Моите съвети за подготовка и насоки за полагане на сертифицирания AWS изпит по специалност по сигурността

Наскоро се явих на AWS Certified Security-Specialty Exam. Успях да го издържа и исках да споделя някои важни насоки, които смятам, че могат да бъдат полезни за хора, които планират да се явят на този изпит в близко бъдеще.

Първо, малко предистория за себе си. Работя предимно по проектиране и внедряване на облачни решения и не съм специалист по сигурността сам по себе си, излагането ми на сигурност е по-скоро в публичния облак, за да осигуря по-добре работните си натоварвания, изпълнявани в облака.

Компютърната сигурност е голяма тема сама по себе си и има толкова много аспекти към нея, като например как да защитим нашите операционни системи, как да защитим нашите мрежи, как да защитим предаването на данни, които излизат и влизат, и т.н. И кога имаме глобално разпределени и виртуализирани среди, както имаме в публичните облаци, има още повече аспекти, за които да се тревожим.

Стигайки до AWS Certified Security-Specialty Exam, този изпит ще ви тества основно по следните аспекти:

  • Как сигурно да управлявате работните си натоварвания на AWS.
  • Как да удостоверите и упълномощите потребителите на вашата облачна среда.
  • Как да защитите вашите данни, съхранявани в AWS.
  • Как да изградите сигурни мрежи на AWS.
  • Как да защитите трафика във вашите AWS мрежи, както и трафика, който излиза от вашите мрежи или идва във вашата мрежа и т.н.

Предполага се, че вече имате добри работни познания за това как да стартирате виртуални машини на AWS (EC2), изграждане на виртуални мрежи на AWS (VPC, подмрежи, интернет шлюзове и т.н.), как да съхранявате вашите данни на AWS (S3, RDS, DynamoDB ) и т.н. Един или два AWS сертификата на асоциирано ниво определено биха помогнали, но не са предпоставка. Ако вече имате опит в сигурността, работите активно в домейна Security, дори и да не е на AWS, това определено би помогнало много.

Ръководството за изпита за ваша справка: AWS Certified Security-Specialty Exam Guide.

Сега, тази статия предполага, че вече сте преминали справедлив път в подготовката си за изпита за сертифициране и можете да използвате тази статия, за да проверите разбирането си за различните представени услуги, а също така може да посочи темите, които може да се наложи да преразгледате, преди да се явите на изпита. Сега, стигайки до услугите на AWS, върху които трябва да се концентрирате, ако трябва да назова само 3 услуги на AWS, които биха могли да ви отведат далеч, според мен те биха били следните:

  • АЗ СЪМ
  • KMS
  • CloudWatch

По-долу ще изброя нещата, върху които трябва да се концентрирате за тези Услуги. Можете да използвате документацията на AWS, за да търсите подробностите, където е приложимо, за точките, които смятате, че имате нужда от ревизия.

Управление на самоличността и достъпа

  • Запознайте се с дребните детайли относно използването на AWS Roles за разрешаване на достъп до вашите ресурси, неща като как да присвоявате разрешения на роли, как да присвоявате роли на EC2 инстанции, Lambda функции за оторизиране на достъп до други услуги. Знайте защо трябва да използваме роли, вместо да вграждаме потребителски идентификационни данни като токени за ключ за достъп в нашите екземпляри и код на EC2 – наистина важно.
  • Знайте какви стъпки трябва да се предприемат, за да се коригира изтичане на идентификационни данни за достъп на потребители към публична платформа за контрол на източници като GitHub.
  • Научете подробности за политиките и как да пишете политики за конкретен случай на употреба. Познавайте различните части на документ за политика и какво представляват те -Ефект, действие, ресурс, принцип, условие. Едно наистина важно нещо, което трябва да знаете, е как се разрешават правилата за даден потребител въз основа на IAM политики, политики, базирани на ресурси, граници на разрешения и SCP на организация. Знаете как да използвате променливи в документите за правилата, за да ги направите динамични.
  • Научете как да настроите федерация и единично влизане с локален екземпляр на Active Directory.
  • Научете как работи STS заедно с Cognito UserPools, за да позволите на вашите потребители да се удостоверяват, като използват идентификационните си данни за социални медии като Facebook, Amazon и т.н. Освен това знайте как да настроите роли за тези потребители, така че да имат сигурен достъп до услугите, за които имат право да имат достъп.
  • Научете как да настроите организации, организационни единици и акаунти на членове в AWS, как да настроите достъп до кръстосани акаунти – неща като как да настроите централизиран акаунт за съхраняване на регистрационните файлове за наблюдение в облака от останалите ви акаунти в AWS (централизирано регистриране). Неща като това как да настроите роли в кръстосани акаунти е важно да разберете наистина добре.

