SAS 기반 액세스를 중지하려면 storage account key를 다시 생성하고/하거나 SAS에 사용된 stored access policy를 제거 또는 수정해야 합니다. 따라서 제안된 작업은 제시된 목표를 충족하지 않습니다.

아니요가 정답인 이유는 새 SAS token을 생성해도 사용자나 애플리케이션에 이미 발급된 SAS token은 취소되지 않기 때문입니다. 기존 SAS token은 bearer token이며, 기본 account key가 다시 생성되거나 해당 token이 의존하는 stored access policy가 변경 또는 제거되지 않는 한 만료될 때까지 계속 유효합니다. 목표는 storage account에 대한 모든 액세스를 취소하는 것이므로, 단순히 새 SAS 값을 만드는 것만으로는 충분하지 않습니다. 올바른 취소 방법은 storage account key를 교체하고 관련 stored access policy를 업데이트하거나 삭제하는 것입니다.

문제 분석

핵심 개념: 이 문제는 shared access signature (SAS) 및 stored access policy를 통해 액세스가 부여되고 있을 때 Azure Storage에 대한 액세스를 어떻게 취소하는지 테스트합니다. SAS token은 이미 발급된 bearer token이므로, 단순히 추가 SAS token을 생성하는 것만으로는 기존 token이 무효화되지 않습니다. 정답인 이유: 제안된 솔루션은 목표를 충족하지 않습니다. SAS를 통해 부여된 모든 액세스를 취소하려면 기존 SAS 메커니즘을 무효화해야 합니다. 예를 들어, 해당 키로 서명된 account/service SAS에 대해서는 storage account key를 교체하고, 해당 policy에 연결된 SAS에 대해서는 stored access policy를 수정하거나 삭제해야 합니다. 주요 특징: - SAS token은 만료될 때까지 유효하며, 서명 기반이 무효화되지 않는 한 계속 유효합니다. - account key로 서명된 Account SAS 및 service SAS는 storage account access key를 다시 생성하여 취소할 수 있습니다. - stored access policy와 연결된 service SAS는 해당 stored access policy를 변경하거나 삭제하여 취소할 수 있습니다. - 새 SAS token을 생성하는 것은 향후 배포에만 영향을 주며, 이전에 발급된 token에는 영향을 주지 않습니다. 일반적인 오해: - 흔한 실수는 새 SAS token을 발급하면 이전 token이 자동으로 대체되거나 취소된다고 가정하는 것입니다. SAS token은 독립적인 자격 증명이므로 만료되거나 key 또는 policy 변경을 통해 명시적으로 무효화될 때까지 계속 작동합니다. - 또 다른 오해는 하나의 작업이 항상 모든 SAS 유형을 취소한다고 생각하는 것입니다. 실제로는 SAS가 생성된 방식에 따라 취소 방법이 달라집니다. 시험 팁: SAS 액세스를 취소하라는 질문이 나오면 서명 key 또는 stored access policy를 무효화하는 데 초점을 맞추십시오. 선택지가 단지 새 SAS token을 만들거나 생성한다고만 말한다면, 기존 token은 계속 사용할 수 있으므로 거의 항상 불충분합니다.

13
문제 13

회사에는 contoso.com이라는 Azure Active Directory (Azure AD) tenant에 연결된 Sub1이라는 Azure subscription이 있습니다. 회사는 App1이라는 애플리케이션을 개발합니다. App1은 Azure AD에 등록되어 있습니다. App1이 애플리케이션 사용자 대신 Azure Key Vault의 secret에 액세스할 수 있도록 해야 합니다. 무엇을 구성해야 합니까?

Application permission은 background service나 automation job과 같이 로그인한 사용자가 없는 app-only access를 위한 것입니다. 이는 애플리케이션 사용자 대신 secret에 액세스해야 한다는 요구 사항과 일치하지 않습니다. 왜냐하면 결과 token은 애플리케이션 identity만 나타내기 때문입니다. 또한 application permission은 일반적으로 admin consent가 필요하므로 “admin consent 없음”이라는 부분도 잘못되었습니다. 이 옵션은 permission 유형과 consent 요구 사항 모두에서 틀렸습니다.

Delegated permission은 사용자를 대신하여 동작하는 데 적절한 일반 범주이지만, Azure Key Vault delegated permission은 일반적인 의미에서 사용자가 consent할 수 있는 것이 아닙니다. 이는 admin-restricted permission이며 앱이 이를 사용하려면 tenant에서 administrator 승인이 필요합니다. 따라서 admin consent가 없는 delegated permission이라고 하는 것은 Key Vault에 대해 불완전하며 기술적으로도 올바르지 않습니다. 이 때문에 delegated 모델 자체는 올바르게 식별했더라도 현재 답변은 틀렸습니다.

