AWS Certified Security - Specialty
1.1 SCS-C02
? 領(lǐng)域 1: 威脅檢測和事件響應(yīng)(占計(jì)分內(nèi)容的 14%)
? 領(lǐng)域 2: 安全日志記錄和監(jiān)控(占計(jì)分內(nèi)容的 18%)
? 領(lǐng)域 3: 基礎(chǔ)設(shè)施安全(占計(jì)分內(nèi)容的 20%)
? 領(lǐng)域 4: 身份和訪問管理(占計(jì)分內(nèi)容的 16%)
? 領(lǐng)域 5: 數(shù)據(jù)保護(hù)(占計(jì)分內(nèi)容的 18%)
? 領(lǐng)域 6: 管理和安全監(jiān)管(占計(jì)分內(nèi)容的 14%)
任務(wù)表述 1.1: 設(shè)計(jì)和實(shí)施事件響應(yīng)計(jì)劃。
掌握以下知識(shí):
? AWS 事件響應(yīng)最佳實(shí)踐
? 云事件
? 事件響應(yīng)計(jì)劃中的角色和職責(zé)
? AWS Security Finding Format (ASFF)
具備以下技能:
? 實(shí)施憑證失效和輪換策略以應(yīng)對攻擊(例如,使用 AWS Identity and
Access Management [IAM] 和 AWS Secrets Manager)
? 隔離 AWS 資源
? 設(shè)計(jì)和實(shí)施操作手冊和運(yùn)行手冊以應(yīng)對安全事件
? 部署安全服務(wù)(例如 AWS Security Hub、Amazon Macie、Amazon
GuardDuty、Amazon Inspector、AWS Config、Amazon Detective、
AWS Identity and Access Management Access Analyzer)
? 配置與原生 AWS 服務(wù)和第三方服務(wù)的集成(例如,使用 Amazon EventBridge
和 ASFF)
任務(wù)表述 1.2: 使用 AWS 服務(wù)檢測安全威脅和異常。
掌握以下知識(shí):
? 檢測威脅的 AWS 托管安全服務(wù)
? 用于聯(lián)接不同服務(wù)中的數(shù)據(jù)的異常和關(guān)聯(lián)技術(shù)
? 用于找出異常的可視化服務(wù)
? 用于集中處理安全結(jié)果的策略
具備以下技能:
? 評估安全服務(wù)(例如 GuardDuty、Security Hub、Macie、AWS Config、
IAM Access Analyzer)的結(jié)果
? 在不同的 AWS 服務(wù)中搜索和關(guān)聯(lián)安全威脅(例如,使用 Detective)
? 執(zhí)行查詢以驗(yàn)證安全事件(例如,使用 Amazon Athena)
? 創(chuàng)建指標(biāo)篩選條件和控制面板以檢測異常活動(dòng)(例如,使用
Amazon CloudWatch)
任務(wù)表述 1.3: 應(yīng)對受到攻擊的資源和工作負(fù)載。
掌握以下知識(shí):
? AWS 安全事件響應(yīng)指南
? 資源隔離機(jī)制
? 根本原因分析技術(shù)
? 數(shù)據(jù)捕獲機(jī)制
? 用于事件驗(yàn)證的日志分析
具備以下技能:
? 使用 AWS 服務(wù)(例如 AWS Lambda、AWS Step Functions、EventBridge、
AWS Systems Manager 運(yùn)行手冊、Security Hub、AWS Config)自動(dòng)進(jìn)行
修復(fù)
? 應(yīng)對受到攻擊的資源(例如,隔離 Amazon EC2 實(shí)例)
? 調(diào)查和分析以進(jìn)行根本原因分析(例如,使用 Detective)
? 從受到攻擊的資源(例如 Amazon Elastic Block Store [Amazon EBS] 卷快照、