KMS

Мисля, че разбирането как работи KMS и криптографията с публичен ключ е ключът към преминаването на този изпит. Познайте следните точки:

  • Трябва да разберете как работи криптирането, Неща като Шифроване на плик, Главен ключ на клиента (CMK), Шифроване на симетричен ключ, Шифроване на асиметричен ключ, Ротация на ключоветрябва да Разбирайте тези неща наистина добре.
  • Научете как работи AWS KMS, факта, че KMS е регионална услуга, как да настроите и използвате симетрични и асиметрични ключове в KMS, възможните източници за ключовите материали, използвани вътре в ключовете.
  • Знайте много добре разликата между управляваните от AWS ключове и ключовете, управлявани от клиента, и кога да използвате кои. Знайте кога всеки от тези типове ключове се завърта автоматично – важно е.
  • Знайте кога да импортирате и използвате свой собствен ключов материал в главен ключ на клиента. Най-вече се отнася до възможността клиентът да ръчно завърти ключа по персонализиран, гъвкав график, а не по фиксиран график като след година, ако има бизнес изискване за завъртане на ключа седмично, месечно и т.н. .
  • Знайте какво е CloudHSM и кога да го използвате. Използва се, когато клиент не иска да споделя своята инфраструктура за криптиране с други клиенти на AWS и не иска друг орган да има достъп до техните ключове за криптиране поради регулаторни причини. Въпреки че предварителните разходи за използване на CloudHSM бяха намалени, разходите за почасово използване все още са доста високи и могат да станат по-скъпи в сравнение с KMS.
  • Знайте кога да използвате ключове, управлявани от AWS или ключове, управлявани от клиента, за да шифровате вашите EBS томове, RDS бази данни, S3 кофи и др.
  • Научете как да използвате правила за ключове, за да дадете достъп до вашите KMS ключове. Знайте разликата между ключови администратори и ключови потребители. Научете как да създавате ключови политики, за да предоставите достъп до вашите ключове, какви са различните елементи на ключовата политика.
  • Знайте как и кога да използвате Предоставяне на ключове, за да дадете достъп до KMS ключове. Използва се, когато трябва да предоставите достъп до вашите ключове по програмен начин.
  • Научете как да предоставите достъп до кръстосани акаунти на CMK.
  • Запознайте се с механиката зад копирането на криптиран EBS том в различен регион и как се свързва с това, че AWS KMS е регионална услуга. (Трябва да дешифрирате и след това да шифровате отново тома, като използвате ключ от вашия целеви регион).
  • Научете как да ограничите достъпа до ключа до определена услуга като S3 с помощта на ViaService-важно!
  • Научете как да планирате изтриването на CMK в KMS, кога действително се случва планираното изтриване и как да прекъснете изтриването на CMKако е необходимо.

Мога да продължа да говоря за KMS и може да се нуждае от цяла статия, но вярвам, че ако знаете за всички точки, изброени отгоре, трябва да е достатъчно добра.

CloudWatch

Познаването как CloudWatch работи и се интегрира с други услуги на AWS като CloudTrail, AWS Config, S3 също е много важно. По-долу са ключовите моменти за Cloud Watch и неговите интеграции, които трябва да разберете:

  • Запознайте се с общите концепции на AWS CloudWatch като метрики, регистрационни файлове, групи регистрационни файлове, потоци регистрационни файлове, събития, аларми и др.
  • Научете как да инсталирате и настроите CloudWatch агент на вашите екземпляри EC2 / On-prem VM, за да събирате персонализирани показатели и да изпращате регистрационни файлове от екземплярите за дългосрочно съхранение и задържане. В случай, че вашите екземпляри на EC2 или локални екземпляри се повредят по някаква причина и ще загубите достъп до регистрационните файлове на вашето приложение/ОС.
  • Научете как можем да конфигурираме следите на CloudTrail за дългосрочно задържане, като ги доставяме в регистрационни файлове на CloudWatch или S3 кофа. Наистина е важно да знаете факта, че CloudTrail се използва за проследяване на действията и промените на API във вашата AWS инфраструктура от вашите потребители. Проверката на целостта на регистрационните файлове на CloudTrail е друга важна точка, която трябва да запомните.
  • Знайте как и кога да използвате CloudWatch събития за задействане на SNS известия, Lambda функция.

