모든 답안은 3개의 최고 AI 모델로 교차 검증하여 최고의 정확도를 보장합니다. 선택지별 상세 해설과 심층 문제 분석을 제공합니다.
GPT Pro
Claude Opus
Gemini Pro
선택지별 상세 해설
심층 문제 분석
3개 모델 합의 정확도
연습 문제
1
문제 1
HOTSPOT -
Sub1이라는 이름의 Azure subscription이 있습니다.
하나의 subnet을 포함하는 virtual network를 생성합니다. 해당 subnet에 다음 표에 표시된 virtual machine을 프로비저닝합니다.
이름 Network interface Application security group 할당 IP 주소
VM1 NIC1 AppGroup12 10.0.0.10
VM2 NIC2 AppGroup12 10.0.0.11
VM3 NIC3 AppGroup3 10.0.0.100
VM4 NIC4 AppGroup4 10.0.0.200
현재는 어떤 network security group (NSG)도 프로비저닝하지 않았습니다.
다음 요구 사항을 충족하도록 network security를 구현해야 합니다.
✑ VM3에서만 VM4로의 트래픽을 허용합니다.
✑ Internet에서 VM1 및 VM2로의 트래픽만 허용합니다.
✑ NSG 및 network security rule의 수를 최소화합니다.
몇 개의 NSG와 network security rule을 생성해야 합니까? 답하려면 답안 영역에서 적절한 옵션을 선택하세요.
참고: 각 정답 선택에는 1점이 부여됩니다.
Hot Area:
파트 1:
NSG: ______
1개의 NSG를 생성합니다. 모든 VM이 동일한 subnet에 있으므로, subnet에 단일 NSG를 연결하여 해당 subnet의 모든 NIC/VM에 대한 트래픽을 제어할 수 있습니다. 이렇게 하면 NSG 수를 최소화할 수 있으며, 이는 일반적인 시험 패턴입니다: subnet별로 서로 다른 정책이 필요하거나 서로 다른 NIC에 서로 다른 NSG를 적용해야 하는 경우가 아니라면 하나의 subnet-level NSG를 사용합니다. 여기서는 하나의 NSG 내부에서 ASG 기반 규칙으로 요구 사항을 표현할 수 있습니다(Internet 액세스를 위한 AppGroup12 대상 및 VM4 제한을 위한 AppGroup4 대상). 2~4개의 NSG를 생성해도 필요한 규칙 수는 줄어들지 않으며 관리 오버헤드만 증가하므로, “NSG 수를 최소화”해야 한다는 요구 사항을 위반합니다.
파트 2:
네트워크 보안 규칙: ______
단일 NSG에 3개의 보안 규칙(inbound)을 생성합니다.
1) 필요한 포트에서 Internet -> AppGroup12 (VM1 및 VM2) 허용(포트는 지정되지 않았으므로, 개념적으로는 “트래픽”). 이는 다른 VM은 기본 DenyAllInBound에 의해 계속 차단되므로 “Internet에서 VM1 및 VM2로만 트래픽 허용”을 충족합니다.
2) AppGroup3 (VM3) -> AppGroup4 (VM4) 허용. 이렇게 하면 VM3가 VM4에 연결할 수 있습니다.
3) VirtualNetwork -> AppGroup4 거부. 기본 AllowVnetInBound가 그렇지 않으면 VM1/VM2(및 다른 모든 VNet 소스)가 VM4에 연결하도록 허용하기 때문에 이것이 필요합니다. VM3는 계속 허용되고 다른 모든 VNet 소스는 거부되도록 규칙 (2)를 규칙 (3)보다 더 높은 우선순위(더 낮은 숫자)에 배치합니다. 규칙이 2개뿐이면 기본 허용 때문에 VM3를 허용하면서 다른 모든 VNet 소스를 차단하는 것을 동시에 수행할 수 없습니다.
이동 중에도 모든 문제를 풀고 싶으신가요?
Cloud Pass를 무료로 다운로드하세요 — 모의고사, 학습 진도 추적 등을 제공합니다.
Cloud Pass를 다운로드하고 모든 Microsoft AZ-500 학습 문제를 무료로 이용하세요.
이동 중에도 모든 문제를 풀고 싶으신가요?
무료 앱 받기
Cloud Pass를 무료로 다운로드하세요 — 모의고사, 학습 진도 추적 등을 제공합니다.
2
문제 2
회사에는 contoso.com이라는 Azure Active Directory (Azure AD) tenant에 연결된 Sub1이라는 Azure subscription이 있습니다.
회사는 App1이라는 애플리케이션을 개발합니다. App1은 Azure AD에 등록되어 있습니다.
App1이 애플리케이션 사용자 대신 Azure Key Vault의 secret에 액세스할 수 있도록 해야 합니다.
무엇을 구성해야 합니까?
Application permission은 background service나 automation job과 같이 로그인한 사용자가 없는 app-only access를 위한 것입니다. 이는 애플리케이션 사용자 대신 secret에 액세스해야 한다는 요구 사항과 일치하지 않습니다. 왜냐하면 결과 token은 애플리케이션 identity만 나타내기 때문입니다. 또한 application permission은 일반적으로 admin consent가 필요하므로 “admin consent 없음”이라는 부분도 잘못되었습니다. 이 옵션은 permission 유형과 consent 요구 사항 모두에서 틀렸습니다.
