AWS 认证安全专业：您需要知道的一切

AWS Certified Security - Specialty (SCS-C01) 认证非常适合希望加深对 AWS 安全服务（包括安全机制和技术）的了解的 IT 专业人士。 AWS Certified Security - 专业认证使 IT 专业人员能够展示和验证他们在安全主题（例如数据安全和加密、事件响应、识别、基础设施安全、访问管理、监控和日志记录）方面的 AWS 知识和技能。

本指南将告诉您有关 AWS Certified Security - Specialty Certification 考试的所有信息。继续阅读以了解 AWS 安全认证是否适合您。

什么是 AWS Certified Security - Specialty 认证考试？

AWS Certified Security - Specialty 认证专为担任安全角色的 IT 专业人员设计。此认证课程建议至少拥有两年保护 AWS 工作负载的实践经验。

在您参加考试之前，AWS 建议 IT 专业人员具备以下技能：

AWS 责任共担模型及其应用
AWS 上工作负载的安全控制
记录和监控策略
云安全威胁模型
补丁管理和安全自动化
使用第三方工具和服务增强 AWS 安全服务的方法
灾难恢复控制，包括 BCP 和备份
加密
访问控制
数据保留

AWS Certified Security – 专长：考试详情

认证级别：专业

考试时长：170 分钟
考试费用：300 美元
考试形式：65 道多项选择题或多项回答题
语言：英语、法语（法国）、德语、意大利语、日语、韩语、葡萄牙语（巴西）、简体中文和西班牙语（拉丁美洲）。

AWS Certified Security – 专长：考试目标

下表列出了 AWS Certified Security – Specialty 考试的测试领域和目标，以及它们的考试百分比。快速了解考试目标：

领域 1：事件响应 - 12%
领域 2：日志记录和监控 - 20%
领域 3：基础设施安全 - 26%
领域 4：身份和访问管理 - 20%
领域 5：数据保护 - 22%

领域 1：事件响应

1.1 鉴于 AWS 滥用通知，评估可疑的受损实例或暴露的访问密钥。

根据有关 EC2 实例的 AWS 滥用报告，安全地隔离该实例作为取证调查的一部分。
分析与报告实例相关的日志以验证违规并收集相关数据。
从可疑实例中捕获内存转储，以供以后深入分析或出于法律合规性原因。

1.2 验证事件响应计划是否包含相关的 AWS 服务。

确定是否对基线安全配置进行了更改。
确定列表是否遗漏了有助于事件响应的服务、过程或程序。
推荐服务、流程和程序以弥补差距。

1.3 评估自动警报的配置并对安全相关事件和新出现的问题执行可能的补救措施。

自动评估新的/更改的/删除的资源是否符合规则。
对常见的基础设施错误配置应用基于规则的警报。
审查以前的安全事件并建议改进现有系统。

域 2：日志记录和监控

2.1.设计和实施安全监控和警报。

分析体系结构并确定监控需求和监控统计数据的来源。
分析架构以确定哪些 AWS 服务可用于自动监控和警报。
分析自定义应用程序监控的要求，并确定如何实现这一点。
设置自动化工具/脚本来执行定期审计。

2.2.排除安全监控和警报故障。

如果已知事件的发生没有预期的警报，则分析服务功能和配置并进行补救。
如果已知事件的发生没有预期的警报，则分析权限并进行调解。
给定一个未报告其统计信息的自定义应用程序，分析配置并进行调解。
查看系统和用户活动的审计跟踪。

2.3.设计并实施日志记录解决方案。

分析体系结构并确定日志摄取的日志记录要求和来源。
根据 AWS 最佳实践分析需求并实施持久且安全的日志存储。
分析架构以确定哪些 AWS 服务可用于自动化日志摄取和分析。

2.4.日志记录解决方案故障排除。

如果没有日志，确定不正确的配置并定义补救步骤。
分析日志记录访问权限以确定不正确的配置并定义补救步骤。
根据安全策略要求，确定正确的日志级别、类型和来源。

领域 3：基础设施安全

3.1 在 AWS 上设计边缘安全。

对于给定的工作负载，评估和限制攻击面。
减少爆炸半径（例如，通过跨帐户和区域分发应用程序）。
选择适当的 AWS 和/或第三方边缘服务，例如 WAF、CloudFront 和 Route 53，以防止 DDoS 或过滤应用程序级攻击。
给定应用程序的一组边缘保护要求，评估事件的机制并检测入侵的合规性并建议所需的更改。
测试 WAF 规则以确保它们阻止恶意流量。

