AWS 认证安全 - 专业考试准备指南
本 AWS Certified Security – Specialty 考试预备指南涵盖考试内容、提高您的学习技能以及有用的亚马逊资源。
准备任何 AWS 认证考试都可能很困难!这需要时间,需要专注,而且随着您从助理级证书晋升为专业级和专业级证书,您需要更深入地了解 AWS 服务及其协同工作方式。在 A Cloud Guru,我们设计认证课程来帮助您掌握通过考试所需的主题。但我们也发现,提前了解考试内容可以帮助您完成课程,甚至可以让您第一次就通过考试的几率更高。在这篇文章中,我们将介绍 AWS Certified Security - Specialty 考试,它涵盖的内容、您需要了解的内容、您可以在哪里找到其他资源以及实际参加考试时可以使用的策略。在这篇博文中,我们将介绍:
步骤 2:剔除可能错误的答案接下来,剔除看起来不正确的答案。为此,在你的记事本上画一个网格,列号为 A、B、C、D 和 E,如下所示:
列标题 A、BC、D 和 E 代表该问题的答案。看一下每个答案。也许其中一个答案看起来不正确或部分不正确,或者它没有解决所问的问题。对于那些可疑的答案,你可以做以下两件事之一: 如果答案看起来是错误的,请在网格上答案字母下面的列中画一个X。如果你不确定,就放一个问号。如果你发现一个答案看起来可能是正确的,就把那一列留空。步骤 3:选出正确的答案理想情况下,当你填完网格的列时,应该有一列是空白的。如果是这样,那就是你的答案。如果所有答案都不正确,或者你留下一堆问号,请重新阅读答案,并挑选出似乎最能回答问题的答案。继续浏览问题,直到你回答了考试中的所有问题。
阅读完问题后,我们会写下一些关键词。
我写下了“位于您的数据中心”,因为这似乎很重要。我选出了“高度机密”,这告诉我我们可能想要加密数据。最后,考虑到注意到的频繁崩溃,我选择了“网络不可靠”。接下来,我将绘制网格并添加列标题 A 到 E。现在让我们看看可能的答案,并找出哪些可以消除。
- 考试内容范围
- 如何解决那些令人厌烦的多项选择题
- 帮助你提高学习技巧的技巧
- 超级有用的亚马逊资源
获得的不仅仅是认证
加入 A Cloud Guru 即可访问我们的所有课程、实验室、测验和新学习路径,这些将逐步引导您从所选云领域的新手成长为专家。
获得 AWS 认证的好时机
为什么要获得 AWS 认证? 听起来可能有些夸张,但您没有比现在更好的时机进入 AWS 安全专业领域了。市场对新的 AWS 安全专家来说已经成熟!以下是获得此类认证的最佳时机的一些原因:巨大的需求。我不必告诉您,云计算的需求很大,公司渴望找到具有丰富云安全背景的 IT 专业人员。巨大的技能差距。在亚马逊安全知识方面,全球存在巨大的技能差距,为获得认证的人提供了大量无限的机会。地位提升。获得认证表明您是 AWS 的首选云专家。这是在您自己的组织内引起注意的一种可靠方法,也是雇主和招聘人员希望聘请具有这种高级专业知识的工程师的一种可靠方法。 更高的薪水。据《福布斯》报道,获得 AWS 云认证的人的平均工资接近 15 万美元。因此,通过考试并在正确的时间展示您拥有正确的技能确实值得。有用资源
我们明白。准备 AWS Security Speciality 考试的前景令人紧张。但您不必孤军奋战。有大量的支持工具和资源,其中许多是免费的,可以补充您为准备考试所做的一切,例如使用工具、参加我们的课程以及磨练您的应试技巧。以下是三个值得一看的优秀资源:亚马逊的白皮书:这些白皮书涵盖了 AWS Security Speciality 考试的各个方面。不可否认,阅读它们就像阅读番茄酱瓶背面的配料一样有趣。但它们同样非常宝贵。您实际上会非常感激花大量时间阅读这些白皮书。AWS re:invent 视频:您可以在 YouTube 上找到很多这样的视频。许多视频很短,您可以在午餐时间观看。如果您已经熟悉某个主题,您可以通过以两倍速度快速浏览各个部分来节省时间。亚马逊的常见问题解答:您可以找到大量的常见问题解答列表,其中讨论了准备 AWS 安全专业考试所需熟悉的所有技术。AWS 安全专业域
AWS 考试分为 5 个内容领域或领域:- 事件响应
- 日志记录和监控
- 基础设施安全
- 识别访问管理 (IAM)
- 数据保护。
领域 1:事件响应(12%)
此领域涵盖检测、响应和从安全事件中恢复。您必须熟悉两个非常常见的安全问题:受感染的 EC2 实例以及暴露的访问和秘密访问密钥。让我们深入研究一下:- 受损的 EC2 实例— 本部分介绍如果您的某个 EC2 实例受损,该怎么办。(一些示例包括更改安全组、删除 Internet 访问权限或隔离受损的 EC2 实例,使其无法损害其他任何内容。)
- 暴露的访问密钥和秘密访问密钥— 如果访问密钥意外暴露,该怎么办?(您会惊讶地发现有多少人因为这个问题而惊慌失措地打电话给我。切勿将访问密钥放在 GitHub 上!)本节重点介绍禁用和删除访问密钥,以免它们对您不利,以及其他有效的解决方案。
- AWS Config(配置管理)
- AWS CloudTrail(IAM 审计)
- Amazon CloudWatch(日志记录)
- Amazon GuardDuty(威胁检测)
- AWS Lambda(响应自动化)
- Amazon Inspector(基础设施安全扫描)
- 白皮书 — 查看“安全性和合规性”部分。务必花时间阅读“AWS 安全事件响应指南”,该指南概述了在 AWS 云环境中响应安全事件的基础知识。单击此处下载 PDF。