Delegated permission은 사용자를 대신하여 동작하는 데 적절한 일반 범주이지만, Azure Key Vault delegated permission은 일반적인 의미에서 사용자가 consent할 수 있는 것이 아닙니다. 이는 admin-restricted permission이며 앱이 이를 사용하려면 tenant에서 administrator 승인이 필요합니다. 따라서 admin consent가 없는 delegated permission이라고 하는 것은 Key Vault에 대해 불완전하며 기술적으로도 올바르지 않습니다. 이 때문에 delegated 모델 자체는 올바르게 식별했더라도 현재 답변은 틀렸습니다.
Delegated permission은 App1이 독립 실행형 daemon으로서가 아니라 로그인한 사용자의 컨텍스트에서 Azure Key Vault에 액세스해야 하므로 올바른 permission 유형입니다. “애플리케이션 사용자 대신”이라는 표현은 token이 사용자와 애플리케이션을 모두 나타내는 user-delegated access 모델을 직접적으로 의미합니다. Azure Key Vault의 경우 이러한 delegated permission은 admin-restricted이므로 사용자가 이 방식으로 앱을 사용하기 전에 tenant administrator consent가 필요합니다. 따라서 사용자 컨텍스트 요구 사항과 Key Vault의 consent 모델을 모두 충족하는 유일한 옵션은 admin consent가 필요한 delegated permission입니다.
Admin consent가 필요한 application permission은 앱이 로그인한 사용자 컨텍스트 없이 자기 자신으로 리소스에 액세스할 때 사용됩니다. 이는 daemon app, scheduled task 또는 service principal에는 적절하지만 사용자 중심 시나리오에는 적절하지 않습니다. 문제에서 명시적으로 “애플리케이션 사용자 대신”이라고 했으므로 앱은 app-only permission을 사용하면 안 됩니다. Application permission에 admin consent가 일반적으로 필요하더라도 여기서는 permission 유형 자체가 잘못되었습니다.
문제 분석
핵심 개념:
이 문제는 Microsoft Entra ID (Azure AD)에서 delegated permission과 application permission의 차이, 그리고 Azure Key Vault 액세스에 admin consent가 언제 필요한지를 테스트합니다. “애플리케이션 사용자 대신”이라는 문구는 로그인한 사용자가 존재하고 앱이 해당 사용자의 컨텍스트에서 동작해야 하므로 앱이 delegated permission을 사용해야 함을 의미합니다.
정답인 이유:
Azure Key Vault는 사용자 기반 시나리오에 대해 delegated access를 지원하지만, 이러한 delegated permission은 admin-restricted이며 administrator consent가 필요합니다. 따라서 올바른 구성은 admin consent가 필요한 delegated permission입니다. 이렇게 하면 App1이 Key Vault에 액세스할 때 사용자와 애플리케이션을 모두 나타내는 token을 요청할 수 있습니다.
주요 특징:
- Delegated permission은 사용자가 로그인한 상태에서 앱이 해당 사용자를 대신하여 동작할 때 사용됩니다.
- Application permission은 사용자가 없는 daemon 또는 service-to-service 시나리오에서 사용됩니다.
- Azure Key Vault delegated permission은 Entra ID에서 admin consent가 필요합니다.
- secret에 대한 액세스는 여전히 access policy 또는 Azure RBAC를 통해 Key Vault에서 권한 부여되어야 합니다.
일반적인 오해:
- “사용자 대신”은 사용자가 항상 self-consent할 수 있다는 뜻이 아닙니다. 일부 delegated permission은 admin-restricted입니다.
- 요구 사항에 사용자 컨텍스트가 명시적으로 포함된 경우 application permission은 적절하지 않습니다.
- Azure AD consent만으로는 secret 액세스 권한이 부여되지 않으며, Key Vault authorization도 구성해야 합니다.
시험 팁:
- 문제에 “사용자 대신”이라고 나오면 먼저 delegated permission을 떠올리십시오.
- 그런 다음 대상 API의 delegated permission이 admin-restricted인지 확인하십시오.
- Azure Key Vault의 경우 delegated permission에는 admin consent가 필요하므로 app-only permission이 아니라 admin consent가 있는 delegated permission을 선택해야 합니다.
3
문제 3
VM1이라는 virtual machine이 포함된 Azure subscription이 있습니다.
다음 구성이 있는 Azure key vault를 만듭니다.
✑ Name: Vault5
✑ Region: West US
✑ Resource group: RG1
Vault5를 사용하여 VM1에서 Azure Disk Encryption을 사용하도록 설정해야 합니다. 이 솔루션은 Azure Backup을 사용하여 VM1을 백업하는 것을 지원해야 합니다.
어떤 key vault 설정을 구성해야 합니까?
Access policies는 누가 Key Vault object에 접근할 수 있는지를 제어하지만, ADE가 VM encryption material을 저장하기 위해 근본적으로 사용하는 특정 Key Vault 설정은 아닙니다. 문제는 backup 지원과 함께 ADE를 사용하도록 설정하기 위해 어떤 vault 설정을 구성해야 하는지 묻고 있으며, encryption의 핵심 의존성은 permission model 자체가 아니라 secrets에 있습니다. 운영 측면에서 권한은 필요하지만, 제시된 선택지 중 최선의 답은 아닙니다. 이런 시험 문제에서 Microsoft는 종종 ADE가 사용하는 object type과 그 object에 도달하기 위한 authorization 메커니즘을 구분합니다.
Secrets는 Azure Disk Encryption이 VM의 BitLocker Encryption Key를 저장하기 위해 사용하는 핵심 Key Vault object입니다. ADE는 사용 설정 과정과 이후 작업 중에 이 encryption material을 Key Vault에서 기록하고 검색합니다. Azure Backup은 encryption 구성이 Key Vault와의 지원되는 secret 기반 통합을 사용할 때 ADE가 사용 설정된 virtual machine을 지원합니다. 문제는 어떤 key vault 설정을 구성해야 하는지 묻고 있으므로, 제공된 선택지 중 Secrets가 가장 적절합니다.
