Мои советы и рекомендации по подготовке к сдаче экзамена AWS Certified Security-Specialty Exam

Недавно я сдал экзамен AWS Certified Security-Specialty. Мне удалось сдать его, и я хотел поделиться некоторыми важными советами, которые, я думаю, могут быть полезны для людей, которые планируют сдавать этот экзамен в ближайшем будущем.

Прежде всего, немного предыстории о себе. Я работаю в основном над проектированием и внедрением облачных решений, и я не являюсь специалистом по безопасности как таковой, моя безопасность больше связана с общедоступным облаком, чтобы лучше защитить мои рабочие нагрузки, работающие в облаке.

Компьютерная безопасность сама по себе является большой темой, и в ней так много аспектов, например, как мы защищаем наши операционные системы, как мы защищаем наши сети, как мы защищаем передачу входящих и исходящих данных и т. д. И когда у нас есть глобально распределенные и виртуализированные среды, такие как общедоступные облака, есть еще больше аспектов, о которых нужно беспокоиться.

Теперь, что касается экзамена AWS Certified Security-Specialty, этот экзамен проверит вас в основном по следующим аспектам:

  • Как безопасно выполнять свои рабочие нагрузки на AWS.
  • Как аутентифицировать и авторизовать пользователей вашей облачной среды.
  • Как защитить свои данные, хранящиеся на AWS.
  • Как построить безопасные сети на AWS.
  • Как защитить трафик внутри ваших сетей AWS, а также трафик, исходящий из ваших сетей или входящий в вашу сеть, и т. д.

Предполагается, что у вас уже есть хорошие практические знания о том, как запускать виртуальные машины на AWS (EC2), создавать виртуальные сети на AWS (VPC, подсети, интернет-шлюзы и т. д.), как хранить свои данные на AWS (S3, RDS, DynamoDB). ) и т. д. Один или два сертификата AWS ассоциированного уровня определенно помогут, но это не обязательное условие. Если у вас уже есть опыт работы в сфере безопасности, вы активно работаете в области безопасности, даже если она не на AWS, это определенно очень поможет.

Руководство по экзамену для справки: AWS Certified Security-Specialty Exam Guide.

В этой статье предполагается, что вы уже прошли правильный путь подготовки к сертификационному экзамену, и вы можете использовать эту статью, чтобы проверить свое понимание различных рекомендуемых услуг, а также указать темы, которые вам, возможно, придется пересмотреть. перед сдачей экзамена. Теперь, что касается сервисов AWS, на которых вам нужно сосредоточиться, если мне нужно назвать только 3 сервиса AWS, которые могут вам помочь, по моему мнению, это будут следующие:

  • Я
  • КМС
  • CloudWatch

Ниже я перечислю вещи, на которых вам нужно сосредоточиться для этих Услуг. Вы можете использовать документацию AWS для поиска подробностей, где это применимо, для моментов, которые, по вашему мнению, нуждаются в пересмотре.

Управление идентификацией и доступом

  • Узнайте мельчайшие подробности об использовании ролей AWS для авторизации доступа к вашим ресурсам, например, о том, как назначать разрешения ролям, как назначать роли инстансам EC2, о функциях Lambda для авторизации доступа к другим сервисам. Знайте, почему мы должны использовать роли вместо встраивания учетных данных пользователя, таких как токены ключа доступа, в наши экземпляры и код EC2 — это действительно важно.
  • Знайте, какие шаги необходимо предпринять, чтобы исправить утечку учетных данных доступа пользователей к общедоступной платформе управления версиями, такой как GitHub.
  • Узнайте подробности о политиках и о том, как писать политики для конкретного варианта использования. Знайте различные части документа политики и то, что они представляют: Эффект, Действие, Ресурс, Принцип, Условие. Очень важно знать, как политики разрешаются для пользователя на основе политик IAM, политик на основе ресурсов, границ разрешений и SCP организации. Знайте, как использовать переменные в документах политики, чтобы сделать их динамическими.
  • Узнайте, как настроить федерацию и единый вход с локальным экземпляром Active Directory.
  • Знайте, как STS работает вместе с Cognito UserPools, чтобы ваши пользователи могли проходить аутентификацию, используя свои учетные данные в социальных сетях, таких как Facebook, Amazon и т. д. Кроме того, знайте, как настроить роли для этих пользователей, чтобы они могли безопасно получать доступ к службам, к которым у них есть доступ.
  • Узнайте, как настроить организации, организационные подразделения и учетные записи участников AWS, как настроить доступ к нескольким учетным записям, например, как настроить централизованную учетную запись для хранения журналов наблюдения за облаком из остальных ваших учетных записей AWS (централизованное ведение журналов). Такие вещи, как настройка ролей между учетными записями, важно понимать очень хорошо.

