La certification AWS Certified Security - Specialty (SCS-C01) est idéale pour les professionnels de l'informatique qui souhaitent approfondir leur compréhension des services de sécurité AWS, y compris les mécanismes et technologies de sécurité. AWS Certified Security - Specialty La certification permet aux professionnels de l'informatique de démontrer et de vérifier leurs connaissances et compétences AWS dans des sujets de sécurité tels que la sécurité et le chiffrement des données, la réponse aux incidents, l'identification, la sécurité de l'infrastructure, la gestion des accès, la surveillance et la journalisation.
Ce guide vous expliquera tout ce que vous devez savoir sur l'examen AWS Certified Security - Specialty Certification. Continuez à lire pour savoir si la certification AWS Security est une bonne option pour vous.
Qu'est-ce que l'examen de certification AWS Certified Security - Specialty ?
La certification AWS Certified Security - Specialty est conçue pour les professionnels de l'informatique qui exécutent des rôles de sécurité. Ce cours de certification recommande d'avoir au moins deux ans d'expérience pratique dans la sécurisation des charges de travail AWS.
Avant de passer l'examen, AWS suggère aux professionnels de l'informatique d'avoir les compétences suivantes :
- Le modèle de responsabilité partagée AWS et son application
- Contrôles de sécurité pour les charges de travail sur AWS
- Stratégies de journalisation et de surveillance
- Modèles de menace de sécurité cloud
- Gestion des correctifs et automatisation de la sécurité
- Façons d'améliorer les services de sécurité AWS avec des outils et des services tiers
- Contrôles de reprise après sinistre, y compris BCP et sauvegardes
- Chiffrement
- Contrôle d'accès
- La conservation des données
Sécurité certifiée AWS - Spécialité : Détails de l'examen
- Niveau de certification : Spécialité
- Durée de l'examen : 170 minutes
- Coût de l'examen : 300 $
- Format d'examen : 65 questions à choix multiples ou à réponses multiples
- Langue : anglais, français (France), allemand, italien, japonais, coréen, portugais (Brésil), chinois simplifié et espagnol (Amérique latine).
AWS Certified Security – Spécialité : Objectifs de l'examen
Le tableau ci-dessous répertorie les domaines de test et les objectifs de l'examen AWS Certified Security - Specialty, ainsi que leur pourcentage d'examen. Jetez un coup d'œil aux objectifs de l'examen :
- Domaine 1 : Réponse aux incidents - 12 %
- Domaine 2 : Logging et Monitoring - 20%
- Domaine 3 : Sécurité des infrastructures - 26 %
- Domaine 4 : Gestion des identités et des accès - 20 %
- Domaine 5 : Protection des données - 22 %
Domaine 1 : Réponse aux incidents
1.1 Compte tenu d'un avis d'abus AWS, évaluez l'instance suspectée compromise ou les clés d'accès exposées.
- Compte tenu d'un rapport AWS Abuse concernant une instance EC2, isolez l'instance en toute sécurité dans le cadre d'une enquête médico-légale.
- Analyser les journaux pertinents pour une instance signalée pour vérifier une violation et collecter les données pertinentes.
- Capturez un vidage mémoire d'une instance suspecte pour une analyse approfondie ultérieure ou pour des raisons de conformité légale.
1.2 Vérifiez que le plan de réponse aux incidents inclut les services AWS pertinents.
- Déterminez si des modifications ont été apportées à la configuration de sécurité de base.
- Déterminez si la liste omet des services, des processus ou des procédures qui facilitent la réponse aux incidents.
- Recommander des services, des processus et des procédures pour remédier aux lacunes.
1.3 Évaluer la configuration des alertes automatisées et exécuter les éventuelles mesures correctives en cas d'incidents liés à la sécurité et de problèmes émergents.
- Automatisez l'évaluation de la conformité aux règles pour les ressources nouvelles/modifiées/supprimées.
- Appliquez des alertes basées sur des règles pour les erreurs de configuration courantes de l'infrastructure.
- Examiner les incidents de sécurité précédents et recommander des améliorations aux systèmes existants.
Domaine 2 : Journalisation et surveillance
2.1. Concevoir et mettre en œuvre la surveillance et l'alerte de sécurité.
- Analyser l'architecture et identifier les exigences de surveillance et les sources pour les statistiques de surveillance.
