Especialidad en seguridad certificada de AWS: todo lo que necesita saber

La certificación AWS Certified Security - Specialty (SCS-C01) es ideal para profesionales de TI que desean aumentar su conocimiento sobre los servicios de seguridad de AWS, incluidos los mecanismos y tecnologías de seguridad. La certificación AWS Certified Security - Specialty permite a los profesionales de TI demostrar y verificar sus conocimientos y habilidades de AWS en temas de seguridad como seguridad y cifrado de datos, respuesta a incidentes, identificación, seguridad de la infraestructura, administración de acceso, monitoreo y registro.

Esta guía le informará todo lo que necesita saber sobre el examen de certificación AWS Certified Security - Specialty. Siga leyendo para averiguar si la certificación AWS Security es una buena opción para usted.

¿Qué es el examen de certificación AWS Certified Security - Specialty?

La certificación AWS Certified Security - Specialty está diseñada para profesionales de TI que desempeñan funciones de seguridad. Este curso de certificación recomienda tener al menos dos años de experiencia práctica en la protección de cargas de trabajo de AWS.

Antes de rendir el examen, AWS sugiere que los profesionales de TI tengan las siguientes habilidades:

• El modelo de responsabilidad compartida de AWS y su aplicación
• Controles de seguridad para cargas de trabajo en AWS
• Estrategias de registro y monitoreo
• Modelos de amenazas de seguridad en la nube
• Gestión de parches y automatización de la seguridad
• Formas de mejorar los servicios de seguridad de AWS con herramientas y servicios de terceros
• Controles de recuperación ante desastres, incluidos BCP y copias de seguridad
• Cifrado
• Control de acceso
• Retención de datos

AWS Certified Security – Specialty: Detalles del examen

• Nivel de certificación: Especialidad
• Duración del examen: 170 minutos
• Costo del examen: $300
• Formato del examen: 65 preguntas de opción múltiple o de respuesta múltiple
• Idioma: inglés, francés (Francia), alemán, italiano, japonés, coreano, portugués (Brasil), chino simplificado y español (América Latina).

AWS Certified Security – Specialty: Objetivos del examen

La siguiente tabla enumera los dominios de prueba y los objetivos para el examen de AWS Certified Security – Specialty, junto con su porcentaje de examen. Eche un vistazo rápido a los objetivos del examen: 

• Dominio 1: Respuesta a incidentes - 12 %
• Dominio 2: Registro y monitoreo - 20 %
• Dominio 3: Seguridad de la infraestructura - 26 %
• Dominio 4: Gestión de identidad y acceso - 20 %
• Dominio 5: Protección de datos - 22 %

Dominio 1: Respuesta a incidentes

1.1 Ante un aviso de abuso de AWS, evalúe la instancia presuntamente comprometida o las claves de acceso expuestas.

• Ante un informe de abuso de AWS sobre una instancia de EC2, aísle de forma segura la instancia como parte de una investigación forense.
• Analice los registros relevantes a una instancia denunciada para verificar una infracción y recopile los datos pertinentes.
• Capture un volcado de memoria de una instancia sospechosa para un análisis profundo posterior o por razones de cumplimiento legal.

1.2 Verifique que el plan de respuesta a incidentes incluya los servicios de AWS pertinentes.  

• Determine si se han realizado cambios en la configuración de seguridad de referencia.
• Determinar si la lista omite servicios, procesos o procedimientos que faciliten la respuesta a incidentes.
• Recomendar servicios, procesos y procedimientos para remediar brechas.

1.3 Evaluar la configuración de alertas automáticas y ejecutar posibles remediaciones de incidentes relacionados con la seguridad y problemas emergentes.

• Automatizar la evaluación de conformidad con las reglas para recursos nuevos/modificados/eliminados.
• Aplicar alertas basadas en reglas para configuraciones incorrectas comunes de la infraestructura.
• Revisar incidentes de seguridad anteriores y recomendar mejoras para los sistemas existentes.

      ## Dominio 2: Registro y monitoreo

2.1. Diseñar e implementar monitoreo y alertas de seguridad.    

• Analizar la arquitectura e identificar los requisitos de monitoreo y las fuentes para las estadísticas de monitoreo.
• Analizar la arquitectura para determinar qué servicios de AWS se pueden usar para automatizar el monitoreo y las alertas.
• Analizar los requisitos para el monitoreo de aplicaciones personalizadas y determinar cómo se podría lograr esto.
• Configurar herramientas/scripts automatizados para realizar auditorías regulares.

