AWS Certified Security – Specialty
1.0 SCS-C03
? 內容領域 1:檢測(占計分內容的 16%)
? 內容領域 2:事件響應(占計分內容的 14%)
? 內容領域 3:基礎設施安全(占計分內容的 18%)
? 內容領域 4:身份和訪問管理(占計分內容的 20%)
? 內容領域 5:數據保護(占計分內容的 18%)
? 內容領域 6:安全基礎與監管(占計分內容的 14%)
任務 1.1:為 AWS賬戶或企業設計并實施監控和警報解決方案。
技能 1.1.1:分析工作負載來確定監控需求。
技能 1.1.2:設計和實施工作負載監控策略(例如,配置資源運行狀況檢查)。
技能 1.1.3:匯總安全和監控事件。
技能 1.1.4:創建指標、警報和控制面板,用于檢測異常數據和事件(例如, Amazon
GuardDuty、Amazon Security Lake、AWS Security Hub、Amazon Macie)。
技能 1.1.5:創建和管理自動化功能,用于執行定期評估和調查(例如,部署 AWS
Config 合規包、Security Hub、AWS Systems Manager狀態管理器)。
任務 1.2:設計和實施日志記錄解決方案。
技能 1.2.1:根據要求,確定日志攝取和存儲的來源。
技能 1.2.2:為 AWS服務和應用程序配置日志記錄(例如,為企業配置 AWS
CloudTrail 跟蹤記錄、創建專用的 Amazon CloudWatch日志記錄賬戶、配置
Amazon CloudWatch Logs代理)。
技能 1.2.3:實施日志存儲和日志數據湖(例如, Security Lake),并集成第三方安
全工具。
技能 1.2.4:使用 AWS服務分析日志(例如, CloudWatch Logs Insights、Amazon
Athena、Security Hub調查發現)。
技能 1.2.5:使用 AWS服務標準化、解析和關聯日志(例如, Amazon OpenSearch
Service、AWS Lambda、Amazon Managed Grafana)。
技能 1.2.6:根據網絡設計、威脅和攻擊情況,確定并配置合適的日志源(例如,
VPC流日志、 Transit Gateway流日志、Amazon Route 53 Resolver 日志)。
任務 1.3:排查安全監控、日志記錄和警報解決方案。
技能 1.3.1:分析資源的功能、權限和配置(例如, Lambda 函數日志記錄、 Amazon
API Gateway日志記錄、運行狀況檢查、 Amazon CloudFront日志記錄)。
技能 1.3.2:修復資源配置錯誤(例如,排查 CloudWatch代理的配置問題、排查缺
失的日志)。
任務 2.1:設計和測試事件響應計劃。
技能 2.1.1:設計并實施響應計劃和運行手冊,來應對安全事件(例如, Systems
Manager OpsCenter、Amazon SageMaker人工智能筆記本)。
技能 2.1.2:利用 AWS服務特性和功能配置服務,來為應對各種事件做好準備(例如,
預置訪問權限、部署安全工具、盡可能縮小影響范圍、配置 AWS Shield Advanced
保護措施)。
技能 2.1.3:推薦用于測試和驗證事件響應計劃有效性的程序(例如 AWS Fault
Injection Service、AWS韌性監測中心)。
技能 2.1.4:使用 AWS服務自動修復事件(例如, Systems Manager、適用于
Amazon EC2的自動化取證編排工具、 AWS Step Functions、Amazon應用程序恢復
控制器、Lambda 函數)。
任務 2.2:響應安全事件。
技能 2.2.1:捕獲相關的系統和應用程序日志,并將其存儲為取證文檔。
技能 2.2.2:跨應用程序和 AWS服務,搜索并關聯安全事件的日志。
技能 2.2.3:驗證 AWS安全服務的調查發現,評估事件的范圍和影響。
技能 2.2.4:對受影響的資源采取行動,遏制和根除威脅并恢復資源(例如,
實施網絡控制措施、恢復備份)。
技能 2.2.5:描述開展根本原因分析的方法(例如, Amazon Detective)。
任務 3.1:針對網絡邊緣服務,設計、實施安全控制措施,以及進行故障排除。
技能 3.1.1:根據預計的威脅和攻擊,定義和選擇邊緣安全策略。
技能 3.1.2:實施適當的網絡邊緣保護措施(例如, CloudFront標頭、AWS WAF、