Delegated permission은 App1이 독립 실행형 daemon으로서가 아니라 로그인한 사용자의 컨텍스트에서 Azure Key Vault에 액세스해야 하므로 올바른 permission 유형입니다. “애플리케이션 사용자 대신”이라는 표현은 token이 사용자와 애플리케이션을 모두 나타내는 user-delegated access 모델을 직접적으로 의미합니다. Azure Key Vault의 경우 이러한 delegated permission은 admin-restricted이므로 사용자가 이 방식으로 앱을 사용하기 전에 tenant administrator consent가 필요합니다. 따라서 사용자 컨텍스트 요구 사항과 Key Vault의 consent 모델을 모두 충족하는 유일한 옵션은 admin consent가 필요한 delegated permission입니다.

Admin consent가 필요한 application permission은 앱이 로그인한 사용자 컨텍스트 없이 자기 자신으로 리소스에 액세스할 때 사용됩니다. 이는 daemon app, scheduled task 또는 service principal에는 적절하지만 사용자 중심 시나리오에는 적절하지 않습니다. 문제에서 명시적으로 “애플리케이션 사용자 대신”이라고 했으므로 앱은 app-only permission을 사용하면 안 됩니다. Application permission에 admin consent가 일반적으로 필요하더라도 여기서는 permission 유형 자체가 잘못되었습니다.

문제 분석

핵심 개념: 이 문제는 Microsoft Entra ID (Azure AD)에서 delegated permission과 application permission의 차이, 그리고 Azure Key Vault 액세스에 admin consent가 언제 필요한지를 테스트합니다. “애플리케이션 사용자 대신”이라는 문구는 로그인한 사용자가 존재하고 앱이 해당 사용자의 컨텍스트에서 동작해야 하므로 앱이 delegated permission을 사용해야 함을 의미합니다. 정답인 이유: Azure Key Vault는 사용자 기반 시나리오에 대해 delegated access를 지원하지만, 이러한 delegated permission은 admin-restricted이며 administrator consent가 필요합니다. 따라서 올바른 구성은 admin consent가 필요한 delegated permission입니다. 이렇게 하면 App1이 Key Vault에 액세스할 때 사용자와 애플리케이션을 모두 나타내는 token을 요청할 수 있습니다. 주요 특징: - Delegated permission은 사용자가 로그인한 상태에서 앱이 해당 사용자를 대신하여 동작할 때 사용됩니다. - Application permission은 사용자가 없는 daemon 또는 service-to-service 시나리오에서 사용됩니다. - Azure Key Vault delegated permission은 Entra ID에서 admin consent가 필요합니다. - secret에 대한 액세스는 여전히 access policy 또는 Azure RBAC를 통해 Key Vault에서 권한 부여되어야 합니다. 일반적인 오해: - “사용자 대신”은 사용자가 항상 self-consent할 수 있다는 뜻이 아닙니다. 일부 delegated permission은 admin-restricted입니다. - 요구 사항에 사용자 컨텍스트가 명시적으로 포함된 경우 application permission은 적절하지 않습니다. - Azure AD consent만으로는 secret 액세스 권한이 부여되지 않으며, Key Vault authorization도 구성해야 합니다. 시험 팁: - 문제에 “사용자 대신”이라고 나오면 먼저 delegated permission을 떠올리십시오. - 그런 다음 대상 API의 delegated permission이 admin-restricted인지 확인하십시오. - Azure Key Vault의 경우 delegated permission에는 admin consent가 필요하므로 app-only permission이 아니라 admin consent가 있는 delegated permission을 선택해야 합니다.

14
문제 14

DRAG DROP - Access review를 구성해야 합니다. 이 review는 새로운 review collection에 할당되고 resource owner가 검토합니다. 어떤 세 가지 작업을 순서대로 수행해야 합니까? 답하려면 작업 목록에서 적절한 작업을 답 영역으로 이동하고 올바른 순서로 배열하세요. 선택하고 배치:

파트 1:

아래 이미지에서 올바른 답을 선택하세요.