Keys는 Azure Disk Encryption에서 선택 사항이며, BitLocker Encryption Key를 래핑하기 위해 Key Encryption Key를 구현하기로 선택한 경우에만 사용됩니다. KEK를 전혀 구성하지 않아도 ADE는 성공적으로 사용 설정될 수 있습니다. 문제에서 customer-managed key 래핑이 필요하다고 명시하지 않았으므로, Keys는 필수 설정이 아닙니다. 따라서 이 선택지는 너무 구체적이며 Azure Backup과 함께 사용하는 ADE에 보편적으로 요구되지는 않습니다.
Locks는 리소스의 실수로 인한 삭제 또는 수정을 방지하는 Azure resource management 제어입니다. 이는 encryption workflow에 참여하지 않으며 disk encryption material을 저장하거나 검색하는 역할도 없습니다. vault에 lock을 적용해도 VM에서 Azure Disk Encryption을 사용하도록 설정할 수는 없습니다. 또한 Locks는 ADE로 보호된 virtual machine에 대한 Azure Backup 호환성에도 영향을 주지 않습니다.
문제 분석
핵심 개념: Azure Disk Encryption (ADE)은 BitLocker Encryption Key (BEK)를 secret으로 저장하여 Azure Key Vault와 통합됩니다. VM에서 ADE를 사용하도록 설정하고 Azure Backup과의 호환성을 유지하려면, key vault는 encryption extension에서 사용하는 secrets의 저장 및 검색을 지원해야 합니다.
정답인 이유: Azure VM용 ADE는 BEK를 보관하기 위해 Key Vault secrets에 의존합니다. Azure Backup은 encryption material이 지원되는 Key Vault secret 메커니즘을 통해 관리될 때 ADE로 보호된 VM을 지원합니다. 따라서 제시된 설정 중에서 Secrets가 필요한 구성 영역입니다.
주요 특징: ADE는 BEK를 Key Vault에 secret으로 저장하며, 더 고급 시나리오에서는 선택적으로 key encryption key (KEK)를 사용할 수 있습니다. Azure Backup은 encryption 구성이 지원되는 패턴을 따르는 한 ADE가 사용 설정된 VM을 백업할 수 있습니다. 이 목적을 위해 vault에 resource lock은 필요하지 않으며, keys는 필수가 아니라 선택 사항입니다.
흔한 오해: Access policies는 권한 측면에서 중요하지만, 이 선택지 구성에서 묻는 핵심 vault 설정은 아닙니다. Keys는 KEK를 사용하는 경우에만 필요하며, 이는 ADE에서 선택 사항입니다. Locks는 encryption 기능과 관련이 없습니다.
시험 팁: 문제가 ADE가 어떤 Key Vault 구성 요소를 사용하는지 묻는다면, BEK가 secret으로 저장되므로 먼저 Secrets를 떠올리십시오. 반대로 권한이나 authorization을 묻는다면 access policies 또는 RBAC가 초점이 됩니다. ADE가 사용하는 object type과 해당 object에 접근할 수 있게 하는 permission model을 구분하십시오.
4
문제 4
HOTSPOT -
Azure 구독이 있습니다. 구독에는 Windows Server 2016을 실행하는 Azure virtual machine이 포함되어 있습니다.
각 virtual machine에 사용자 지정 antimalware virtual machine extension이 설치되도록 보장하는 정책을 구현해야 합니다.
정책을 어떻게 완성해야 합니까? 답하려면 답안 영역에서 적절한 옵션을 선택하세요.
참고: 각 정답은 1점의 가치가 있습니다.
Hot Area:
파트 1:
"effect": "______"
올바른 effect는 DeployIfNotExists입니다. 요구 사항은 모든 VM에 특정 antimalware VM extension이 설치되도록 보장하는 것이기 때문입니다. DeployIfNotExists는 규정 준수를 평가하고, 필요한 관련 리소스/구성(이 경우 VM extension)이 없을 때 포함된 ARM template를 통해 이를 자동으로 배포할 수 있습니다. 이는 VM extension, diagnostic settings 및 기타 “구성되어 있어야 하는” 요구 사항을 적용하는 표준 패턴입니다.
왜 Deny가 아닌가요? Deny는 조건을 충족하지 않는 생성 또는 업데이트 작업만 방지할 뿐이며, extension 없이 이미 배포된 기존 VM을 수정하지 못합니다. 또한 신중하게 범위를 지정하지 않으면 정상적인 VM 작업을 방해할 수도 있습니다. 왜 Append가 아닌가요? Append(및 이를 대체하는 최신 방식인 Modify)는 생성/업데이트되는 리소스에 속성을 추가하거나 변경하는 데 사용되지만, Microsoft.Compute/virtualMachines/extensions와 같은 별도의 child resource를 안정적으로 생성할 수는 없습니다. 따라서 DeployIfNotExists만이 부재를 감지하고 extension을 설치하여 규정 준수 상태에 도달할 수 있는 유일한 옵션입니다.
파트 2:
"parameters": { "______": {
DeployIfNotExists policy에서 policy rule의 details 섹션에는 관련 리소스가 이미 존재하고 규정을 준수하는지 확인하기 위한 existenceCondition이 포함됩니다. VM extension 시나리오에서는 이 조건이 virtual machine에 필요한 antimalware extension이 있는지 확인합니다. Template은 나중에 deployment definition 내부에서 수정 조치를 위해 배포할 내용을 설명하는 데 사용되며, resources는 ARM template 내의 섹션일 뿐 여기서 묻는 policy 필드는 아닙니다.