3.2 设计和实施安全的网络基础设施。

禁用任何不必要的网络端口和协议。
给定一组边缘保护要求，评估应用程序的安全组和 NACL 是否合规，并建议所需的更改。
给定安全要求，决定网络分段（例如，安全组和 NACL）以允许所需的最小入口/出口访问。
确定 VPN 或 Direct Connect 的用例。
确定启用 VPC 流日志的用例。
给定 VPC 网络基础设施的描述，分析子网和网关的使用以实现安全操作。

3.3 对安全网络基础设施进行故障排除。

确定网络流量被拒绝的位置。
给定配置，确认安全组和 NACL 已正确实施。

3.4 设计和实现基于主机的安全性。

根据安全要求，安装和配置基于主机的保护，包括 Inspector 和 SSM。
决定何时使用基于主机的防火墙，如 iptables。
推荐主机强化和监控方法。

域 4：身份和访问管理

4.1 设计和实施可扩展的授权和身份验证系统以访问 AWS 资源。

根据工作负载的描述，分析 AWS 服务的访问控制配置并提出降低风险的建议。
根据组织如何管理其 AWS 账户的描述，验证其根用户的安全性。
根据您组织的合规性要求，确定何时应用用户策略和资源策略。
在组织的策略中，确定何时将目录服务联合到 IAM。
设计一个可扩展的授权模型，包括用户、组、角色和策略。
识别和限制数据和 AWS 资源的个人用户。
审查政策以确定用户/系统被限制执行超出其职责范围的功能，并强制执行适当的职责分离。

4.2 对访问 AWS 资源的授权和身份验证系统进行故障排除。

调查用户无法访问 S3 存储桶内容。
调查用户无法将角色切换到不同的帐户。
调查 Amazon EC2 实例无法访问给定 AWS 资源的问题。

领域 5：数据保护

5.1 设计和实施密钥管理和使用。

分析给定的场景以确定合适的密钥管理解决方案。
给定一组数据保护要求，评估密钥使用并推荐所需的天使。
确定和控制关键妥协事件的爆炸半径，并设计一个解决方案来包含它。

5.2 密钥管理故障排除。

分解 KMS 密钥授予和 IAM 策略之间的差异。
根据给定密钥的不同冲突策略推断优先级。
确定在受到威胁时何时以及如何撤销用户或服务的权限。

5.3 为静态数据和传输中的数据设计和实施数据加密解决方案。

给定一组数据保护要求，评估工作负载中静态数据的安全性并建议所需的更改。
验证密钥策略，使其只能由特定 AWS 服务使用。
通过基于标签的数据分类和自动修复来区分数据的合规状态。
评估多种传输加密技术并选择适当的方法（即 TLS、IPsec、客户端 KMS 加密）。

AWS Certified Security - Specialty 考试的费用是多少？

AWS Certified Security - Specialty 认证考试费用为 300 美元。考试时间为 170 分钟。 AWS Security Specialty 考试共有 65 道题，将是选择题和多选题。要通过考试，您必须在 100-1000 分的范围内取得 75% 到 80% 的分数。

您需要什么经验才能获得 AWS Certified Security - Specialty？

要参加 AWS Certified Security - Specialty 认证考试，专业人士必须持有 Cloud Practitioner 或 Associate 级别的 AWS 认证。此外，候选人必须在设计和实施安全解决方案方面至少需要五年的 IT 安全经验。除此之外，还需要两年使用和保护 AWS 系统和工作负载的实践经验。

谁应该参加 AWS Certified Security – Specialty 认证考试？

AWS Certified Security - Specialty 认证考试专为从事安全工作并且当然具备基本的云空间知识和技能的个人而设计。考试涵盖与 AWS 云服务相关的许多不同领域。

获得 AWS Security - Specialty 认证有哪些好处？

快速了解参加 AWS Certified Security - Specialty 认证考试的好处：

云安全对所有用例都至关重要
AWS 认证为 AWS 合作伙伴和从业者提供了一个受人尊敬的基准
确保团队成员遵循安全最佳实践
为团队成员提供专业发展
有助于满足 AWS 合作伙伴认证要求

AWS Certified Security – Specialty 值得吗？

毫无疑问，参加 AWS Certified Security - Specialty Certification 考试绝对值得您为考试投入时间、金钱和精力。请注意赢得此认证考试并不容易，但它确实为您的整体技能组合增加了一层额外的可信度和信心。

如果您是 AWS 从业者，专注于设计和实施安全解决方案，则需要获得此认证。在此考试中，您将学习深入的安全策略，以在完全不同的层面设计和实施解决方案，使您成为炙手可热的 AWS 安全专家。