question-image

정답입니다. 올바른 순서는 다음과 같습니다: 1) access review program을 생성합니다. 2) access review control을 생성합니다. 3) Reviewers를 Group owners로 설정합니다. 이유: 요구 사항에 따르면 review는 새로운 review collection에 할당됩니다. 이는 Access Review Program이며, review를 여기에 할당하기 전에 먼저 존재해야 합니다. 다음으로 실제 access review("control")를 생성/구성해야 하며, 여기서 무엇을 검토할지와 해당 일정/설정을 정의합니다. 마지막으로, review는 resource owners가 검토해야 하므로 reviewers를 resource의 owners로 설정합니다. 제공된 옵션 중에서는 group 기반 access review에 대해 “resource owners”와 가장 잘 일치하는 항목이 “Set Reviewers to Group owners”입니다. 다른 선택지가 틀린 이유: “Selected users”와 “Members”는 “resource owners” 요구 사항을 충족하지 않습니다. “Create an access review audit”는 설정 단계가 아닙니다. auditing은 생성되는 객체라기보다 logs와 reporting을 통해 본질적으로 제공됩니다.

15
문제 15

귀사는 각 부서별로 별도의 subscription을 생성할 계획입니다. 각 subscription은 동일한 Azure Active Directory (Azure AD) tenant에 연결됩니다. 각 subscription이 동일한 role assignment를 갖도록 구성해야 합니다. 무엇을 사용해야 합니까?

Azure Security Center(현재 Microsoft Defender for Cloud)는 security posture management, recommendation, 그리고 threat protection에 중점을 둡니다. 잘못된 구성을 표시하고 least-privilege 개선을 제안할 수는 있지만, 여러 subscription 전반에 동일한 RBAC role assignment를 템플릿화하고 자동으로 적용하는 메커니즘은 제공하지 않습니다. 주된 목적은 monitoring과 security 개선이지, subscription provisioning 중 baseline access control 구성을 적용하는 것이 아닙니다.

Azure Policy는 resource 구성을 audit, deny 또는 remediation하여 compliance를 강제하고 평가하는 데 사용됩니다. resource가 표준(tag, SKU, encryption, 허용된 location)을 충족하도록 보장하는 데는 매우 뛰어나지만, baseline으로서 subscription 전반에 일관된 RBAC role assignment를 생성하고 유지하도록 설계된 것은 아닙니다. Policy는 Blueprints처럼 subscription RBAC assignment를 직접 정의할 수 없습니다.

Azure AD Privileged Identity Management (PIM)는 Azure AD role 및 Azure resource role에 대해 just-in-time activation, approval workflow, access review, 그리고 시간 제한이 있는 privileged role assignment를 제공합니다. 이는 privileged access 관리 방식을 개선하지만, 여러 subscription이 동일한 초기 role assignment 집합을 갖도록 구성해야 한다는 요구 사항을 해결하지는 못합니다. PIM은 elevation 및 lifecycle을 관리하는 것이지, subscription 간 RBAC 복제를 수행하는 것은 아닙니다.

Azure Blueprints는 subscription에 반복 가능한 governance 구성을 배포하도록 특별히 설계되었습니다. blueprint에는 artifact로 role assignment를 포함할 수 있으므로, blueprint가 할당될 때 각 부서 subscription이 동일한 RBAC assignment를 받도록 보장할 수 있습니다. 또한 policy와 template를 함께 묶을 수 있어 일관되고 규정을 준수하는 subscription baseline을 가능하게 하고 drift를 줄여 주므로, 동일한 tenant 내 여러 subscription 전반에서 role assignment를 표준화해야 한다는 요구 사항에 정확히 부합합니다.