КМС

Я думаю, что понимание того, как работает KMS и криптография с открытым ключом, является ключом к сдаче этого экзамена. Знайте следующие пункты:

  • Вам необходимо понимать, как работает шифрование. Такие вещи, как шифрование на конверте, главный ключ клиента (CMK), шифрование с симметричным ключом, асимметричное шифрование с ключом, ротация ключей, вам необходимо понимаю эти вещи очень хорошо.
  • Знайте, как работает AWS KMS, тот факт, что KMS является региональной службой, как настроить и использовать симметричные и асимметричные ключи в KMS, возможные источники ключевых материалов, используемых внутри ключей.
  • Хорошо знайте разницу между ключами, управляемыми AWS, и ключами, управляемыми клиентом, и когда какие из них использовать. Знайте, когда каждый из этих типов ключей получает автоматическую ротацию — важно.
  • Знайте, когда импортировать и использовать собственный ключевой материал в мастер-ключе клиента. В основном это связано с возможностью для клиента заменять ключ вручную по индивидуальному, гибкому графику, а не по фиксированному графику, например, через год, если есть бизнес-требование менять ключ еженедельно, ежемесячно и т. д. .
  • Узнайте, что такое CloudHSM и когда его использовать. Он используется, когда клиент не хочет делиться своей инфраструктурой шифрования с другими клиентами AWS и не хочет, чтобы кто-либо еще имел доступ к его ключам шифрования по нормативным причинам. Несмотря на то, что начальная стоимость использования CloudHSM была сокращена, почасовая стоимость использования по-прежнему довольно высока и может стать дороже по сравнению с KMS.
  • Знайте, когда использовать ключи, управляемые AWS, или ключи, управляемые клиентом, для шифрования томов EBS, баз данных RDS, корзин S3 и т. д.
  • Знайте, как использовать политики ключей, чтобы предоставить доступ к своим ключам KMS. Знайте разницу между ключевыми администраторами и ключевыми пользователями. Знайте, как создавать ключевые политики для предоставления доступа к вашим ключам, какие различные элементы ключевых политик.
  • Знайте, как и когда использовать Предоставление ключей, чтобы предоставить доступ к ключам KMS. Он используется, когда вам нужно предоставить доступ к своим ключам программным способом.
  • Узнайте, как предоставить доступ к CMK между учетными записями.
  • Узнайте о механизме копирования зашифрованного тома EBS в другой регион и о том, как это связано с тем, что AWS KMS является региональной службой. (Вам необходимо расшифровать, а затем повторно зашифровать том, используя ключ из региона назначения).
  • Знайте, как ограничить ключевой доступ к определенной службе, такой как S3, с помощью ViaService-важно!
  • Знайте, как запланировать удаление CMK в KMS, когда запланированное удаление действительно происходит и как прервать удаление CMK, если это необходимо.

Я могу продолжать и продолжать говорить о KMS, и для этого может понадобиться целая отдельная статья, но я считаю, что если вы знаете обо всех пунктах, перечисленных выше, этого должно быть достаточно.

CloudWatch

Также очень важно знать, как CloudWatch работает и интегрируется с другими сервисами AWS, такими как CloudTrail, AWS Config, S3. Ниже приведены ключевые моменты об Cloud Watch и их интеграции, которые вам необходимо понять:

  • Ознакомьтесь с общими понятиями AWS CloudWatch, такими как метрики, журналы, группы журналов, потоки журналов, события, оповещения и т. д.
  • Знайте, как установить и настроить агент CloudWatch на своих инстансах EC2/локальных виртуальных машинах, чтобы собирать пользовательские метрики и отправлять журналы из инстансов для долгосрочного хранения и хранения. В случае, если ваши экземпляры EC2 или локальные экземпляры по какой-то причине перестанут работать, и вы потеряете доступ к журналам приложений/ОС.
  • Узнайте, как мы можем настроить следы CloudTrail для долгосрочного хранения, доставив их в журналы CloudWatch или корзину S3. Очень важно знать, что CloudTrail используется для отслеживания действий API и изменений в вашей инфраструктуре AWS вашими пользователями. Проверка целостности файла журнала CloudTrail — еще один важный момент, о котором следует помнить.
  • Знайте, как и когда использовать события CloudWatch для запуска уведомлений SNS, функции Lambda.