5
문제 5
HOTSPOT -
Sub2의 virtual machines 간 네트워크 통신에 대한 application security groups의 영향을 평가하고 있습니다.
다음 각 문장에 대해, 문장이 참이면 Yes를 선택하십시오. 그렇지 않으면 No를 선택하십시오.
참고: 각 정답 선택은 1점의 가치가 있습니다.
Hot Area:
파트 1:
VM1에서 VM4의 private IP address로 ping을 성공적으로 보낼 수 있습니다.
아니요. Ping은 ICMP를 사용하며, NSG 규칙은 명시적인 allow와 일치하는 트래픽만 허용합니다(또는 더 높은 우선순위의 deny/limit가 없으면 기본 “AllowVNetInBound”). 일반적인 ASG 기반 web tier 설계에서는 VM4(또는 해당 subnet)의 custom inbound rule이 특정 source ASG(예: “App” ASG의 VM1/VM2)에서 VM4가 포함된 destination ASG(“Web”)로의 TCP/80(그리고 경우에 따라 TCP/443)을 허용합니다. inbound 규칙이 TCP 80/443으로 제한되어 있으면 ICMP는 포함되지 않으므로, VM1은 VM4로 ping을 성공적으로 보낼 수 없습니다. 또한 web port를 제외한 intra-VNet 트래픽에 대해 더 높은 우선순위의 deny rule이 있다면, 해당 deny가 기본 AllowVNetInBound를 재정의합니다. 따라서 VM1이 web service에 도달하도록 허용될 수 있더라도, ICMP echo request는 차단되며 ping은 실패합니다.
파트 2:
VM2에서 VM4의 private IP address로 ping을 성공적으로 보낼 수 있습니다.
아니요. sub-question 0와 동일한 이유가 적용됩니다: ICMP는 TCP/UDP가 아니며, NSG 규칙이 web server ASG에 web traffic만 허용하도록 작성된 경우 일반적으로 허용되지 않습니다. VM2가 VM4와 동일한 subnet/VNet에 있더라도, VM4의 ASG에 대해 TCP 80(및/또는 443)만 허용하는 custom inbound rule set은 ICMP와 일치하지 않으므로, 해당 트래픽은 deny로 처리됩니다(명시적인 deny rule이 있거나, allow rules 평가 후 기본 DenyAllInBound가 적용됨). 시험 팁: '같은 VNet이면 ping이 된다'고 가정하지 마세요. NSG는 ICMP를 차단할 수 있으며, ASG 기반 segmentation은 lateral movement 위험을 줄이기 위해 필요하지 않은 protocol을 의도적으로 차단하는 경우가 많습니다.
파트 3:
VM1에서 VM4의 web server에 연결할 수 있습니다.
예. VM4의 web server에 연결한다는 것은 VM1에서 VM4로의 TCP port 80 (HTTP)이 허용된다는 의미입니다. ASG를 사용하는 경우, 이는 일반적으로 VM4의 NIC/subnet에 대한 inbound NSG rule로 구현되며, Source = VM1을 포함하는 ASG(예: “AppServers” 또는 “Mgmt”), Destination = VM4를 포함하는 ASG(“WebServers”), Service = TCP/80, Action = Allow로 설정되고, deny rules보다 높은 priority를 가집니다. NSG 처리는 흐름을 허용하려면 VM1의 outbound와 VM4의 inbound가 모두 허용되어야 하지만, outbound는 명시적으로 deny되지 않는 한 일반적으로 기본적으로 허용됩니다(AllowVNetOutBound). 따라서 결정적인 제어는 VM4에 대한 TCP/80 inbound allow입니다. 그러므로 ping (ICMP)이 차단되어 있더라도 VM1은 HTTP connection을 설정할 수 있습니다.
6
문제 6
HOTSPOT -
다음 표와 같이 Azure Information Protection labels가 있습니다.
다음 표와 같이 Azure Information Protection policies가 있습니다.
Name
Applies to
Use label
Set the default label
Global
해당 없음
None
None
Policy1
User1
Label1
None
Policy2
User1
Label2
None
Azure Information Protection가 파일에 어떻게 label을 지정할지 식별해야 합니다.
무엇을 식별해야 합니까? 답하려면, 답안 영역에서 적절한 옵션을 선택하세요.
참고: 각 정답 선택에는 1점이 주어집니다.
Hot Area:
파트 1:
User1이 “Black and White” 텍스트를 포함하는 Microsoft Word 파일을 생성하면, 해당 파일에는 다음이 할당됩니다: ______
User1은 Policy1과 Policy2를 모두 받으므로, Label1과 Label2 모두 평가에 사용할 수 있습니다. Word 문서 텍스트 "Black and White"에서 Label1은 대/소문자 구분이 켜진 상태로 "White"를 찾기 때문에 일치하며, 해당 대/소문자가 정확히 존재합니다. Label2도 대/소문자 구분이 꺼진 상태로 "Black"을 찾기 때문에 일치하므로, "Black"도 감지됩니다. 따라서 이 hotspot의 올바른 식별은 Label1 및 Label2이며, 다른 옵션은 두 조건이 모두 충족되므로 올바르지 않고, "레이블 없음"은 지원되는 Office 파일 형식에 대해 명백히 틀립니다.