문제 분석

핵심 개념: 이 문제는 동일한 Azure AD tenant 내의 여러 Azure subscription 전반에서 governance 및 access control을 표준화하는 방법을 묻습니다. 구체적으로는 일관된 role assignment (RBAC)를 대규모로 배포하는 데 초점을 맞춥니다. 정답인 이유: Azure Blueprints는 artifact 집합을 subscription(또는 여러 subscription)에 패키징하고 배포하여 반복 가능하고 규정을 준수하는 환경을 오케스트레이션하도록 설계되었습니다. Blueprint artifact에는 role assignment, Azure Policy assignment, ARM template(또는 ARM을 통한 Bicep), 그리고 resource group이 포함될 수 있습니다. 요구 사항은 각 신규 부서 subscription이 동일한 role assignment를 가져야 한다는 것이므로, Azure Blueprints가 subscription 전반에 동일한 RBAC assignment를 적용하는 가장 직접적인 서비스입니다. subscription에 blueprint를 할당하면 포함된 role assignment가 일관되게 적용되어, 모든 부서 subscription이 동일한 access model로 시작하도록 보장하는 데 도움이 됩니다. 주요 기능 및 모범 사례: - Blueprint artifact: Role assignment는 일급 artifact이므로 subscription 전반에서 일관된 RBAC를 가능하게 합니다. - 반복 가능성과 확장성: 동일한 blueprint를 많은 subscription에 할당할 수 있으며, blueprint version을 업데이트하여 변경 사항을 반영할 수 있습니다. - Governance 정렬: Blueprints는 Azure Policy(guardrail)를 보완하며, “무엇이 존재해야 하는지”(RBAC, resource group, template)도 배포합니다. 이는 일관된 access pattern을 강제하고 configuration drift를 줄임으로써 Azure Well-Architected Framework의 governance 및 security pillar를 지원합니다. - Subscription onboarding: 실제 환경에서 흔한 사용 사례는 landing zone / subscription vending이며, 각 subscription에 baseline RBAC 및 policy를 적용합니다. 흔한 오해: Azure Policy는 표준을 강제하므로 자주 선택되지만, RBAC role assignment를 생성할 수는 없습니다. Azure Policy는 configuration을 audit/deny하고 deployIfNotExists를 통해 특정 resource property를 remediation할 수 있을 뿐, baseline으로서 subscription RBAC assignment를 관리하지는 못합니다. PIM은 just-in-time privileged access를 위한 것이지 subscription 전반에 role assignment를 복제하는 용도가 아닙니다. Defender for Cloud(이전의 Security Center)는 security posture management 및 recommendation을 제공하지만, subscription RBAC templating 기능은 제공하지 않습니다. 시험 팁: - 요구 사항에 subscription 전반의 “동일한 role assignment”가 포함되면 Azure Policy가 아니라 Azure Blueprints(또는 최신 패턴에서는 landing zone/templated deployment)를 떠올리십시오. - 구분을 기억하십시오: Azure Policy = guardrail; Blueprints = RBAC를 포함한 governance artifact를 패키징하고 배포. - AZ-500에서는 서비스를 결과에 매핑하십시오: 대규모로 RBAC 표준화 -> Blueprints. 참고: Azure Blueprints 문서에서는 role assignment를 blueprint artifact로 강조하며, 반복 가능한 subscription governance를 위한 목적을 설명합니다.

이동 중에도 모든 문제를 풀고 싶으신가요?

Cloud Pass를 다운로드하세요 — 모의고사, 학습 진도 추적 등을 제공합니다.

16
문제 16

HOTSPOT - 다음 표와 같이 East US 2 region에 두 개의 Azure virtual machine이 있습니다. 이름 Operating system Type Tier VM1 Windows Server 2008 R2 A3 Basic VM2 Ubuntu 16.04-DAILY-LTS L4s Standard Azure Key vault를 배포하고 구성합니다. VM1 및 VM2에서 Azure Disk Encryption을 활성화할 수 있도록 해야 합니다. 각 virtual machine에서 무엇을 수정해야 합니까? 답하려면, 답변 영역에서 적절한 옵션을 선택하세요. 참고: 각 정답 선택에는 1점이 주어집니다. Hot Area:

파트 1:

VM1 ______

Windows용 Azure Disk Encryption은 지원되는 Windows Server 버전이 필요하며, Windows Server 2008 R2는 ADE에서 지원되지 않습니다. 따라서 디스크 암호화를 활성화하기 전에 VM1을 지원되는 운영 체제 버전으로 변경해야 합니다. 여기서 결정적인 문제는 티어가 아니며, VM이 지원되는 OS에서 실행되고 필요한 extension을 사용할 수 있는 한 VM size/type 자체가 차단 요인은 아닙니다.

파트 2:

VM2 ______

Linux의 Azure Disk Encryption은 특정 승인된 배포판과 이미지들을 지원하며, Ubuntu 16.04-DAILY-LTS는 ADE에서 지원되는 프로덕션 이미지가 아닙니다. 암호화를 활성화하려면 VM2를 공식적으로 지원되는 Ubuntu LTS marketplace image와 같은 지원되는 운영 체제 버전/image로 변경해야 합니다. tier는 이미 Standard이므로 문제가 아니며, 이 시나리오에서 L4s VM type은 ADE의 차단 요인이 아닙니다.

17
문제 17

참고: 이 문제는 동일한 시나리오를 제시하는 일련의 문제 중 일부입니다. 시리즈의 각 문제에는 제시된 목표를 충족할 수 있는 고유한 솔루션이 포함되어 있습니다. 일부 문제 세트에는 둘 이상의 올바른 솔루션이 있을 수 있지만, 다른 문제 세트에는 올바른 솔루션이 없을 수도 있습니다. 이 섹션의 문제에 답한 후에는 해당 문제로 돌아갈 수 없습니다. 따라서 이러한 문제는 검토 화면에 표시되지 않습니다. Azure 구독이 있습니다. 이 구독에는 Windows Server 2012 R2 또는 Windows Server 2016을 실행하는 50개의 가상 머신이 포함되어 있습니다. 가상 머신에 Microsoft Antimalware를 배포해야 합니다. 해결 방법: 각 가상 머신에 extension을 추가합니다. 이것이 목표를 충족합니까?

