博客

AWS 认证安全专长：您需要了解的一切

AWS Certified Security Specialty

2021-06-20

4 分钟阅读

Amit Masih

AWS Certified Security – Specialty -Everything You Need to Know.png

AWS Certified Security - Specialty (SCS-C01) 认证非常适合希望提高对 AWS 安全服务（包括安全机制和技术）了解的 IT 专业人员。AWS Certified Security - Specialty 认证使 IT 专业人员能够展示和验证他们在安全主题（例如数据安全和加密、事件响应、识别、基础设施安全、访问管理、监控和日志记录）方面的 AWS 知识和技能。

本指南将告诉您有关 AWS Certified Security - Specialty 认证考试的所有信息。继续阅读以了解 AWS Security 认证是否适合您。

什么是 AWS Certified Security - Specialty 认证考试？

AWS Certified Security - Specialty 认证专为执行安全角色的 IT 专业人员而设计。本认证课程建议至少有两年保护 AWS 工作负载的实践经验。

在您参加考试之前，AWS 建议 IT 专业人员具备以下技能：

AWS 共享责任模型及其应用
AWS 上工作负载的安全控制
日志记录和监控策略
云安全威胁模型
补丁管理和安全自动化
使用第三方工具和服务增强 AWS 安全服务的方法
灾难恢复控制，包括 BCP 和备份
加密
访问控制
数据保留

AWS Certified Security – Specialty：考试详情

认证级别：专业
考试时长：170 分钟
考试费用：300 美元
考试形式：65 道多项选择题或多项回答题
语言：英语、法语（法国）、德语、意大利语、日语、韩语、葡萄牙语（巴西）、简体中文和西班牙语（拉丁美洲）。

AWS Certified Security – Specialty：考试目标

下表列出了 AWS Certified Security – Specialty 考试的测试领域和目标，以及它们的考试百分比。快速了解考试目标：

领域 1：事件响应 - 12%
领域 2：日志记录和监控 - 20%
领域 3：基础设施安全 - 26%
领域 4：身份和访问管理 - 20%
领域 5：数据保护 - 22%

领域 1：事件响应

1.1 根据 AWS 滥用通知，评估疑似受损实例或暴露的访问密钥。

根据有关 EC2 实例的 AWS 滥用报告，作为取证调查的一部分，安全地隔离该实例。
分析与报告的实例相关的日志以验证违规行为，并收集相关数据。
从可疑实例捕获内存转储，以便以后进行深入分析或出于法律合规原因。

1.2 验证事件响应计划是否包含相关的 AWS 服务。

确定是否对基线安全配置进行了更改。
确定列表是否省略了有助于事件响应的服务、流程或程序。
推荐服务、流程和程序来弥补差距。

1.3 评估自动警报的配置并执行与安全相关的事件和新出现问题的可能补救措施。

自动评估新/更改/删除资源的规则一致性。
对常见的基础设施配置错误应用基于规则的警报。
审查以前的安全事件并建议改进现有系统。

## 领域 2：日志记录和监控

2.1. 设计和实施安全监控和警报。

分析架构并确定监控要求和监控统计数据来源。
分析架构以确定哪些 AWS 服务可用于自动监控和警报。
分析自定义应用程序监控的要求，并确定如何实现。
设置自动化工具/脚本以执行定期审核。

2.2.排除安全监控和警报故障。

假设发生了已知事件但没有预期的警报，则分析服务功能和配置并进行补救。
假设发生了已知事件但没有预期的警报，则分析权限并进行调解。
假设自定义应用程序未报告其统计信息，则分析配置并进行调解。
审查系统和用户活动的审计跟踪。

2.3. 设计和实施日志解决方案。

分析架构并确定日志提取的日志要求和来源。
分析需求并根据 AWS 最佳实践实施持久且安全的日志存储。
分析架构以确定哪些 AWS 服务可用于自动执行日志提取和分析。