파트 2:
User1이 “Black or white” 텍스트가 포함된 Microsoft Notepad 파일을 생성하면, 해당 파일에는 다음이 할당됩니다: ______
이 파일은 Microsoft Notepad에서 생성되며, 일반 텍스트(.txt) 파일을 생성합니다. 콘텐츠 검사를 기반으로 하는 AIP 자동 레이블 지정은 주로 지원되는 Office 파일 형식(Word, Excel, PowerPoint) 및 일부 기타 지원 형식에 대해 설계되었습니다. Notepad로 생성된 일반 텍스트 파일은 동일한 방식으로 콘텐츠를 스캔하여 자동으로 레이블이 지정되지 않습니다.
텍스트 “Black or white”에 두 대상 단어가 모두 포함되어 있더라도, 이 Notepad 파일 형식에서는 자동 레이블 지정이 트리거되지 않습니다. 또한 콘텐츠가 평가된다고 하더라도, Label1은 “White”(대문자 W)에 대해 대소문자를 구분하는 일치를 요구합니다. 텍스트에는 소문자 “white”가 포함되어 있으므로 Label1은 일치하지 않습니다. Label2는 대소문자를 구분하지 않으므로 “Black”과 일치하지만, 핵심적인 문제는 Notepad 파일에는 콘텐츠 조건을 통한 자동 레이블 지정이 적용되지 않는다는 점입니다.
따라서 해당 파일에는 어떤 레이블도 할당되지 않습니다.
다른 선택지가 틀린 이유: Label1만은 대소문자 구분(“white” != “White”) 및 파일 형식 때문에 틀렸습니다. Label2만은 Notepad 파일에는 자동 레이블 지정이 적용되지 않기 때문에 틀렸습니다. Label1 및 Label2도 한 번에 하나의 레이블만 적용할 수 있고 자동 레이블 지정도 발생하지 않으므로 불가능합니다.
7
문제 7
참고: 이 문제는 동일한 시나리오를 제시하는 일련의 문제 중 일부입니다. 시리즈의 각 문제에는 제시된 목표를 충족할 수 있는 고유한 솔루션이 포함되어 있습니다. 일부 문제 세트에는 둘 이상의 올바른 솔루션이 있을 수 있지만, 다른 문제 세트에는 올바른 솔루션이 없을 수도 있습니다.
이 섹션의 문제에 답한 후에는 해당 문제로 돌아갈 수 없습니다. 따라서 이러한 문제는 검토 화면에 표시되지 않습니다.
Azure Active Directory (Azure AD)의 hybrid 구성이 있습니다.
virtual network에 Azure HDInsight cluster가 있습니다.
사용자가 on-premises Active Directory 자격 증명을 사용하여 cluster에 인증할 수 있도록 허용할 계획입니다.
계획된 인증을 지원하도록 환경을 구성해야 합니다.
솔루션: Azure AD Application Proxy를 배포합니다.
이것이 목표를 충족합니까?
예는 오답입니다. Azure AD Application Proxy를 배포해도 HDInsight cluster가 필요한 방식으로 on-premises Active Directory에 대해 인증할 수 있게 되지 않기 때문입니다. cluster에는 web application용 reverse proxy가 아니라 domain services에 대한 액세스가 필요합니다. 이 선택지는 application 게시와 Azure-hosted workload에 대한 AD DS 기반 identity service 제공을 혼동하는 일반적인 사례를 반영합니다.
아니요가 정답인 이유는 Azure AD Application Proxy가 HDInsight가 on-premises Active Directory 자격 증명으로 사용자를 인증하는 데 필요한 domain services를 제공하지 않기 때문입니다. Application Proxy는 Azure AD 사전 인증 또는 pass-through 액세스를 통해 on-premises web application을 노출하는 데 사용되지만, LDAP, Kerberos 또는 domain-join 기능은 제공하지 않습니다. hybrid 설정의 HDInsight에는 일반적으로 cluster가 기존 directory 기반 인증을 사용할 수 있도록 virtual network에서 Azure AD DS 또는 이에 상응하는 AD DS 가용성이 필요합니다.
문제 분석
핵심 개념:
이 문제는 hybrid identity 시나리오에서 Azure HDInsight에 대해 enterprise security package (ESP) 또는 domain 기반 인증을 활성화하는 방법을 테스트합니다. HDInsight 사용자가 on-premises Active Directory 자격 증명으로 인증하려면, 일반적으로 on-premises AD에서 동기화된 Azure AD DS 또는 VNet에서 연결 가능한 domain controller를 통해 cluster에서 사용할 수 있는 Active Directory Domain Services와 같은 directory services가 필요합니다.
정답인 이유:
제안된 솔루션은 목표를 충족하지 않습니다. Azure AD Application Proxy는 Azure AD를 통해 원격 액세스를 위해 on-premises web application을 게시하도록 설계되었습니다. 이는 HDInsight cluster 인증에 필요한 LDAP, Kerberos, domain join 또는 managed domain services를 제공하지 않습니다. 이 시나리오를 지원하려면 일반적으로 hybrid Azure AD 환경과 통합된 Azure AD DS를 구성하고 HDInsight를 해당 managed domain에 조인해야 합니다.
주요 기능 / 모범 사례:
- HDInsight의 domain 기반 인증은 단순한 Azure AD application 액세스가 아니라 domain services에 의존합니다.
- Azure AD DS는 virtual network의 workload에 대해 Azure에서 managed Kerberos/LDAP/domain join 기능을 제공할 수 있습니다.