Кроме того, помимо этих услуг, следует помнить и о других важных моментах:

  • Различное хранилище параметров Systems Manager для управления секретами, установка агента системного менеджера для входа в инстансы EC2 без их публикации в общедоступном Интернете, диспетчера исправлений для отслеживания и развертывания исправлений/обновлений на EC2/локальных инстансах , Run Command для автоматического выполнения команд на нескольких экземплярах EC2 и локальных экземплярах и т. д.
  • Узнайте, как использовать менеджер секретов для хранения учетных данных, таких как пароли пользователей, и как настроить автоматическую смену паролей для баз данных RDS. Узнайте о различиях между хранилищем параметров Systems Manager и диспетчером секретов и о том, когда что использовать.
  • Хорошо изучите AWS Config, как он используется для отслеживания изменений конфигурации в вашей инфраструктуре AWS и поддерживает историческую временную шкалу всех изменений конфигурации, внесенных в ваши ресурсы AWS, как создавать правила конфигурации для отслеживания изменений в вашей Ресурсы AWS и способы отката нежелательных изменений.
  • Узнайте, как работают сертификаты для защиты связи между клиентом и сервером, в чем разница между http и https, как создавать сертификаты с помощью AWS ACM и как развертывать эти сертификаты на дистрибутив CloudFront, Application Load Balancer или API Gateway, как настроить сквозное шифрование от ваших пользователей к вашему балансировщику нагрузки и от балансировщика нагрузки к вашим инстансам EC2.
  • Знайте, как и когда защищать данные S3 с помощью ключей, управляемых AWS или управляемых клиентом. Очень важно знать, как и когда генерировать предварительно подписанные URL-адреса для ваших объектов S3, как ограничить доступ к объектам S3 только вашей раздачей CloudFront с помощью идентификатора доступа к источнику. Знайте, как ограничить возможность загрузчика объектов S3 загружать объекты, не предоставляя доступ к объекту владельцу корзины с помощью заголовка запроса «x-amz-acl». Узнайте, как работают замки Glacier Vault и как они упрощают доступ к данным, заархивированным в Glacier, по принципу «запись один раз и чтение много раз» (WORM).
  • Узнайте о различиях между группами безопасности и NACL и о том, когда какие из них использовать.
  • Другие сервисы/концепции, которые можно получить на высоком уровне для AWS Certified Security-Speciality: AWS WAF, GuardDuty, Macie, Artifact, AWS Inspector, AWS Shield (защита от DDoS), журналы потоков VPC, пиринг VPC, VPN и DirectConnect, Trusted Advisor.

Вы можете воспользоваться приведенными ниже полезными подготовительными курсами к экзамену AWS Certified Security-Specialty:



Специальная сертификация AWS по безопасности — сертификационное обучение
Сертификация AWS по безопасности — специальная сертификация является одной из широко признанных сертификаций по безопасности на…www.udemy.com





AWS Certified Security — Specialty 2020
Наш курс разработан, чтобы помочь вам пройти новую сертификацию AWS Certified Security Specialty и ускорить…acloudguru.com



Вывод

В общем, если у вас есть хороший практический опыт работы с различными сервисами AWS, я думаю, вы уже знаете большую часть вещей, необходимых для сдачи этого экзамена, и вы можете использовать документацию AWS/часто задаваемые вопросы/белые книги, а также вышеупомянутые курсы для заполнения в пробелах. Если вы активно работаете в области безопасности и хотите добавить AWS к своим учетным данным безопасности, я думаю, что вы уже прошли 50 % пути, вам просто нужно знать, как использовать различные сервисы AWS для выполнения ваших задач. уже знаете, документация AWS должна быть полезна в этом случае. Помните, что сдача сертификационного экзамена — это не конец вашего пути к безопасности AWS, но он должен помочь вам еще глубже погрузиться в сервисы, над которыми вам, возможно, придется работать, поэтому, пожалуйста, продолжайте свое обучение.

Желаю тебе удачи! Если я смог это сделать, то сможете и вы! Если у вас есть какие-либо вопросы, комментарии, предложения или проблемы, не стесняйтесь оставлять ответы или нажимать кнопку благодарности, если эта статья помогла вам в подготовке к сертификации AWS Security-Specialty.

Дополнительные материалы на plainenglish.io