內(nèi)存轉(zhuǎn)儲(chǔ))中捕獲相關(guān)的取證數(shù)據(jù)
? 在 Amazon S3 中查詢?nèi)罩疽垣@取與安全事件相關(guān)的上下文信息(例如,
使用 Athena)
? 保護(hù)和保留取證條目(例如,使用 S3 對象鎖定、隔離的取證賬戶、
S3 生命周期和 S3 復(fù)制)
? 為事件準(zhǔn)備服務(wù)以及在發(fā)生事件后恢復(fù)服務(wù)
任務(wù)表述 2.1: 設(shè)計(jì)和實(shí)施監(jiān)控和告警以處理安全事件。
掌握以下知識(shí):
? 監(jiān)控事件并提供告警的 AWS 服務(wù)(例如 CloudWatch、EventBridge)
? 自動(dòng)發(fā)出告警的 AWS 服務(wù)(例如 Lambda、Amazon Simple Notification
Service [Amazon SNS]、Security Hub)
? 監(jiān)控指標(biāo)和基準(zhǔn)的工具(例如 GuardDuty、Systems Manager)
具備以下技能:
? 分析架構(gòu)以確定安全監(jiān)控的監(jiān)控要求和數(shù)據(jù)源
? 分析環(huán)境和工作負(fù)載以確定監(jiān)控要求
? 根據(jù)業(yè)務(wù)和安全要求設(shè)計(jì)環(huán)境監(jiān)控和工作負(fù)載監(jiān)控
? 設(shè)置自動(dòng)化工具和腳本以執(zhí)行定期審核(例如,在 Security Hub 中創(chuàng)建
自定義見解)
? 定義生成告警的指標(biāo)和閾值
任務(wù)表述 2.2: 排查安全監(jiān)控和告警的問題。
掌握以下知識(shí):
? 監(jiān)控服務(wù)(例如 Security Hub)的配置
? 指示安全事件的相關(guān)數(shù)據(jù)
具備以下技能:
? 在發(fā)生未提供可見性或告警的事件后分析資源的服務(wù)功能、權(quán)限和配置
? 分析和修復(fù)未報(bào)告其統(tǒng)計(jì)數(shù)據(jù)的自定義應(yīng)用程序的配置
? 評估日志記錄和監(jiān)控服務(wù)是否符合安全要求
任務(wù)表述 2.3: 設(shè)計(jì)和實(shí)施日志記錄解決方案。
掌握以下知識(shí):
? 提供日志記錄功能的 AWS 服務(wù)和功能(例如 VPC 流日志、DNS 日志、
AWS CloudTrail、Amazon CloudWatch Logs)
? 日志記錄功能屬性(例如日志級別、類型、詳細(xì)程度)
? 日志目標(biāo)和生命周期管理(例如留存期限)
具備以下技能:
? 為服務(wù)和應(yīng)用程序配置日志記錄
? 確定日志攝取的日志記錄要求和來源
? 根據(jù) AWS 最佳實(shí)踐和組織要求實(shí)施日志存儲(chǔ)和生命周期管理
任務(wù)表述 2.4: 排查日志記錄解決方案的問題。
掌握以下知識(shí):
? 提供數(shù)據(jù)源的 AWS 服務(wù)的功能和使用案例(例如日志級別、類型、
詳細(xì)程度、頻率、及時(shí)性、不變性)
? 提供日志記錄功能的 AWS 服務(wù)和功能(例如 VPC 流日志、DNS 日志、
CloudTrail、CloudWatch Logs)
? 日志記錄所需的訪問權(quán)限
具備以下技能:
? 找出錯(cuò)誤配置,并確定缺少日志記錄所需的訪問權(quán)限的修復(fù)步驟(例如,
管理讀/寫權(quán)限、S3 存儲(chǔ)桶權(quán)限、公有訪問和完整性)
? 確定缺少日志的原因并執(zhí)行修復(fù)步驟
任務(wù)表述 2.5: 設(shè)計(jì)日志分析解決方案。
掌握以下知識(shí):
? 用于對捕獲的日志進(jìn)行分析的服務(wù)和工具(例如 Athena、CloudWatch Logs
篩選條件)