- hybrid identity 시나리오에서는 on-premises AD의 identity를 Azure AD로 동기화한 다음, 기존 AD 기능이 필요한 Azure-hosted service에 대해 Azure AD DS를 활성화합니다.
- HDInsight를 domain services와 통합할 때 network connectivity, DNS 구성 및 적절한 OU/service account 설정을 보장합니다.
일반적인 오해:
- Azure AD Application Proxy를 범용 hybrid identity 브리지로 혼동하는 것. 이것은 web app만 게시하며 Azure workload에 AD DS protocol을 확장하지 않습니다.
- Kerberos 또는 LDAP와 같은 기존 domain 기능이 필요한 service에 Azure AD만으로 충분하다고 가정하는 것.
- Azure AD 관련 service라면 어떤 것이든 infrastructure workload에 대해 on-prem 자격 증명 인증을 활성화할 수 있다고 믿는 것.
시험 팁:
문제에서 VNet 내부의 Azure service에 대해 on-premises Active Directory 자격 증명 사용을 언급하면, domain join, LDAP, Kerberos 또는 Azure AD DS와 같은 AD DS 요구 사항을 떠올리십시오. 선택지에 Application Proxy가 언급되면, 이것은 web application 게시용이지 VM 또는 cluster에 domain services를 제공하는 용도가 아니라는 점을 기억하십시오.
8
문제 8
Azure Sentinel을 온보딩합니다. Azure Sentinel을 Azure Security Center에 연결합니다.
Azure Sentinel에서 인시던트의 완화를 자동화해야 합니다. 솔루션은 관리 작업을 최소화해야 합니다.
무엇을 생성해야 합니까?
Microsoft Sentinel의 alert rule(analytics rule)은 주로 탐지를 위한 것입니다. 데이터를 쿼리하고, alert를 생성하며, incident를 생성할 수 있습니다. 자동화를 간접적으로 트리거할 수는 있지만, rule 자체가 완화 단계를 구현하지는 않습니다. 요구 사항이 대응/완화 작업 자동화라면, 일반적으로 automation rule을 통해 실행되는 playbook(Logic App)이 여전히 필요합니다.
Playbook은 Azure Logic Apps를 기반으로 하는 기본 Microsoft Sentinel 자동화 메커니즘입니다. Sentinel 인시던트/alert에 의해 트리거될 수 있으며 완화 작업(사용자 비활성화, Defender를 통한 디바이스 격리, IP 차단, 티켓 생성, 팀 알림)을 실행할 수 있습니다. 많은 기본 제공 커넥터를 갖춘 low-code 방식이므로, 사용자 지정 코드나 별도의 자동화 도구를 구축하고 유지 관리하는 것보다 관리 작업을 최소화할 수 있습니다.
Function App은 사용자 지정 코드를 통해 완화를 자동화할 수 있지만 관리 작업이 증가합니다. 코드와 통합(API, authentication, retries, error handling)을 작성하고, 보안 설정하고, 배포하고, 모니터링하고, 유지 관리해야 합니다. Sentinel에서 Function Apps는 기본 제공되는 주요 인시던트 대응 자동화 방식이 아니며, Logic Apps 커넥터로는 부족한 특수한 사용자 지정 처리가 필요할 때 더 적합합니다.
runbook(Azure Automation)은 운영 작업과 수정 작업을 자동화할 수 있지만, Sentinel 인시던트 자동화를 위한 기본적이고 가장 간소화된 방법은 아닙니다. runbook을 Sentinel과 통합하려면 일반적으로 추가 연결(webhooks/Logic Apps)과 더 많은 운영 오버헤드(modules, hybrid workers, credential management)가 필요합니다. 작업을 최소화하고 Sentinel 기본 자동화를 사용하려면 playbook이 더 적합합니다.
문제 분석
핵심 개념:
이 문제는 Microsoft Sentinel(이전의 Azure Sentinel) 인시던트 대응 자동화를 테스트합니다. Sentinel에서 자동화는 Playbook을 통해 구현되며, 이는 Sentinel 인시던트 또는 alert에 의해 트리거되는 Azure Logic Apps 워크플로입니다. Sentinel이 Microsoft Defender for Cloud(이전의 Azure Security Center)와 연결되면, Defender alert가 Sentinel 인시던트를 생성할 수 있고, playbook이 위협을 자동으로 수정하거나 격리할 수 있습니다.
정답인 이유:
관리 작업을 최소화하면서 인시던트 완화를 자동화하려면 Playbook을 생성해야 합니다. Playbook은 Sentinel 커넥터와 보안 커넥터(Microsoft Defender, Microsoft Entra ID, Microsoft 365, ServiceNow, Teams 등)가 기본 제공되는 low-code/no-code 오케스트레이션을 제공합니다. Playbook을 Automation rules에 연결하면 인시던트가 생성/업데이트될 때 또는 alert가 발생할 때 자동으로 실행되도록 할 수 있습니다. 이를 통해 수동 분류 및 대응 단계를 줄이고 대응 작업을 중앙 집중화할 수 있습니다.
주요 기능 / 구성:
- Playbook은 “Microsoft Sentinel” 트리거(incident 또는 alert)와 인시던트 업데이트, 댓글 추가, 심각도 변경 또는 격리 작업 실행을 위한 작업으로 구성된 Logic Apps입니다.
- Automation rules를 사용하여 조건(심각도, tactics, analytics rule 이름, entity type)에 따라 playbook을 자동 실행할 수 있으며, 이는 Azure Well-Architected Framework의 운영 우수성(반복 가능한 운영) 및 보안(일관된 대응)에 부합합니다.
