AWS Certified Security - Specialty (SCS-C01) 认证是希望加深对 AWS 安全服务(包括安全机制和技术)理解的 IT 专业人员的理想选择。AWS Certified Security - Specialty 认证使 IT 专业人员能够展示并验证其在数据安全和加密、事件响应、身份识别、基础设施安全、访问管理、监控和日志记录等安全主题方面的 AWS 知识和技能。
本指南将为您介绍有关 AWS Certified Security - Specialty 认证考试的所有信息。继续阅读,了解 AWS 安全认证是否适合您。
AWS Certified Security - Specialty 认证专为担任安全角色的 IT 专业人员设计。此认证课程建议至少拥有两年 AWS 工作负载安全保护的实践经验。
在参加考试之前,AWS 建议 IT 专业人员具备以下技能:
AWS 责任共担模型及其应用
AWS 工作负载的安全控制
日志记录和监控策略
云安全威胁模型
补丁管理和安全自动化
使用第三方工具和服务增强 AWS 安全服务的方法
灾难恢复控制,包括业务连续性计划 (BCP) 和备份
加密
访问控制
数据保留
认证级别:专业级
考试时长:170 分钟
考试费用:300 美元
考试形式:65 道单选题或多选题
语言:英语、法语(法国)、德语、意大利语、日语、韩语、葡萄牙语(巴西)、简体中文和西班牙语(拉丁美洲)。
下表列出了 AWS Certified Security – Specialty 考试的测试领域和目标,以及它们在考试中所占的百分比。快速浏览考试目标:
领域 1:事件响应 - 12%
领域 2:日志记录和监控 - 20%
领域 3:基础设施安全 - 26%
领域 4:身份和访问管理 - 20%
领域 5:数据保护 - 22%
1.1 收到 AWS 滥用通知后,评估疑似受损实例或泄露的访问密钥。
收到关于 EC2 实例的 AWS 滥用报告后,作为取证调查的一部分,安全地隔离该实例。
分析与报告实例相关的日志以验证是否存在违规行为,并收集相关数据。
从疑似实例捕获内存转储,以便后续进行深入分析或出于法律合规性要求。
1.2 验证事件响应计划是否包含相关的 AWS 服务。
确定是否已对基线安全配置进行更改。
确定列表中是否遗漏了有助于事件响应的服务、流程或程序。
推荐可用于弥补差距的服务、流程和程序。
1.3 评估自动化告警配置,并执行安全相关事件和新出现问题的可能补救措施。
自动评估新增/变更/移除资源是否符合规则。
针对常见的基础设施配置错误应用基于规则的告警。
审查以往的安全事件,并建议改进现有系统。
2.1 设计并实施安全监控和告警。
分析架构,确定监控需求和监控统计数据来源。
分析架构,确定哪些 AWS 服务可用于自动化监控和告警。
分析自定义应用程序监控的需求,并确定如何实现。
设置自动化工具/脚本以执行定期审计。
2.2.排查安全监控和告警问题。
如果发生已知事件但未收到预期告警,请分析服务功能和配置并进行修复。
如果发生已知事件但未收到预期告警,请分析权限并进行修复。
如果自定义应用程序未报告其统计信息,请分析配置并进行修复。
查看系统和用户活动的审计跟踪。
2.3. 设计并实现日志解决方案。
分析架构并确定日志需求和日志采集来源。
分析需求并根据 AWS 最佳实践实现持久且安全的日志存储。
分析架构以确定哪些 AWS 服务可用于自动化日志采集和分析。
2.4. 排查日志解决方案问题。
如果缺少日志,请确定错误的配置并制定修复步骤。
分析日志访问权限以确定错误的配置并制定修复步骤。
根据安全策略要求,确定正确的日志级别、类型和来源。
3.1 在 AWS 上设计边缘安全。
针对给定的工作负载,评估并限制攻击面。
缩小攻击范围(例如,通过跨账户和区域分布应用程序)。
选择合适的 AWS 和/或第三方边缘服务,例如 WAF、CloudFront 和 Route 53,以防御 DDoS 攻击或过滤应用程序级攻击。
给定一组应用程序的边缘保护要求,评估事件和入侵检测机制是否符合要求,并提出必要的更改建议。
测试 WAF 规则,确保其能够阻止恶意流量。
3.2 设计并实施安全的网络基础设施。
禁用任何不必要的网络端口和协议。