? AWS 服務(wù)的日志分析功能(例如 CloudWatch Logs Insights、CloudTrail
Insights、Security Hub Insights)
具備以下技能:
? 找出日志中的模式以指出異常和已知威脅
? 規(guī)范化、解析和關(guān)聯(lián)日志
任務(wù)表述 3.1: 為邊緣服務(wù)設(shè)計(jì)和實(shí)施安全控制。
掌握以下知識(shí):
? 邊緣服務(wù)上的安全功能(例如 AWS WAF、負(fù)載均衡器、Amazon Route 53、
Amazon CloudFront、AWS Shield)
? 常見攻擊、威脅和漏洞(例如 Open Web Application Security Project
[OWASP] Top 10、DDoS)
? 分層 Web 應(yīng)用程序架構(gòu)
具備以下技能:
? 為常見使用案例(例如公有網(wǎng)站、無服務(wù)器應(yīng)用程序、移動(dòng)應(yīng)用程序后端)
定義邊緣安全策略
? 根據(jù)預(yù)期的威脅和攻擊(例如 OWASP Top 10、DDoS)選擇相應(yīng)的邊緣服務(wù)
? 根據(jù)預(yù)期的漏洞和風(fēng)險(xiǎn)(例如易受攻擊的軟件、應(yīng)用程序、庫)選擇相應(yīng)的
保護(hù)措施
? 組合使用邊緣安全服務(wù)以定義防御層(例如,將 CloudFront 與 AWS WAF 和
負(fù)載均衡器一起使用)
? 根據(jù)各種條件(例如地理區(qū)域、地理位置、速率限制)在邊緣應(yīng)用限制
? 圍繞邊緣服務(wù)激活日志、指標(biāo)和監(jiān)控以指出攻擊
任務(wù)表述 3.2: 設(shè)計(jì)和實(shí)施網(wǎng)絡(luò)安全控制。
掌握以下知識(shí):
? VPC 安全機(jī)制(例如安全組、網(wǎng)絡(luò) ACL、AWS Network Firewall)
? VPC 間連接(例如 AWS Transit Gateway、VPC 終端節(jié)點(diǎn))
? 安全遙測源(例如流量鏡像、VPC 流日志)
? VPN 技術(shù)、術(shù)語和用法
? 本地連接選項(xiàng)(例如 AWS VPN、AWS Direct Connect)
具備以下技能:
? 根據(jù)安全要求實(shí)施網(wǎng)絡(luò)分段(例如公有子網(wǎng)、私有子網(wǎng)、敏感 VPC、
本地連接)
? 設(shè)計(jì)網(wǎng)絡(luò)控制以根據(jù)需要允許或禁止網(wǎng)絡(luò)流量(例如,使用安全組、網(wǎng)絡(luò) ACL
和 Network Firewall)
? 設(shè)計(jì)網(wǎng)絡(luò)流量以使數(shù)據(jù)遠(yuǎn)離公有互聯(lián)網(wǎng)(例如,在 VPC 中使用 Transit
Gateway、VPC 終端節(jié)點(diǎn)和 Lambda)
? 根據(jù)網(wǎng)絡(luò)設(shè)計(jì)、威脅和攻擊確定要監(jiān)控的遙測源(例如負(fù)載均衡器日志、
VPC 流日志、流量鏡像)
? 確定本地部署環(huán)境和 AWS 云之間通信的冗余和安全工作負(fù)載要求(例如,
使用 AWS VPN、基于 Direct Connect 的 AWS VPN 和 MACsec)
? 找出和刪除不必要的網(wǎng)絡(luò)訪問權(quán)限
? 根據(jù)要求變化管理網(wǎng)絡(luò)配置(例如,使用 AWS Firewall Manager)
任務(wù)表述 3.3: 為計(jì)算工作負(fù)載設(shè)計(jì)和實(shí)施安全控制。
掌握以下知識(shí):
? 預(yù)置和維護(hù) EC2 實(shí)例(例如,修補(bǔ)、檢查、創(chuàng)建快照和 AMI、使用
EC2 Image Builder)