- Analyser l'architecture pour déterminer quels services AWS peuvent être utilisés pour automatiser la surveillance et les alertes.
- Analysez les exigences pour la surveillance personnalisée des applications et déterminez comment cela pourrait être réalisé.
- Mettre en place des outils/scripts automatisés pour effectuer des audits réguliers.
2.2. Résoudre les problèmes de surveillance et d'alerte de sécurité.
- En cas d'occurrence d'un événement connu sans l'alerte attendue, analysez la fonctionnalité et la configuration du service et corrigez.
- En cas d'occurrence d'un événement connu sans l'alerte attendue, analysez les autorisations et faites la médiation.
- Étant donné une application personnalisée qui ne rapporte pas ses statistiques, analysez la configuration et effectuez la médiation.
- Examiner les pistes d'audit du système et de l'activité des utilisateurs.
2.3. Concevoir et mettre en œuvre une solution de journalisation.
- Analyser l'architecture et identifier les exigences de journalisation et les sources pour l'ingestion de journaux.
- Analyser les besoins et mettre en œuvre un stockage de journaux durable et sécurisé conformément aux meilleures pratiques AWS.
- Analyser l'architecture pour déterminer quels services AWS peuvent être utilisés pour automatiser l'ingestion et l'analyse des journaux.
2.4. Dépanner les solutions de journalisation.
- Compte tenu de l'absence de logs, déterminer la mauvaise configuration et définir les étapes de remédiation.
- Analysez les autorisations d'accès à la journalisation pour déterminer la configuration incorrecte et définir les étapes de correction.
- En fonction des exigences de la politique de sécurité, déterminez le niveau, le type et les sources de journal corrects.
Domaine 3 : Sécurité de l'infrastructure
3.1 Concevoir la sécurité en périphérie sur AWS.
- Pour une charge de travail donnée, évaluer et limiter la surface d'attaque.
- Réduisez le rayon d'explosion (par exemple, en répartissant les applications entre les comptes et les régions).
- Choisissez les services périphériques AWS et/ou tiers appropriés tels que WAF, CloudFront et Route 53 pour vous protéger contre les attaques DDoS ou filtrer les attaques au niveau de l'application.
- Compte tenu d'un ensemble d'exigences de protection des bords pour une application, évaluer les mécanismes de l'événement et détecter les intrusions pour la conformité et recommander les modifications requises.
- Testez les règles WAF pour vous assurer qu'elles bloquent le trafic malveillant.
3.2 Concevoir et mettre en œuvre une infrastructure réseau sécurisée.
- Désactivez tous les ports et protocoles réseau inutiles.
- Compte tenu d'un ensemble d'exigences de protection en périphérie, évaluez la conformité des groupes de sécurité et des NACL d'une application et recommandez les modifications requises.
- Compte tenu des exigences de sécurité, décidez de la segmentation du réseau (par exemple, groupes de sécurité et NACL) pour permettre l'accès minimum d'entrée/sortie requis.
- Déterminer le cas d'utilisation pour VPN ou Direct Connect.
- Déterminer le cas d'utilisation pour l'activation des journaux de flux VPC.
- À partir d'une description de l'infrastructure réseau d'un VPC, analysez l'utilisation des sous-réseaux et des passerelles pour un fonctionnement sécurisé.
3.3 Dépanner une infrastructure réseau sécurisée.
- Déterminez où le flux de trafic réseau est refusé.
- Étant donné une configuration, confirmez que les groupes de sécurité et les NACL ont été implémentés correctement.
3.4 Concevoir et mettre en œuvre la sécurité basée sur l'hôte.
- Compte tenu des exigences de sécurité, installez et configurez les protections basées sur l'hôte, y compris Inspector et SSM.
- Décidez quand utiliser des pare-feu basés sur l'hôte comme iptables.
- Recommander des méthodes pour le renforcement et la surveillance de l'hôte.
Domaine 4 : Gestion des identités et des accès
4.1 Concevoir et mettre en œuvre un système d'autorisation et d'authentification évolutif pour accéder aux ressources AWS.
- À partir d'une description d'une charge de travail, analysez la configuration du contrôle d'accès pour les services AWS et faites des recommandations qui réduisent les risques.