2.2. Solucionar problemas de monitoreo y alertas de seguridad.

• Dada la ocurrencia de un evento conocido sin la alerta esperada, analizar la funcionalidad y configuración del servicio y remediarlo.
• Dada la ocurrencia de un evento conocido sin la alerta esperada, analizar los permisos y mediar.
• Dada una aplicación personalizada que no informa sus estadísticas, analizar la configuración y mediar.
• Revisar los registros de auditoría de la actividad del sistema y del usuario.

2.3. Diseñar e implementar una solución de registro.

• Analizar la arquitectura e identificar los requisitos y las fuentes de registro para la ingesta de registros.
• Analizar los requisitos e implementar un almacenamiento de registros duradero y seguro de acuerdo con las mejores prácticas de AWS.
• Analizar la arquitectura para determinar qué servicios de AWS se pueden usar para automatizar la ingesta y el análisis de registros.

2.4. Solucionar problemas de soluciones de registro.

• Dada la ausencia de registros, determinar la configuración incorrecta y definir los pasos de remediación.
• Analizar los permisos de acceso al registro para determinar la configuración incorrecta y definir los pasos de remediación.
• Según los requisitos de la política de seguridad, determine el nivel, el tipo y las fuentes de registro correctos.  

Dominio 3: Seguridad de la infraestructura

3.1 Diseñe la seguridad de borde en AWS.

• Para una carga de trabajo determinada, evalúe y limite la superficie de ataque.
• Reduzca el radio de ataque (por ejemplo, distribuyendo aplicaciones entre cuentas y regiones).
• Elija servicios de borde de AWS o de terceros adecuados, como WAF, CloudFront y Route 53, para protegerse contra DDoS o filtrar ataques a nivel de aplicación.
• Dado un conjunto de requisitos de protección de borde para una aplicación, evalúe los mecanismos para el evento y detecte intrusiones para verificar el cumplimiento y recomiende los cambios necesarios.
• Pruebe las reglas de WAF para asegurarse de que bloqueen el tráfico malicioso.

3.2 Diseñe e implemente una infraestructura de red segura.

• Desactive los puertos y protocolos de red innecesarios.
• Dado un conjunto de requisitos de protección de borde, evalúe los grupos de seguridad y las NACL de una aplicación para verificar el cumplimiento y recomiende los cambios necesarios.
• Dados los requisitos de seguridad, decidir sobre la segmentación de la red (por ejemplo, grupos de seguridad y NACL) para permitir el acceso mínimo de entrada/egreso requerido.
• Determinar el caso de uso para VPN o Direct Connect.
• Determinar el caso de uso para habilitar los registros de flujo de VPC.
• Dada una descripción de la infraestructura de red para una VPC, analizar el uso de subredes y puertas de enlace para un funcionamiento seguro.

3.3 Solucionar problemas de una infraestructura de red segura.

• Determinar dónde se niega el flujo de tráfico de red.
• Dada una configuración, confirmar que los grupos de seguridad y las NACL se hayan implementado correctamente.

3.4 Diseñar e implementar seguridad basada en host.

• Dados los requisitos de seguridad, instalar y configurar protecciones basadas en host, incluidos Inspector y SSM.
• Decidir cuándo utilizar firewalls basados en host como iptables.
• Recomendar métodos para el fortalecimiento y la supervisión del host.

Dominio 4: Gestión de identidad y acceso

4.1 Diseñar e implementar un sistema de autenticación y autorización escalable para acceder a los recursos de AWS.

• Dada una descripción de una carga de trabajo, analizar la configuración de control de acceso para los servicios de AWS y hacer recomendaciones que reduzcan el riesgo.
• Dada una descripción de cómo una organización administra sus cuentas de AWS, verificar la seguridad de su usuario raíz.
• Dados los requisitos de cumplimiento de su organización, determinar cuándo aplicar políticas de usuario y políticas de recursos.
• Dentro de la política de una organización, determinar cuándo federar servicios de directorio a IAM.
• Diseñar un modelo de autorización escalable que incluya usuarios, grupos, roles y políticas.
• Identificar y restringir usuarios individuales de datos y recursos de AWS.
• Revisar las políticas para establecer que los usuarios/sistemas tienen restricciones para realizar funciones más allá de su responsabilidad y también hacer cumplir la separación adecuada de funciones.