? IAM 實(shí)例角色和 IAM 服務(wù)角色
? 掃描計(jì)算工作負(fù)載中的漏洞的服務(wù)(例如 Amazon Inspector、Amazon Elastic
Container Registry [Amazon ECR])
? 基于主機(jī)的安全性(例如防火墻、強(qiáng)化)
具備以下技能:
? 創(chuàng)建強(qiáng)化的 EC2 AMI
? 根據(jù)需要應(yīng)用實(shí)例角色和服務(wù)角色以授權(quán)計(jì)算工作負(fù)載
? 掃描 EC2 實(shí)例和容器映像以查找已知漏洞
? 在一系列 EC2 實(shí)例或容器映像中應(yīng)用補(bǔ)丁
? 激活基于主機(jī)的安全機(jī)制(例如基于主機(jī)的防火墻)
? 分析 Amazon Inspector 結(jié)果并確定相應(yīng)的緩解技術(shù)
? 將密鑰和憑證安全地傳遞到計(jì)算工作負(fù)載
任務(wù)表述 3.4: 排查網(wǎng)絡(luò)安全問題。
掌握以下知識(shí):
? 如何分析可訪問性(例如,使用 VPC Reachability Analyzer 和
Amazon Inspector)
? 基本 TCP/IP 聯(lián)網(wǎng)概念(例如,UDP 與 TCP 的比較、端口、開放系統(tǒng)
互連 [OSI] 模型、網(wǎng)絡(luò)操作系統(tǒng)實(shí)用程序)
? 如何讀取相關(guān)的日志源(例如 Route 53 日志、AWS WAF 日志、
VPC 流日志)
具備以下技能:
? 找出和解釋網(wǎng)絡(luò)連接中的問題并確定其優(yōu)先級(例如,使用
Amazon Inspector Network Reachability)
? 確定產(chǎn)生所需網(wǎng)絡(luò)行為的解決方案
? 分析日志源以找出問題
? 捕獲流量樣本以分析問題(例如,使用流量鏡像)
任務(wù)表述 4.1: 為 AWS 資源設(shè)計(jì)和實(shí)施身份驗(yàn)證并進(jìn)行故障排查。
掌握以下知識(shí):
? 創(chuàng)建和管理身份的方法和服務(wù)(例如聯(lián)合身份、身份提供程序、
AWS IAM Identity Center [AWS Single
Sign-On]、Amazon Cognito)
? 長期和臨時(shí)認(rèn)證機(jī)制
? 如何解決身份驗(yàn)證問題(例如,使用 CloudTrail、IAM Access Advisor 和
IAM 策略模擬器)
具備以下技能:
? 根據(jù)要求通過身份驗(yàn)證系統(tǒng)確定身份
? 設(shè)置多重身份驗(yàn)證 (MFA)
? 確定何時(shí)使用 AWS Security Token Service (AWS STS) 頒發(fā)臨時(shí)憑證
任務(wù)表述 4.2: 為 AWS 資源設(shè)計(jì)和實(shí)施授權(quán)并排查問題。
掌握以下知識(shí):
? 不同的 IAM 策略(例如托管策略、內(nèi)聯(lián)策略、基于身份的策略、基于資源的
策略、會(huì)話控制策略)
? 策略的組成部分和影響(例如委托人、操作、資源、條件)
? 如何解決授權(quán)問題(例如,使用 CloudTrail、IAM Access Advisor 和 IAM 策略
模擬器)
具備以下技能:
? 構(gòu)建基于屬性的訪問控制 (ABAC) 和基于角色的訪問控制 (RBAC) 策略
? 評估給定要求和工作負(fù)載的 IAM 策略類型
? 解釋 IAM 策略對環(huán)境和工作負(fù)載的影響
? 在環(huán)境中應(yīng)用最低權(quán)限原則
? 實(shí)施適當(dāng)?shù)穆氊?zé)分離
? 分析訪問或授權(quán)錯(cuò)誤以確定原因或影響