AWS IoT策略、防御 OWASP 十大威脅、 Amazon S3跨源資源共享 [CORS]、Shield
Advanced)。
技能 3.1.3:根據要求(例如,地理位置、速率限制、客戶端指紋識別),設計和
實施 AWS邊緣控制措施和規則。
技能 3.1.4:配置與 AWS邊緣服務和第三方服務的集成(例如,以 Open Cybersecurity
Schema Framework [OCSF]格式攝取數據,使用第三方 WAF 規則等)。
任務 3.2:針對計算工作負載,設計、實施安全控制措施,以及進行故障排除。
技能 3.2.1:設計和實施強化的 Amazon EC2 AMI和容器映像,用于保護計算工作
負載并嵌入安全控制措施(例如, Systems Manager、EC2 Image Builder)。
技能 3.2.2:正確地應用實例配置文件、服務角色和執行角色,用于授權計算工作
負載。
技能 3.2.3:掃描計算資源中是否存在已知漏洞(例如,使用 Amazon Inspector 掃描
容器映像和 Lambda 函數,使用 GuardDuty監控計算運行時)。
技能 3.2.4:實施自動更新流程并集成持續驗證方法(例如, Systems Manager 補丁
管理器、Amazon Inspector),來跨計算資源部署補丁,確保環境安全且合規。
技能 3.2.5:配置對計算資源進行安全的管理訪問(例如, Systems Manager Session
Manager、EC2 Instance Connect)。
技能 3.2.6:配置安全工具,發現和修復管道中的漏洞(例如, Amazon Q 開發者版、
Amazon CodeGuru 安全防御工具)。
技能 3.2.7:為生成式人工智能應用程序實施保護和防護機制(例如,根據 OWASP
生成式人工智能十大安全風險,保護大型語言模型)。
任務 3.3:設計網絡安全控制措施,以及進行故障排除。
技能 3.3.1:設計相應的網絡控制措施,根據需要允許或阻止網絡流量,以及進行
故障排除(例如,安全組、網絡 ACL、AWS Network Firewall)。
技能 3.3.2:設計混合環境和多云網絡之間的安全連接(例如 AWS Site-to-Site
VPN、AWS Direct Connect、MAC Security [MACsec])。
技能 3.3.3:針對混合環境與 AWS 之間的通信,確定并配置安全工作負載要求(例如,
使用 AWS Verified Access)。
技能 3.3.4:根據安全要求設計網絡分段(例如,北 /南流量和東/西流量保護、隔離子網)。
技能 3.3.5:識別不必要的網絡訪問(例如, AWS Verified Access、Network Access
Analyzer、Amazon Inspector Network Reachability調查發現)。
任務 4.1:設計和實施身份驗證策略,以及進行故障排除。
技能 4.1.1:設計并建立用于人員、應用程序和系統身份驗證的身份解決方案(例如,
AWS IAM Identity Center、Amazon Cognito、多重身份驗證 [MFA]、身份提供商
[IdP] 集成)。
技能 4.1.2:配置頒發臨時憑證的機制(例如, AWS Security Token Service [AWS STS]、
Amazon S3預簽名 URL)。
技能 4.1.3:排查身份驗證問題(例如, CloudTrail、Amazon Cognito、IAM Identity
Center 權限集、 AWS Directory Service)。
任務 4.2:設計和實施授權策略,以及進行故障排除。
技能 4.2.1:設計并評估面向人員、應用程序和系統訪問的授權控制措施(例如,
Amazon Verified Permissions、IAM路徑、IAM Roles Anywhere、跨賬戶訪問的資源
策略、IAM角色信任策略)。
技能 4.2.2:設計基于屬性的訪問控制 (ABAC)策略和基于角色的訪問控制 (RBAC)
策略(例如,配置基于標簽或屬性的資源訪問)。
技能 4.2.3:遵循最低權限原則來設計、解釋和實施 IAM策略(例如,權限邊界、
會話策略)。
技能 4.2.4:分析授權故障來確定原因或影響(例如, IAM策略模擬器、IAM訪問
權限分析器)。
技能 4.2.5:調查并更正向資源、服務或實體意外授予的權限、授權或特權(例如,
IAM訪問權限分析器)。
任務 5.1:為傳輸中的數據設計和實施控制措施。