2.4. 排除日志解决方案故障。

假设没有日志，则确定不正确的配置并定义补救步骤。
分析日志访问权限以确定不正确的配置并定义补救步骤。
根据安全策略要求，确定正确的日志级别、类型和来源。

领域 3：基础设施安全

3.1 在 AWS 上设计边缘安全。

对于给定的工作负载，评估并限制攻击面。
减少爆炸半径（例如，通过跨账户和区域分发应用程序）。
选择适当的 AWS 和/或第三方边缘服务（如 WAF、CloudFront 和 Route 53）来防范 DDoS 或过滤应用程序级攻击。
给定一组应用程序的边缘保护要求，评估事件机制并检测入侵是否合规并推荐所需的更改。
测试 WAF 规则以确保它们阻止恶意流量。

3.2 设计和实施安全的网络基础设施。

禁用任何不必要的网络端口和协议。
给定一组边缘保护要求，评估应用程序的安全组和 NACL 是否合规并推荐所需的更改。
考虑到安全要求，决定网络分段（例如，安全组和 NACL）以允许所需的最小入口/出口访问。
确定 VPN 或 Direct Connect 的用例。
确定启用 VPC 流日志的用例。
给定 VPC 网络基础设施的描述，分析子网和网关的安全操作使用情况。

3.3 对安全网络基础设施进行故障排除。

确定网络流量被拒绝的位置。
给定配置，确认安全组和 NACL 已正确实施。

3.4 设计和实施基于主机的安全性。

考虑到安全要求，安装和配置基于主机的保护，包括 Inspector 和 SSM。
决定何时使用基于主机的防火墙，如 iptables。
推荐主机强化和监控方法。

领域 4：身份和访问管理

4.1 设计和实施可扩展的授权和身份验证系统以访问 AWS 资源。

给出工作负载的描述，分析 AWS 服务的访问控制配置并提出降低风险的建议。
给出组织如何管理其 AWS 账户的描述，验证其根用户的安全性。
给出组织的合规性要求，确定何时应用用户策略和资源策略。
在组织的策略中，确定何时将目录服务联合到 IAM。
设计一个可扩展的授权模型，其中包括用户、组、角色和策略。
识别和限制数据和 AWS 资源的个人用户。
审查政策以确定用户/系统不得执行超出其职责范围的功能，并强制执行适当的职责分离。

4.2 对授权和身份验证系统进行故障排除以访问 AWS 资源。

调查用户无法访问 S3 存储桶内容的原因。
调查用户无法将角色切换到其他帐户的原因。
调查 Amazon EC2 实例无法访问给定 AWS 资源的原因。

领域 5：数据保护

5.1 设计和实施密钥管理和使用。

分析给定场景以确定合适的密钥管理解决方案。
给定一组数据保护要求，评估密钥使用情况并推荐所需的角度。
确定和控制密钥泄露事件的爆炸半径，并设计解决方案来控制该事件。

5.2 密钥管理故障排除。

分解 KMS 密钥授予和 IAM 策略之间的差异。
推断给定密钥的不同冲突策略的优先级。
确定在发生泄露时何时以及如何撤销用户或服务的权限。

5.3 为静态数据和传输中的数据设计和实施数据加密解决方案。

给定一组数据保护要求，评估工作负载中静态数据的安全性并推荐所需的更改。
验证密钥上的策略，使其只能由特定的 AWS 服务使用。
通过基于标签的数据分类区分数据的合规性状态并自动修复。
评估多种传输加密技术并选择适当的方法（即 TLS、IPsec、客户端 KMS 加密）。

AWS Certified Security - Specialty 考试费用是多少？

AWS Certified Security - Specialty 认证考试费用为 300 美元。考试时长为 170 分钟。AWS Security Specialty 考试有 65 个问题，将为多项选择题和多项响应题。要通过考试，您必须在 100-1000 的范围内获得 75% 到 80% 的分数。

您需要哪些 AWS Certified Security - Specialty 经验？

要参加 AWS Certified Security - Specialty 认证考试，专业人员必须持有 Cloud Practitioner 或 Associate 级 AWS 认证。此外，考生必须具备至少五年的 IT 安全经验，能够设计和实施安全解决方案。除此之外，还需要两年使用和保护 AWS 系统和工作负载的实践经验。