? 調(diào)查為資源、服務(wù)或?qū)嶓w授予的計(jì)劃外權(quán)限、授權(quán)或特權(quán)
任務(wù)表述 5.1: 設(shè)計(jì)和實(shí)施控制措施,以便為傳輸中的數(shù)據(jù)提供機(jī)密性和完整性。
掌握以下知識(shí):
? TLS 概念
? VPN 概念(例如 IPsec)
? 安全遠(yuǎn)程訪問方法(例如 SSH、基于 Systems Manager Session Manager 的
RDP)
? Systems Manager Session Manager 概念
? TLS 證書如何與各種網(wǎng)絡(luò)服務(wù)和資源(例如 CloudFront、負(fù)載均衡器)
一起使用
具備以下技能:
? 設(shè)計(jì) AWS 和本地部署網(wǎng)絡(luò)之間的安全連接(例如,使用 Direct Connect 和
VPN 網(wǎng)關(guān))
? 設(shè)計(jì)機(jī)制以要求在連接到資源時(shí)進(jìn)行加密(例如 Amazon RDS、Amazon
Redshift、CloudFront、Amazon S3、Amazon DynamoDB、負(fù)載均衡器、
Amazon Elastic File System [Amazon EFS]、Amazon API Gateway)
? 要求使用 TLS 進(jìn)行 AWS API 調(diào)用(例如,使用 Amazon S3)EC2 Instance Connect)
? 使用私有 VIF 和公有 VIF 設(shè)計(jì)跨區(qū)域聯(lián)網(wǎng)
任務(wù)表述 5.2: 設(shè)計(jì)和實(shí)施控制措施,以便為靜態(tài)數(shù)據(jù)提供機(jī)密性和完整性。
掌握以下知識(shí):
? 加密技術(shù)選擇(例如客戶端、服務(wù)器端、對稱、非對稱)
? 完整性檢查技術(shù)(例如哈希算法、數(shù)字簽名)
? 資源策略(例如 DynamoDB、Amazon S3 和 AWS Key Management Service
[AWS KMS])
? IAM 角色和策略
具備以下技能:
? 設(shè)計(jì)資源策略以僅限授權(quán)用戶進(jìn)行訪問(例如 S3 存儲(chǔ)桶策略、DynamoDB
策略)
? 設(shè)計(jì)機(jī)制以禁止未經(jīng)授權(quán)的公有訪問(例如,S3 阻止公有訪問、禁止公有
快照和公用 AMI)
? 配置服務(wù)以激活靜態(tài)數(shù)據(jù)加密(例如 Amazon S3、Amazon RDS、
DynamoDB、Amazon Simple Queue Service [Amazon SQS]、Amazon EBS、
Amazon EFS)
? 設(shè)計(jì)機(jī)制以通過禁止修改保護(hù)數(shù)據(jù)完整性(例如,使用 S3 對象鎖定、
KMS 密鑰策略、S3 Glacier 文件庫鎖定和 AWS Backup 文件庫鎖定)
? 使用 AWS CloudHSM 為關(guān)系數(shù)據(jù)庫(例如 Amazon RDS、RDS Custom、
EC2 實(shí)例上的數(shù)據(jù)庫)設(shè)計(jì)靜態(tài)加密
? 根據(jù)業(yè)務(wù)要求選擇加密技術(shù)
任務(wù)表述 5.3: 設(shè)計(jì)和實(shí)施控制措施,以便管理靜態(tài)數(shù)據(jù)的生命周期。
掌握以下知識(shí):
? 生命周期策略
? 數(shù)據(jù)留存標(biāo)準(zhǔn)
具備以下技能:
? 設(shè)計(jì) S3 生命周期機(jī)制以按照所需的留存期限來保留數(shù)據(jù)(例如 S3 對象鎖定、
S3 Glacier 文件庫鎖定、S3 生命周期策略)
? 為 AWS 服務(wù)和資源(例如 Amazon S3、EBS 卷快照、RDS 卷快照、AMI、