예. Azure 가상 머신용 Microsoft Antimalware는 대상 VM에 설치되는 VM extension을 통해 제공됩니다. 각 Windows Server 2012 R2/2016 VM에 Microsoft Antimalware extension을 추가하면 antimalware 에이전트가 배포되고 실시간 보호 및 예약 검사와 같은 구성이 활성화됩니다. 따라서 각 VM에 extension을 설치하는 것은 50개의 가상 머신에 Microsoft Antimalware를 배포한다는 목표를 충족합니다.

아니요. 이는 올바르지 않습니다. Microsoft Antimalware VM extension을 추가하는 것은 Azure IaaS 가상 머신에 antimalware를 배포하는 지원되고 의도된 방법이기 때문입니다. VM extension은 antimalware와 같은 보안 도구를 포함하여 배포 후 VM 내부에 소프트웨어를 설치하고 구성하도록 특별히 설계되었습니다. automation 없이 VM별로 수동 수행하는 것은 운영상 번거로울 수 있지만, 여전히 Microsoft Antimalware를 배포해야 한다는 명시된 요구 사항은 충족합니다.

문제 분석

핵심 개념: 이 문제는 Azure 가상 머신에 Microsoft Antimalware(Microsoft Antimalware extension)를 배포하는 방법과 VM extension을 사용하는 것이 적절한 배포 방법인지 여부를 테스트합니다. 정답인 이유: Azure VM용 Microsoft Antimalware는 각 가상 머신에 Microsoft Antimalware VM extension(또는 IaaS Antimalware extension이라고도 함)을 설치하여 배포됩니다. VM extension은 보안 에이전트를 포함하여 배포 후 VM 내부에 에이전트와 소프트웨어를 설치하고 구성하는 Azure의 기본 메커니즘입니다. 환경이 지원되는 Windows Server 버전(2012 R2/2016)을 실행하는 Azure IaaS VM으로 구성되어 있으므로, 각 VM에 antimalware extension을 추가하면 해당 VM에 Microsoft Antimalware를 배포해야 한다는 요구 사항을 직접 충족합니다. 주요 기능 / 구성: - Azure VM Extensions: 프로비저닝 후 VM에 소프트웨어를 설치/구성하는 데 사용됩니다. - Microsoft Antimalware extension: 실시간 보호, 예약 검사 및 제외 구성 기능을 제공합니다. - 배포 방법: Azure portal, ARM templates, PowerShell, Azure CLI 또는 Azure Policy/automation을 사용하여 대규모로 적용할 수 있습니다. - VM별 설치: 적용 범위를 보장하기 위해 extension은 각 VM에 적용됩니다(수동 또는 automation 사용). 일반적인 오해: - Microsoft Antimalware가 기본적으로 모든 Azure VM에 자동으로 활성화된다고 가정하는 것; 명시적으로 설치/구성하지 않으면 그렇지 않습니다. - Microsoft Antimalware extension을 Microsoft Defender for Cloud 플랜과 혼동하는 것; Defender for Cloud는 권장/지원할 수 있지만, extension은 여전히 VM 수준 배포 메커니즘입니다. - extension 또는 automation을 사용하지 않고 단일 구독 수준 설정으로 모든 VM에 antimalware가 배포된다고 생각하는 것. 시험 팁: - VM extension은 Azure IaaS VM에 에이전트(antimalware, monitoring, DSC 등)를 배포하는 표준 방법입니다. - 요구 사항이 “VM에 배포”라면, Microsoft Antimalware extension이 포함된 답을 예상해야 합니다. - 많은 수의 VM의 경우 automation(Policy/ARM/PowerShell)을 고려할 수 있지만, 핵심 메커니즘은 여전히 extension입니다.

18
문제 18

VM1이라는 virtual machine이 포함된 Azure subscription이 있습니다. 다음 구성이 있는 Azure key vault를 만듭니다. ✑ Name: Vault5 ✑ Region: West US ✑ Resource group: RG1 Vault5를 사용하여 VM1에서 Azure Disk Encryption을 사용하도록 설정해야 합니다. 이 솔루션은 Azure Backup을 사용하여 VM1을 백업하는 것을 지원해야 합니다. 어떤 key vault 설정을 구성해야 합니까?