- Managed identity 및 least privilege: blast radius를 줄이기 위해 playbook identity에 필요한 권한만 부여합니다(예: Sentinel Responder/Contributor, Defender 작업, Entra ID 역할).
일반적인 오해:
Alert rules(analytics rules)는 탐지하고 alert/incident를 생성하지만, 자체적으로 완화 작업을 수행하지는 않습니다. Runbook(Azure Automation)과 Function Apps도 작업을 자동화할 수 있지만, Logic Apps playbook의 기본 Sentinel 트리거 및 커넥터보다 더 많은 사용자 지정 개발/통합이 필요하고 일반적으로 운영 오버헤드도 더 큽니다.
시험 팁:
Sentinel 자동화 문제에서는 다음을 기억하세요: Detection = Analytics/Alert rules; Response automation = Playbooks(Logic Apps), 일반적으로 Automation rules를 통해 호출됩니다. 문제에서 “관리 작업 최소화”를 강조하면, 사용자 지정 코드(functions)나 별도의 자동화 플랫폼(runbooks)보다 기본 제공되는 low-code Sentinel 자동화(playbooks)를 우선 선택하세요.
9
문제 9
HOTSPOT -
Sub2의 virtual machines 간 네트워크 통신의 보안을 평가하고 있습니다.
다음 각 문장에 대해, 문장이 참이면 Yes를 선택하십시오. 그렇지 않으면 No를 선택하십시오.
참고: 각 정답 선택은 1점의 가치가 있습니다.
Hot Area:
파트 1:
VM1에서 VM2의 public IP address로 ping을 성공적으로 보낼 수 있습니다.
아니요. 다른 VM에서 VM의 public IP로 ping하는 것은 Internet-facing endpoint로 향하는 트래픽으로 처리됩니다. ping이 성공하려면 대상 VM(VM2)에 source(또는 경로에 따라 Internet/AzureLoadBalancer)로부터의 ICMP를 허용하는 inbound rule이 있어야 합니다. 대부분의 보안 구성에서는(그리고 AZ-500 문제에서 흔히 그렇듯이) NSG에 ICMP inbound를 허용하는 rule이 포함되어 있지 않으므로, 기본 NSG 동작(implicit deny)에 의해 차단됩니다. VM1이 outbound ICMP를 보낼 수 있더라도, inbound 경로가 명시적으로 허용되지 않으면 return traffic은 허용되지 않습니다. 또한 많은 enterprise 설계에서는 outbound를 firewall/NVA를 통해 강제하고 public endpoint에 대한 ICMP를 거부합니다. 따라서 VM1은 VM2의 public IP를 성공적으로 ping할 수 없습니다.
“예”가 틀린 이유: public IP는 기본적으로 도달 가능하다고 가정하기 때문입니다. Azure에서는 NSG rule이 이를 명시적으로 허용하지 않는 한 public IP를 통한 VM으로의 inbound는 열려 있지 않습니다.
파트 2:
VM1에서 VM3의 private IP address로 ping을 성공적으로 보낼 수 있습니다.
예. VM1에서 VM3의 private IP로 ping하는 것은 private east-west traffic입니다. VM1과 VM3가 동일한 VNet에 있거나(또는 traffic을 허용하는 peering이 구성된 VNet들에 있는 경우), Azure system route가 자동으로 connectivity를 제공합니다. 많은 AZ-500 시나리오에서 subnet/VNet 내부의 private VM-to-VM traffic은 NSG가 이를 명시적으로 deny하지 않는 한 허용됩니다. NSG는 stateful이므로, VM1에서 VM3로의 outbound ICMP가 허용되면 return traffic도 자동으로 허용됩니다.
“아니요”가 특정 경우에만 정답이 되는 이유: ICMP를 deny하는 NSG rule(또는 모든 intra-VNet traffic을 deny하는 rule)이 있거나, traffic을 ICMP를 차단하는 firewall/NVA를 통해 강제로 전달하는 UDR이 있거나, private routing relationship이 없는 경우(예: peering/VPN/ER 없이 서로 다른 VNet). 이러한 명시적인 차단이 없다면 private IP ping은 성공합니다.
파트 3:
VM1에서 VM5의 private IP address로 ping을 성공적으로 보낼 수 있습니다.
아니요. 이러한 문제에서 VM5의 private IP는 일반적으로 routing은 존재하지만 security control이 east-west traffic을 차단하는 다른 network segment를 나타내는 데 사용됩니다(예: NSG deny rule로 보호되는 다른 subnet, 또는 ICMP를 허용하지 않는 application/network rule set이 있는 Azure Firewall을 통해 강제로 전달되는 traffic). VNet이 peered되어 있더라도, 어느 subnet/NIC의 NSG든 traffic을 deny할 수 있으며, UDR은 traffic을 이를 차단하는 firewall/NVA로 유도할 수 있습니다. ping은 ICMP를 사용하므로, hardened environment에서는 명시적으로 허용되지 않는 경우가 많습니다.
“예”가 틀린 이유: private IP에 도달 가능하다는 것이 permission을 의미한다고 가정하기 때문입니다. Azure에서는 reachability(routes)와 permission(NSG/Firewall policy)은 별개입니다. private connectivity는 여전히 NSG rule 또는 centralized inspection/segmentation control에 의해 deny될 수 있습니다.
10
문제 10
단일 network security group (NSG)이 있는 단일 subnet에 10개의 virtual machine이 있습니다.
네트워크 트래픽을 Azure Storage account에 기록해야 합니다.
어떻게 해야 합니까?