技能 5.1.1:設計并配置在連接資源時要求進行加密的機制(例如,配置彈性負載
均衡 [ELB] 安全策略,強制執行 TLS配置)。
技能 5.1.2:設計并配置用于安全私密地訪問資源的機制(例如, AWS PrivateLink、
VPC端點、AWS Client VPN、AWS Verified Access)。
技能 5.1.3:設計并配置資源間的傳輸中加密(例如,針對 Amazon EMR、Amazon
Elastic Kubernetes Service [Amazon EKS]、SageMaker人工智能的節點間加密配置,
Nitro 加密)。
任務 5.2:針對靜態數據設計和實施控制措施。
技能 5.2.1:根據特定要求,設計、實施和配置靜態數據加密(例如,選擇 AWS
CloudHSM 或 AWS Key Management Service [AWS KMS]等合適的加密密鑰服務,
或者選擇客戶端加密或服務器端加密等合適的加密類型)。
技能 5.2.2:設計并配置保護數據完整性的機制(例如, S3 對象鎖定、 S3 Glacier文件
庫鎖定、版本控制、數字代碼簽名、文件驗證)。
技能 5.2.3:為數據設計自動生命周期管理和保留解決方案(例如, S3 生命周期策略、
S3 對象鎖定、 Amazon Elastic File System [Amazon EFS]生命周期策略、適用于
Lustre 的 Amazon FSx備份策略)。
技能 5.2.4:設計并配置安全的數據復制和備份解決方案(例如, Amazon Data
Lifecycle Manager、AWS Backup、勒索軟件防護、AWS DataSync)。
任務 5.3:設計和實施控制措施,用于保護機密數據、憑證、密鑰和加密密鑰材料。
技能 5.3.1:設計憑證及密鑰的管理和輪換機制(例如, AWS Secrets Manager)。
技能 5.3.2:管理和使用導入的密鑰材料(例如,管理和輪換導入的密鑰材料,管理
和配置外部密鑰存儲)。
技能 5.3.3:說明導入的密鑰材料與 AWS生成的密鑰材料之間的區別。
技能 5.3.4:掩蔽敏感數據(例如, CloudWatch Logs數據保護策略、 Amazon
Simple Notification Service [Amazon SNS]消息數據保護)。
技能 5.3.5:在單個或多個 AWS區域中,創建并管理加密密鑰和證書(例如,
AWS KMS 客戶自主管理型 AWS KMS 密鑰、 AWS Private Certificate Authority)。
任務 6.1:制定策略來集中部署和管理 AWS賬戶。
技能 6.1.1:使用 AWS Organizations部署和配置組織。
技能 6.1.2:在新環境和現有環境中實施并管理 AWS Control Tower,部署可選和
自定義的控制措施。
技能 6.1.3:實施組織策略來管理權限(例如, SCP、RCP、AI服務選擇退出策略、
聲明性策略)。
技能 6.1.4:集中管理安全服務(例如,委派管理員帳戶)。
技能 6.1.5:管理 AWS賬戶根用戶憑證(例如,集中成員賬戶的根訪問權限、管理
MFA、設計破譯程序)。
任務 6.2:為云資源實施安全且一致的部署策略。
技能 6.2.1:使用基礎設施即代碼 (IaC),以一致的方式,安全地跨賬戶部署云資源(例
如, CloudFormation堆棧集、第三方 IaC 工具、 CloudFormation Guard、cfn-lint)。
技能 6.2.2:使用標簽將 AWS資源分組,方便進行管理(例如,按部門、成本中心、
環境分組)。
技能 6.2.3:從中心來源部署并執行策略和配置(例如 AWS Firewall Manager)。
技能 6.2.4:在 AWS賬戶之間安全地共享資源(例如, AWS Service Catalog、AWS
Resource Access Manager [AWS RAM])。
任務 6.3:評估 AWS資源的合規性。
技能 6.3.1:創建或啟用規則,用于檢測和修復不合規的 AWS資源并發送通知(例如,
使用 AWS Config 匯總警報和修復不合規資源, Security Hub)。
技能 6.3.2:使用 AWS審計服務來收集和整理證據(例如 AWS Audit Manager、
AWS Artifact)。
技能 6.3.3:使用 AWS服務,根據 AWS安全最佳實踐評估架構的合規性(例如,
AWS Well-Architected Framework工具)。