Access policies는 누가 Key Vault object에 접근할 수 있는지를 제어하지만, ADE가 VM encryption material을 저장하기 위해 근본적으로 사용하는 특정 Key Vault 설정은 아닙니다. 문제는 backup 지원과 함께 ADE를 사용하도록 설정하기 위해 어떤 vault 설정을 구성해야 하는지 묻고 있으며, encryption의 핵심 의존성은 permission model 자체가 아니라 secrets에 있습니다. 운영 측면에서 권한은 필요하지만, 제시된 선택지 중 최선의 답은 아닙니다. 이런 시험 문제에서 Microsoft는 종종 ADE가 사용하는 object type과 그 object에 도달하기 위한 authorization 메커니즘을 구분합니다.

Secrets는 Azure Disk Encryption이 VM의 BitLocker Encryption Key를 저장하기 위해 사용하는 핵심 Key Vault object입니다. ADE는 사용 설정 과정과 이후 작업 중에 이 encryption material을 Key Vault에서 기록하고 검색합니다. Azure Backup은 encryption 구성이 Key Vault와의 지원되는 secret 기반 통합을 사용할 때 ADE가 사용 설정된 virtual machine을 지원합니다. 문제는 어떤 key vault 설정을 구성해야 하는지 묻고 있으므로, 제공된 선택지 중 Secrets가 가장 적절합니다.

Keys는 Azure Disk Encryption에서 선택 사항이며, BitLocker Encryption Key를 래핑하기 위해 Key Encryption Key를 구현하기로 선택한 경우에만 사용됩니다. KEK를 전혀 구성하지 않아도 ADE는 성공적으로 사용 설정될 수 있습니다. 문제에서 customer-managed key 래핑이 필요하다고 명시하지 않았으므로, Keys는 필수 설정이 아닙니다. 따라서 이 선택지는 너무 구체적이며 Azure Backup과 함께 사용하는 ADE에 보편적으로 요구되지는 않습니다.

Locks는 리소스의 실수로 인한 삭제 또는 수정을 방지하는 Azure resource management 제어입니다. 이는 encryption workflow에 참여하지 않으며 disk encryption material을 저장하거나 검색하는 역할도 없습니다. vault에 lock을 적용해도 VM에서 Azure Disk Encryption을 사용하도록 설정할 수는 없습니다. 또한 Locks는 ADE로 보호된 virtual machine에 대한 Azure Backup 호환성에도 영향을 주지 않습니다.

문제 분석

핵심 개념: Azure Disk Encryption (ADE)은 BitLocker Encryption Key (BEK)를 secret으로 저장하여 Azure Key Vault와 통합됩니다. VM에서 ADE를 사용하도록 설정하고 Azure Backup과의 호환성을 유지하려면, key vault는 encryption extension에서 사용하는 secrets의 저장 및 검색을 지원해야 합니다. 정답인 이유: Azure VM용 ADE는 BEK를 보관하기 위해 Key Vault secrets에 의존합니다. Azure Backup은 encryption material이 지원되는 Key Vault secret 메커니즘을 통해 관리될 때 ADE로 보호된 VM을 지원합니다. 따라서 제시된 설정 중에서 Secrets가 필요한 구성 영역입니다. 주요 특징: ADE는 BEK를 Key Vault에 secret으로 저장하며, 더 고급 시나리오에서는 선택적으로 key encryption key (KEK)를 사용할 수 있습니다. Azure Backup은 encryption 구성이 지원되는 패턴을 따르는 한 ADE가 사용 설정된 VM을 백업할 수 있습니다. 이 목적을 위해 vault에 resource lock은 필요하지 않으며, keys는 필수가 아니라 선택 사항입니다. 흔한 오해: Access policies는 권한 측면에서 중요하지만, 이 선택지 구성에서 묻는 핵심 vault 설정은 아닙니다. Keys는 KEK를 사용하는 경우에만 필요하며, 이는 ADE에서 선택 사항입니다. Locks는 encryption 기능과 관련이 없습니다. 시험 팁: 문제가 ADE가 어떤 Key Vault 구성 요소를 사용하는지 묻는다면, BEK가 secret으로 저장되므로 먼저 Secrets를 떠올리십시오. 반대로 권한이나 authorization을 묻는다면 access policies 또는 RBAC가 초점이 됩니다. ADE가 사용하는 object type과 해당 object에 접근할 수 있게 하는 permission model을 구분하십시오.