容器映像、CloudWatch 日志組、Amazon Data Lifecycle Manager)設(shè)計(jì)
自動(dòng)生命周期管理
? 為不同 AWS 服務(wù)的 AWS Backup 設(shè)置計(jì)劃和留存期限
任務(wù)表述 5.4: 設(shè)計(jì)和實(shí)施控制以保護(hù)憑證、密鑰和加密密鑰材料。
掌握以下知識(shí):
? Secrets Manager
? Systems Manager Parameter Store
? 使用和管理對稱密鑰和非對稱密鑰(例如 AWS KMS)
具備以下技能:
? 為工作負(fù)載設(shè)計(jì)密鑰管理和輪換(例如數(shù)據(jù)庫訪問憑證、API 密鑰、IAM 訪問
密鑰、AWS KMS 客戶托管密鑰)
? 設(shè)計(jì) KMS 密鑰策略以僅限授權(quán)用戶使用密鑰
? 建立機(jī)制以導(dǎo)入和刪除客戶提供的密鑰材料
任務(wù)表述 6.1: 制定策略以集中部署和管理 AWS 賬戶。
掌握以下知識(shí):
? 多賬戶策略
? 允許委派的管理的托管服務(wù)
? 策略定義的防護(hù)機(jī)制
? 根賬戶最佳實(shí)踐
? 跨賬戶角色
具備以下技能:
? 部署和配置 AWS Organizations
? 確定何時(shí)以及如何部署 AWS Control Tower(例如,必須停用哪些服務(wù)
才能成功進(jìn)行部署)
? 實(shí)施 SCP 以作為執(zhí)行策略的技術(shù)解決方案(例如,限制使用根賬戶,
在 AWS Control Tower 中實(shí)施控制措施)
? 集中管理安全服務(wù)和匯總結(jié)果(例如,使用委派的管理和 AWS Config
聚合器)
? 保護(hù) AWS 賬戶根用戶憑證
任務(wù)表述 6.2: 為云資源實(shí)施安全且一致的部署策略。
掌握以下知識(shí):
? 使用基礎(chǔ)設(shè)施即代碼 (IaC) 的部署最佳實(shí)踐(例如 AWS CloudFormation
模板強(qiáng)化和偏差檢測)
? 標(biāo)記最佳實(shí)踐
? AWS 服務(wù)的集中管理、部署和版本控制
? 對 AWS 基礎(chǔ)設(shè)施的可見性和控制
具備以下技能:
? 使用 CloudFormation 一致且安全地部署云資源
? 實(shí)施和執(zhí)行多賬戶標(biāo)記策略
? 配置和部署批準(zhǔn)的 AWS 服務(wù)組合(例如,使用 AWS Service Catalog)
? 將 AWS 資源劃分到不同的組進(jìn)行管理
? 部署 Firewall Manager 以執(zhí)行策略
? 在 AWS 賬戶之間安全地共享資源(例如,使用 AWS Resource Access
Manager [AWS RAM])
任務(wù)表述 6.3: 評估 AWS 資源的合規(guī)性。
掌握以下知識(shí):
? 使用 AWS 服務(wù)進(jìn)行數(shù)據(jù)分類
? 如何評定、審核和評估 AWS 資源的配置(例如,使用 AWS Config)
具備以下技能:
? 使用 Macie 找出敏感數(shù)據(jù)
? 創(chuàng)建 AWS Config 規(guī)則以檢測不合規(guī)的 AWS 資源
? 使用 Security Hub 和 AWS Audit Manager 收集和整理證據(jù)
任務(wù)表述 6.4: 通過架構(gòu)審核和成本分析找出安全漏洞。
掌握以下知識(shí):
? 用于找出異常的 AWS 成本和使用情況
? 減少攻擊面的策略
? AWS Well-Architected Framework
具備以下技能:
? 根據(jù)資源使用率和趨勢找出異常
? 使用 AWS 服務(wù)和工具(例如 AWS Trusted Advisor、AWS Cost Explorer)
找出未使用的資源
? 使用 AWS Well-Architected Tool 找出安全漏洞