Network Performance Monitor (NPM)는 네트워크 성능, 지연 시간, 연결성(종종 agent 사용) 모니터링 및 네트워크 경로 시각화를 목적으로 하는 이전 Log Analytics 솔루션입니다. Azure Storage account에 NSG에 의해 평가된 트래픽 flow를 기록하는 주요 기능이 아닙니다. AZ-500에서는 성능 모니터링과 보안 flow logging을 구분해야 하며, NPM은 명시적인 Storage 기반 NSG 트래픽 로깅 요구 사항을 충족하지 않습니다.
Log Analytics workspace는 Azure Monitor logs용 데이터 저장소이며 KQL 쿼리, 경고 및 workbook을 지원합니다. 그러나 workspace만 생성한다고 해서 NSG 트래픽이 캡처되지는 않습니다. 여전히 NSG flow logs(및 선택적으로 Traffic Analytics)를 사용하도록 설정하여 데이터를 Log Analytics로 보내야 합니다. 또한 요구 사항은 구체적으로 Azure Storage account에 트래픽을 기록하는 것이므로, workspace는 기본 조치로서 충분하지도 필요하지도 않습니다.
NSG에 대해 diagnostic logging을 사용하도록 설정하는 것은 flow logging과 혼동될 수 있지만, diagnostic settings는 일반적으로 자세한 per-flow 네트워크 트래픽 결정이 아니라 control-plane/resource logs 및 metrics를 대상으로 합니다. 시험에서는 allowed/denied flows를 기록하기 위해 NSG flow logs를 기대합니다. Storage에 실제 traffic flow record를 기록해야 한다면, diagnostic logging은 NSG flow logs에 비해 올바른 메커니즘이 아닙니다.
NSG flow logs(Azure Network Watcher를 통해)는 NSG를 통과하는 IP 트래픽에 대한 정보를 기록하며, 여기에는 트래픽이 허용되었는지 또는 거부되었는지, 5-tuple 세부 정보 및 timestamps가 포함됩니다. Flow logs는 설계상 Azure Storage account에 저장되며(선택적으로 Traffic Analytics/Log Analytics로 분석 가능), 10개의 VM을 보호하는 하나의 subnet과 하나의 NSG가 있는 이 시나리오에서 해당 NSG에 flow logs를 사용하도록 설정하면 요구 사항을 직접 충족합니다.
문제 분석
핵심 개념:
이 문제는 subnet/NSG 계층에서의 Azure 네트워크 트래픽 로깅을 테스트합니다. Azure에서 Network Security Groups (NSG)는 L3/L4 allow/deny 규칙을 적용합니다. NSG와 연결된 리소스에 대해 실제 IP 트래픽 결정(accepted/denied flows)을 기록하려면 NSG flow logs(Azure Network Watcher의 기능)를 사용합니다. Flow logs는 Azure Storage account에 기록되며(선택적으로 Log Analytics/Traffic Analytics로 전송 가능) 이 요구 사항을 충족합니다.
정답이 맞는 이유:
10개의 VM이 모두 단일 NSG로 보호되는 단일 subnet에 있으므로, 해당 NSG에서 NSG flow logs를 사용하도록 설정하면 NSG 규칙에 의해 평가되는 트래픽에 대한 network flow record를 캡처할 수 있습니다. NSG flow logs는 네트워크 트래픽 메타데이터(5-tuple, direction, decision, timestamps, counters)를 기록하고 이를 Azure Storage account에 저장하도록 특별히 설계되었으므로, 요구 사항을 직접 충족합니다.
주요 기능 / 구성 참고 사항:
- 필수 조건: 해당 region에서 Network Watcher가 사용하도록 설정되어 있어야 하며, 기존 Storage account가 있어야 합니다(비용/성능 측면에서 동일 region인 경우가 많음).
- 범위: flow logs는 NSG별로 사용하도록 설정하며, 해당 NSG와 연결된 NIC/subnet을 포함합니다.
- 버전: Flow log version 2는 더 풍부한 필드와 더 나은 analytics 호환성을 제공합니다.
- 보존/비용: Storage 비용이 발생하므로 보존 및 lifecycle management를 구성해야 합니다. 쿼리를 위해 Log Analytics로 보내는 것도 고려할 수 있지만, 이 문제에서 요구되는 대상은 Storage입니다.
- Well-Architected 정렬: Security(가시성/감사), Operational Excellence(모니터링), Cost Optimization(보존 제어)을 지원합니다.
일반적인 오해:
- “NSG에 대한 diagnostic logging”은 맞는 것처럼 들릴 수 있지만, NSG diagnostic logs는 flow logs와 동일하지 않으며 역사적으로 Storage에 대한 네트워크 트래픽 로깅에 필요한 per-flow traffic record를 제공하지 않습니다.
- Log Analytics workspace를 생성하는 것은 쿼리 및 경고에 유용하지만, 그 자체로 NSG 트래픽을 캡처하지는 않습니다. 여전히 flow logs(또는 다른 데이터 원본)가 필요하며, 문제는 명시적으로 Storage account에 로깅할 것을 요구합니다.
- Network Performance Monitor는 성능 모니터링 및 dependency mapping에 중점을 두며, Storage에 대한 권위 있는 NSG 트래픽 결정 로깅 기능이 아닙니다.
시험 팁:
“log network traffic” + “NSG/subnet” + “Storage account”를 보면 Network Watcher -> NSG flow logs를 떠올리십시오. 요구 사항이 “analyze/query”라면 Log Analytics/Traffic Analytics를 추가할 수 있지만, 기본 제어는 여전히 NSG flow logs입니다.