4.2 Solucionar problemas de un sistema de autenticación y autorización para acceder a los recursos de AWS.

• Investigar la incapacidad de un usuario para acceder al contenido de un depósito de S3.
• Investigar la incapacidad de un usuario para cambiar de rol a una cuenta diferente.
• Investigar la incapacidad de una instancia de Amazon EC2 para acceder a un recurso de AWS determinado.

Dominio 5: Protección de datos

5.1 Diseñar e implementar la administración y el uso de claves.

• Analizar un escenario determinado para determinar una solución de administración de claves adecuada.
• Dado un conjunto de requisitos de protección de datos, evaluar el uso de claves y recomendar los ángeles necesarios.
• Determinar y controlar el radio de explosión de un evento de compromiso de clave y diseñar una solución para contenerlo.

5.2 Solucionar problemas de administración de claves.

• Desglosar la diferencia entre una concesión de clave KMS y una política de IAM.
• Deducir la precedencia dadas diferentes políticas conflictivas para una clave determinada.
• Determinar cuándo y cómo revocar permisos para un usuario o servicio en caso de un compromiso.

5.3 Diseñar e implementar una solución de cifrado de datos para datos en reposo y en tránsito.

• Dado un conjunto de requisitos de protección de datos, evaluar la seguridad de los datos en reposo en una carga de trabajo y recomendar los cambios necesarios.
• Verificar la política de una clave de modo que solo pueda ser utilizada por servicios específicos de AWS.
• Distinguir el estado de cumplimiento de los datos mediante clasificaciones de datos basadas en etiquetas y automatizar la remediación.
• Evaluar una serie de técnicas de cifrado de transporte y seleccionar el método adecuado (es decir, TLS, IPsec, cifrado KMS del lado del cliente).

¿Cuánto cuesta el examen de AWS Certified Security - Specialty?

El examen de certificación AWS Certified Security - Specialty cuesta 300 USD. La duración del examen es de 170 minutos. Hay 65 preguntas en el examen de AWS Security Specialty, que serán de opción múltiple y de varios tipos de respuesta. Para aprobar el examen, debe obtener una puntuación del 75 % al 80 % en una escala de 100 a 1000.

¿Qué experiencia necesitas para el examen de certificación AWS Certified Security - Specialty?

Para rendir el examen de certificación AWS Certified Security - Specialty, los profesionales deben tener una certificación AWS Cloud Practitioner o Associate-level. Además, los candidatos deben tener al menos cinco años de experiencia en seguridad informática en el diseño e implementación de soluciones de seguridad. Además, se requieren dos años de experiencia práctica trabajando con sistemas y cargas de trabajo de AWS y protegiéndolos.

¿Quién debería rendir el examen de certificación AWS Certified Security - Specialty?

El examen de certificación AWS Certified Security - Specialty está diseñado para personas que trabajan en un puesto de seguridad y, por supuesto, poseen los conocimientos y las habilidades fundamentales en el espacio de la nube. El examen cubre muchas áreas diferentes relacionadas con los servicios de nube de AWS.

¿Cuáles son los beneficios de obtener la certificación AWS Security - Specialty?

Eche un vistazo rápido a los beneficios de realizar el examen de certificación AWS Certified Security - Specialty:

• La seguridad en la nube es esencial para todos los casos de uso
• Las certificaciones de AWS ofrecen un punto de referencia venerable para los socios y profesionales de AWS
• Garantiza que los miembros del equipo sigan las mejores prácticas de seguridad
• Proporciona un progreso profesional para los miembros del equipo
• Contribuye a los requisitos de certificación de socios de AWS

¿Vale la pena el examen de certificación AWS Certified Security - Specialty?

Sin lugar a dudas, obtener el examen de certificación AWS Certified Security - Specialty vale la pena el tiempo, el dinero y el esfuerzo que dedica al examen. Recuerde que obtener este examen de certificación no es fácil, pero agrega una capa adicional de credibilidad y confianza a su conjunto general de habilidades.

Si trabaja como profesional de AWS y se enfoca en diseñar e implementar soluciones de seguridad, deberá obtener esta certificación. En este examen, aprenderá estrategias de seguridad en profundidad para diseñar e implementar soluciones en un nivel completamente diferente, lo que lo convertirá en un experto en seguridad de AWS muy solicitado.