19
문제 19

webapp1이라는 Azure web app이 있습니다. Azure Repo를 사용하여 webapp1에 대한 continuous deployment를 구성해야 합니다. 가장 먼저 무엇을 만들어야 합니까?

Azure Application Insights는 web app에 대한 application performance monitoring(APM), logging 및 telemetry를 제공합니다. 관찰 가능성을 위한 모범 사례이며 App Service와 통합할 수 있지만, Azure Repos에서 continuous deployment를 구성하는 데 필수는 아닙니다. 모니터링 리소스 없이도 CI/CD를 활성화할 수 있으므로, 가장 먼저 만들어야 하는 것은 아닙니다.

Azure DevOps organization은 Azure DevOps Services의 선행 조건이 되는 컨테이너입니다. Azure Repos는 Azure DevOps project 내부에 존재하며, project 자체도 organization이 있어야 생성할 수 있습니다. Azure Repo에서 Azure Web App으로 continuous deployment를 구성하려면, 먼저 Azure DevOps organization이 있어야 project/repo를 만들고 이후 pipeline 또는 Deployment Center 통합을 Azure service connection과 함께 구성할 수 있습니다.

Azure Storage account는 build artifacts, diagnostics logs, deployment packages 또는 application data에 사용될 수 있지만, Azure Repos에서 App Service web app으로 continuous deployment를 설정하기 위한 선행 조건은 아닙니다. Azure DevOps는 자체 artifact storage에 artifacts를 저장할 수 있으며, App Service 배포는 기본적으로 고객 관리 Storage account를 요구하지 않습니다.

Azure DevTest Labs는 dev/test 환경(주로 VM 기반)을 생성하고 관리하며, 비용을 제어하고 auto-shutdown 같은 정책을 적용하도록 설계되었습니다. Azure Repos를 호스팅하거나 App Service continuous deployment를 구성하는 데 사용되지 않습니다. Azure Repos를 사용하여 Azure Web App에 CI/CD를 수행하는 경우, DevTest Labs는 관련이 없으며 필요하지 않습니다.

문제 분석

핵심 개념: 이 문제는 Azure Repos를 사용하여 Azure App Service Web App에 대한 continuous deployment(CI/CD)를 구성하는 내용을 테스트합니다. Azure Repos는 Azure DevOps Services의 일부이므로, 기본적인 선행 조건은 프로젝트와 repo를 호스팅할 수 있는 Azure DevOps organization을 보유하는 것입니다. 정답인 이유: Azure Repo에서 Azure Web App으로 continuous deployment를 설정하려면, Web App의 Deployment Center를 연결하거나 pipeline을 설정하여 Azure DevOps project에 있는 repository와 연결해야 합니다. Azure Repo를 만들기 전에 먼저 Azure DevOps organization(Azure DevOps의 최상위 컨테이너)을 만들어야 합니다. organization이 생성된 후 project를 만들고, 그다음 Azure Repo를 만들고, 이후 pipeline(classic release 또는 YAML)을 구성하거나 Deployment Center 통합을 사용하여 webapp1에 배포합니다. 주요 기능 및 모범 사례: 실무에서는 일반적으로 다음과 같이 진행합니다: 1) Azure DevOps organization과 project를 생성합니다. 2) Azure Repo를 생성하거나 가져옵니다. 3) 최소 권한 원칙에 따라 Azure에 대한 service connection(보통 service principal 사용)을 생성합니다(예: resource group 또는 특정 web app 범위로 제한). 4) Azure Key Vault 또는 pipeline secret variables에 안전하게 저장된 secret을 사용하여 build 및 release(YAML pipeline)를 구성합니다. Azure Well-Architected 관점에서 CI/CD는 반복 가능하고 감사 가능한 배포를 가능하게 하고 configuration drift를 줄여 operational excellence와 reliability를 향상시킵니다. AZ-500 관점에서는 governance와 access control도 고려해야 합니다. RBAC를 사용하고, service connection을 생성할 수 있는 사용자를 제한하며, approvals와 branch policies를 활성화해야 합니다. 일반적인 오해: Application Insights는 모니터링용이며 배포의 선행 조건이 아닙니다. Storage account는 일부 패턴에서 artifacts, logs 또는 app content에 사용되지만, Azure Repos 기반 배포를 활성화하는 데 필수는 아닙니다. DevTest Labs는 lab 환경 및 VM 기반 dev/test 시나리오를 관리하기 위한 것이며, App Service CI/CD용이 아닙니다. 시험 팁: 배포 문맥에서 “Azure Repo”를 보면 즉시 “Azure DevOps Services”와 연결해서 생각해야 합니다. 가장 먼저 필요한 것은 Azure DevOps organization입니다(그다음 project/repo/pipeline). 또한 보안 시험 관점도 기억하세요. service connection, 최소 권한, 그리고 pipeline secret 보호는 자주 출제됩니다.