给定一组边缘保护要求,评估应用程序的安全组和网络访问控制列表 (NACL) 是否符合要求,并提出必要的更改建议。
根据安全需求,确定网络分段方案(例如,安全组和网络访问控制列表 (NACL)),以允许所需的最小入站/出站访问权限。
确定 VPN 或 Direct Connect 的使用场景。
确定启用 VPC 流日志的使用场景。
根据 VPC 网络基础架构的描述,分析子网和网关的使用情况,以确保安全运行。
3.3 排查安全网络基础架构故障。
确定网络流量被阻止的位置。
根据配置,确认安全组和 NACL 已正确实施。
3.4 设计和实施基于主机的安全策略。
根据安全需求,安装和配置基于主机的保护措施,包括 Inspector 和 SSM。
确定何时使用基于主机的防火墙,例如 iptables。
推荐主机加固和监控方法。
4.1 设计并实现可扩展的授权和身份验证系统,以访问 AWS 资源。
根据工作负载描述,分析 AWS 服务的访问控制配置,并提出降低风险的建议。
根据组织如何管理其 AWS 账户的描述,验证其根用户的安全性。
根据组织的合规性要求,确定何时应用用户策略和资源策略。
在组织的策略范围内,确定何时将目录服务联合到 IAM。
设计包含用户、组、角色和策略的可扩展授权模型。
识别并限制数据和 AWS 资源的单个用户。
审查策略,确保用户/系统不得执行超出其职责范围的功能,并强制执行适当的职责分离。
4.2 对用于访问 AWS 资源的授权和身份验证系统进行故障排除。
调查用户无法访问 S3 存储桶内容的原因。
调查用户无法切换到其他账户的原因。
调查 Amazon EC2 实例无法访问特定 AWS 资源的原因。
5.1 设计并实施密钥管理和使用。
分析给定场景,确定合适的密钥管理解决方案。
根据一组数据保护要求,评估密钥使用情况并推荐必要的措施。
确定并控制密钥泄露事件的影响范围,并设计相应的解决方案。
5.2 排查密钥管理问题。
分析 KMS 密钥授权和 IAM 策略之间的区别。
针对给定密钥,推断不同冲突策略的优先级。
确定在发生泄露事件时,何时以及如何撤销用户或服务的权限。
5.3 设计并实现静态数据和传输中数据的加密解决方案。
根据一组数据保护要求,评估工作负载中静态数据的安全性,并提出必要的更改建议。
验证密钥策略,确保密钥只能由特定的 AWS 服务使用。
通过基于标签的数据分类区分数据的合规性状态,并自动执行修复。
评估多种传输加密技术,并选择合适的加密方法(例如,TLS、IPsec、客户端 KMS 加密)。
AWS Certified Security - Specialty 认证考试费用为 300 美元。考试时长为 170 分钟。AWS Security Specialty 考试包含 65 道题,题型为单选题和多选题。考试及格分数为 75% 至 80%(满分 100 分)。
要参加 AWS Certified Security - Specialty 认证考试,专业人士必须持有 AWS 云从业者或助理级认证。此外,考生必须拥有至少五年 IT 安全经验,包括设计和实施安全解决方案。除此之外,还需具备两年使用 AWS 系统和工作负载并保护其安全的实践经验。
AWS Certified Security - Specialty 认证考试面向从事安全相关工作的人员,当然,他们也必须具备基本的云领域知识和技能。考试涵盖与 AWS 云服务相关的诸多领域。
快速了解一下参加 AWS Certified Security - Specialty 认证考试的好处:
云安全对所有用例都至关重要
AWS 认证为 AWS 合作伙伴和从业人员提供了一个权威的基准
确保团队成员遵循安全最佳实践
为团队成员提供职业发展机会
满足 AWS 合作伙伴认证要求
毫无疑问,获得 AWS Certified Security - Specialty 认证考试绝对物有所值,值得您投入时间、金钱和精力。请记住,获得此认证考试并非易事,但它确实能为您的整体技能增添额外的信誉和信心。
如果您是一名专注于设计和实施安全解决方案的 AWS 从业人员,那么您需要获得此认证。通过此考试,您将学习到更高层次的安全策略,从而设计和实施解决方案,使您成为炙手可热的 AWS 安全专家。
.jpg&w=640&q=75)
版权所有 © 2024 - 保留所有权利。