Също така, освен тези услуги, други важни точки, които трябва да запомните, са:

  • Различни възможности на Systems Manager - съхраняване на параметри за управление на тайни, инсталиране на агент на системен мениджър за влизане в екземпляри на EC2, без да ги излагате в публичен интернет, мениджър на корекции за проследяване и внедряване на корекции / актуализации на екземпляри на EC2 / on-prem , Run Command за автоматично изпълнение на команди на множество EC2 и on-prem инстанции и т.н.
  • Научете как да използвате Диспечер на тайни за съхраняване на идентификационни данни като потребителски пароли и как да конфигурирате автоматична ротация на пароли за RDS бази данни. Познайте разликите между Systems Manager Parameter Store и Secrets Manager и кога да използвате.
  • Познавайте добре AWS Config, как се използва за проследяване на промените в конфигурацията на вашата AWS инфраструктура и поддържа историческа времева линия на всички промени в конфигурацията, направени на вашите AWS ресурси, как да създадете правила за конфигурация за проследяване на промените във вашите Ресурси на AWS и как да отмените нежелани промени.
  • Научете как сертификатите работят, за да осигурят вашата комуникация между клиента и сървъра, разликата между http и https, как да създавате сертификати с помощта на AWS ACM и как да внедрявате тези сертификати в CloudFront разпространение, Application Load Balancer или API Gateway, как да конфигурирате криптиране от край до край от вашите потребители към вашия балансьор на натоварването и от балансира на натоварването към вашите екземпляри EC2.
  • Знайте как и кога да защитите вашите S3 данни с помощта на управлявани от AWS/управлявани от клиента ключове. Знаете как и кога да генерирате предварително подписани URL адреси за вашите S3 обекти, как да ограничите достъпа до S3 обекти само до вашата CloudFront дистрибуция с помощта на Origin Access Identifier е наистина важно. Научете как да ограничите способността на вашата програма за качване на S3 обекти да качва обекти, без да предоставя достъп до обекта на собственика на кофата, като използвате заглавката на заявката „x-amz-acl“. Научете как работят Glacier Vault Locksикак улеснява модела за достъп „напиши веднъж прочете много“ (WORM) за вашите архивирани данни в Glacier.
  • Запознайте се с разликите между Групи за сигурност и NACL и кога да използвате кои.
  • Други услуги/концепции, за които да получите общ преглед на високо ниво за AWS Certified Security-Specialty са-AWS WAF, GuardDuty, Macie, Artifact, AWS Inspector, AWS Shield (DDoS Protection), VPC Flow Logs, VPC Peering, VPN и DirectConnect, доверен съветник.

Можете да използвате следните полезни подготвителни курсове за AWS Certified Security-Specialty Exam:



AWS Certified Security Specialty - Обучение за сертифициране
AWS Certified Security - Специалното сертифициране е едно от широко признатите сертификати за сигурност в…www.udemy.com





AWS Certified Security - Specialty 2020
Нашият курс е предназначен да ви помогне да преминете новото сертифициране по AWS Certified Security Specialty и да ускорите вашия...acloudguru.com



Заключение

Като цяло, ако имате добър опит в работата с различни услуги на AWS, мисля, че вече знаете повечето от нещата, необходими за преминаване на този изпит, и можете да използвате AWS документация / често задавани въпроси / бели книги, както и гореспоменатите курсове за попълване в празнините. Ако сте човек, който работи активно в областта на сигурността и искате да добавите AWS към вашите идентификационни данни за сигурност, мисля, че вече сте преминали 50% от пътя си, просто трябва да знаете как да използвате различните услуги на AWS, за да постигнете това, което искате вече знаете, документацията на AWS трябва да бъде полезна в този случай. Не забравяйте, че преминаването на сертификационния изпит не е краят на пътуването ви към сигурността на AWS, но трябва да бъде пътека, по която можете да навлезете още по-дълбоко в услугите, върху които може да се наложи да работите, така че, моля, продължете обучението си напред.

Желая ти късмет! Щом аз мога да го направя, можеш и ти! Ако имате някакви въпроси, коментари, предложения или притеснения, моля, не се колебайте да оставите отговор или да натиснете бутона за оценка, ако тази статия ви е помогнала в подготвителното ви пътуване към AWS Security-Specialty Certification.

Повече съдържание в plainenglish.io