20
문제 20

HOTSPOT - Azure 구독이 있습니다. 구독에는 Windows Server 2016을 실행하는 Azure virtual machine이 포함되어 있습니다. 각 virtual machine에 사용자 지정 antimalware virtual machine extension이 설치되도록 보장하는 정책을 구현해야 합니다. 정책을 어떻게 완성해야 합니까? 답하려면 답안 영역에서 적절한 옵션을 선택하세요. 참고: 각 정답은 1점의 가치가 있습니다. Hot Area:

파트 1:

"effect": "______"

올바른 effect는 DeployIfNotExists입니다. 요구 사항은 모든 VM에 특정 antimalware VM extension이 설치되도록 보장하는 것이기 때문입니다. DeployIfNotExists는 규정 준수를 평가하고, 필요한 관련 리소스/구성(이 경우 VM extension)이 없을 때 포함된 ARM template를 통해 이를 자동으로 배포할 수 있습니다. 이는 VM extension, diagnostic settings 및 기타 “구성되어 있어야 하는” 요구 사항을 적용하는 표준 패턴입니다. 왜 Deny가 아닌가요? Deny는 조건을 충족하지 않는 생성 또는 업데이트 작업만 방지할 뿐이며, extension 없이 이미 배포된 기존 VM을 수정하지 못합니다. 또한 신중하게 범위를 지정하지 않으면 정상적인 VM 작업을 방해할 수도 있습니다. 왜 Append가 아닌가요? Append(및 이를 대체하는 최신 방식인 Modify)는 생성/업데이트되는 리소스에 속성을 추가하거나 변경하는 데 사용되지만, Microsoft.Compute/virtualMachines/extensions와 같은 별도의 child resource를 안정적으로 생성할 수는 없습니다. 따라서 DeployIfNotExists만이 부재를 감지하고 extension을 설치하여 규정 준수 상태에 도달할 수 있는 유일한 옵션입니다.

파트 2:

"parameters": { "______": {

DeployIfNotExists policy에서 policy rule의 details 섹션에는 관련 리소스가 이미 존재하고 규정을 준수하는지 확인하기 위한 existenceCondition이 포함됩니다. VM extension 시나리오에서는 이 조건이 virtual machine에 필요한 antimalware extension이 있는지 확인합니다. Template은 나중에 deployment definition 내부에서 수정 조치를 위해 배포할 내용을 설명하는 데 사용되며, resources는 ARM template 내의 섹션일 뿐 여기서 묻는 policy 필드는 아닙니다.

모의고사

Practice Test #1

50 문제·100분·합격 700/1000

Practice Test #2

50 문제·100분·합격 700/1000

Practice Test #3

50 문제·100분·합격 700/1000

Practice Test #4

50 문제·100분·합격 700/1000

Practice Test #5

50 문제·100분·합격 700/1000

다른 Microsoft 자격증

Microsoft AI-102

Microsoft AI-102

Associate

PL-300: Microsoft Power BI Data Analyst

PL-300: Microsoft Power BI Data Analyst

Microsoft AI-900

Microsoft AI-900

Fundamentals

Microsoft SC-200

Microsoft SC-200

Associate

Microsoft AZ-104

Microsoft AZ-104

Associate

Microsoft AZ-900

Microsoft AZ-900

Fundamentals

Microsoft SC-300

Microsoft SC-300

Associate

Microsoft DP-900

Microsoft DP-900

Fundamentals

Microsoft SC-900

Microsoft SC-900

Fundamentals

Microsoft AZ-305

Microsoft AZ-305

Expert

Microsoft AZ-204

Microsoft AZ-204

Associate

지금 학습 시작하기

Cloud Pass를 다운로드하여 모든 Microsoft AZ-500 기출 문제를 풀어보세요.

Get it on Google PlayDownload on the App Store
Cloud PassCloud Pass

IT 자격증 문제풀이 앱

Get it on Google PlayDownload on the App Store

자격증

AWSGCPMicrosoftCiscoCompTIADatabricks

법률

FAQ개인정보 처리방침서비스 약관

회사

문의하기계정 삭제

© Copyright 2026 Cloud Pass, All rights reserved.

이동 중에도 모든 문제를 풀고 싶으신가요?

앱 받기

Cloud Pass를 다운로드하세요 — 모의고사, 학습 진도 추적 등을 제공합니다.