- À partir d'une description de la manière dont une organisation gère ses comptes AWS, vérifiez la sécurité de son utilisateur racine.
- Compte tenu des exigences de conformité de votre organisation, déterminez quand appliquer les stratégies utilisateur et les stratégies de ressources.
- Dans la stratégie d'une organisation, déterminez quand fédérer un service d'annuaire à IAM.
- Concevez un modèle d'autorisation évolutif qui inclut des utilisateurs, des groupes, des rôles et des politiques.
- Identifiez et restreignez les utilisateurs individuels des données et des ressources AWS.
- Examiner les politiques pour établir que les utilisateurs/systèmes ne sont pas autorisés à exécuter des fonctions au-delà de leur responsabilité et également appliquer une séparation appropriée des tâches.
4.2 Dépanner un système d'autorisation et d'authentification pour accéder aux ressources AWS.
- Enquêter sur l'incapacité d'un utilisateur à accéder au contenu du compartiment S3.
- Enquêter sur l'incapacité d'un utilisateur à changer de rôle vers un autre compte.
- Enquêter sur l'incapacité d'une instance Amazon EC2 à accéder à une ressource AWS donnée.
Domaine 5 : Protection des données
5.1 Concevoir et mettre en œuvre la gestion et l'utilisation des clés.
- Analyser un scénario donné pour déterminer une solution de gestion de clés appropriée.
- Compte tenu d'un ensemble d'exigences en matière de protection des données, évaluez l'utilisation des clés et recommandez les anges requis.
- Déterminez et contrôlez le rayon de souffle d'un événement compromis clé et concevez une solution pour le contenir.
5.2 Dépanner la gestion des clés.
- Décomposez la différence entre une attribution de clé KMS et une stratégie IAM.
- Déduire la priorité donnée à différentes politiques conflictuelles pour une clé donnée.
- Déterminez quand et comment révoquer les autorisations d'un utilisateur ou d'un service en cas de compromission.
5.3 Concevoir et mettre en œuvre une solution de chiffrement des données pour les données au repos et les données en transit.
- Compte tenu d'un ensemble d'exigences en matière de protection des données, évaluer la sécurité des données au repos dans une charge de travail et recommander les modifications requises.
- Vérifiez la stratégie sur une clé de sorte qu'elle ne puisse être utilisée que par des services AWS spécifiques.
- Distinguez l'état de conformité des données grâce à des classifications de données basées sur des balises et automatisez la correction.
- Évaluez un certain nombre de techniques de chiffrement de transport et s électionnez la méthode appropriée (c'est-à-dire, TLS, IPsec, chiffrement KMS côté client).
Combien coûte l'examen AWS Certified Security - Specialty ?
L'examen de certification AWS Certified Security - Specialty vous coûte 300 USD. La durée de l'examen est de 170 minutes. Il y a 65 questions dans l'examen AWS Security Specialty, qui seront à choix multiples et à réponses multiples. Pour réussir l'examen, vous devez obtenir un score de 75 % à 80 % sur une échelle de 100 à 1 000.
De quelle expérience avez-vous besoin pour AWS Certified Security - Specialty ?
Pour passer l'examen de certification AWS Certified Security - Specialty, les professionnels doivent détenir une certification AWS de niveau Cloud Practitioner ou Associate. En outre, les candidats doivent justifier d'au moins cinq ans d'expérience en sécurité informatique dans la conception et la mise en œuvre de solutions de sécurité. En dehors de cela, deux ans d'expérience pratique de travail avec et de sécurisation des systèmes et des charges de travail AWS sont requis.
Qui devrait passer l'examen de certification AWS Certified Security – Specialty ?
L'examen de certification AWS Certified Security - Specialty est conçu pour les personnes travaillant dans un rôle de sécurité et, bien sûr, possédant les connaissances et les compétences fondamentales de l'espace cloud. L'examen couvre de nombreux domaines différents liés aux services cloud AWS.
Quels sont les avantages d'obtenir la certification AWS Security - Specialty ?
Jetez un coup d'œil aux avantages de passer l'examen de certification AWS Certified Security - Specialty :
- La sécurité du cloud est essentielle à tous les cas d'utilisation
- Les certifications AWS offrent une référence vénérable pour les partenaires et praticiens AWS
- S'assure que les membres de l'