- 视频——请务必观看“云端事件响应”。
- 常见问题解答 — Config、CloudTrail、CloudWatch、GuardDuty、Lambda和Inspector。
领域 2:日志记录和监控(20%)
在您的 AWS 账户中制定有效的日志记录和监控策略至关重要。对于此领域,您需要了解如何设计策略并使用它来有效地解决安全问题。您需要了解的主要服务包括:- CloudWatch(日志记录)
- CloudTrail(IAM 审计)
- Athena(查询存储在 S3 中的数据的日志文件)
- Config(配置管理)
- 检查员(安全扫描)
- 白皮书——我推荐“登录 AWS” PDF,您可以在此处下载。
- 视频 — 查看“使用 Amazon CloudWatch 记录、监控和分析您的 IT。 ”
- 常见问题解答 — CloudWatch、CloudTrail、Athena、Config和Inspector。
领域 3:基础设施安全 26%
这是最大的领域,因此请务必花大量时间为它做准备。它涵盖了 AWS 中安全网络的设计和故障排除。您是否已完成AWS Certified Solutions Architect Associate认证?如果是这样,您将占得先机,因为您已经了解基础设施安全性以及如何在 AWS 中设置安全网络和虚拟私有云 (VPC) 资源。将您的 AWS 游戏提升到新的高度,并获得 IT 领域最具挑战性和最受尊敬的认证之一,即AWS Solution Architect Professional 认证。对于这个领域,您需要关注以下问题:- 边缘安全(考虑网络的边界)
- EC2 实例的基于主机的安全性
- AWS 中的 DDoS 缓解
- 防范跨站点脚本 (XSS) 和 SQL 注入等常见漏洞
- AWS WAF(Web 应用程序防火墙)
- 用于 DDoS 保护的 AWS Shield
- CloudFront 和 Route 53(具有内置保护功能)
- 弹性负载均衡器 (ELB)(您的 VPC 的保护机制)
- EC2 自动扩展(通过扩展基础设施并防止攻击破坏您的服务来吸收任何类型的 DDoS 攻击)
- VPC 和网络访问控制列表 (NACL) 和安全组(保护您的主机和 EC2 环境)
- Artifact(向监管机构证明您使用的 AWS 服务符合监管要求)
- [请注意,Artifact 提供各种有用的文档。例如,如果您所在的行业必须遵守支付卡行业数据安全标准 (PCI DSS),您可以登录 Artifact 并下载文档和认证,以证明您使用的 AWS 服务真正符合 PCI DSS 标准。]
- Macie(保护存储在 S3 存储桶中的任何文档内的个人身份信息 (PII)。)
- [它实际上会扫描您的所有文档,并会让您知道是否存在可能需要加密的隐藏 PII。]
- 白皮书——该领域有大量白皮书,例如“VPC 连接选项”、“DDoS 最佳实践”、“AWS 安全最佳实践”、“完善的架构框架安全支柱”和“安全流程概述”。
- 视频——“VPC 连接选项”、“DDoS 最佳实践”、“高级安全大师班”和“完善的架构框架安全支柱”。
- 常见问题解答 — WAF、AWS Shield、CloudFront、Route 53、VPC、ELB、EC2 Auto Scaling、Lambda、Direct Connect、Artifact 和 Macie。
领域 4:身份和访问管理 (IAM) (20%)
本部分测试您对设计和故障排除身份验证和授权策略的知识。您需要对该策略有扎实的掌握,并能够进行翻译和故障排除。确保您熟悉以下服务:- CloudTrail(IAM 审计)
- 多重身份验证 (MFA)(特别是针对根账户)
- Active Directory 联合 (ADF)(包括通过本地 Active Directory 安装联合访问 AWS 资源)
- 白皮书——“安全流程概述”和“AWS 安全最佳实践”。
- 视频 — “IAM Policy Master” 和 “IAM Policy Ninja”(它们很相似)、“AWS 的 ID 联合”(观看视频很重要,因为我们中的许多人通常没有太多实际操作 ADF 的经验,而且很难在实验室环境中复制它)
- 常见问题解答——“IAM”、“Cognito”(用于网络身份联合以及与 Facebook、Google 和 Amazon 等网络 ID 提供商的联合访问)、“CloudTrail”和“AWS Organizations”(关于如何在组织级别设置权限)。
领域 5:数据保护(22%)
为了在这个领域取得良好的测试效果,您需要知道如何使用加密保护您的数据。这包括创建和管理密钥、控制各种 AWS 服务和应用程序中的加密使用,以及设计和排除加密策略故障。特别注意密钥管理服务 (KMS)!我再怎么强调也不为过。确保您了解静态加密和传输加密之间的区别以及加密数据所需的不同技术。而且,值得重复的是:尽可能多地获得 KMS 实践经验。通过加密数据、解密数据和重新加密数据来试用这些工具。→ 数据保护资源:- 白皮书 — “KMS 最佳实践和静态数据加密”
- 视频 — “KMS 最佳实践和加密深入探讨”(涵盖与白皮书相同的材料。)
- 常见问题解答 — “KMS”(值得阅读两次!它对于传递此域至关重要。)特别注意 KMS 中涉及的不同类型的密钥以及如何轮换不同的密钥,例如何时使用自动或手动密钥轮换。
解决棘手问题的 3 个步骤
为了顺利通过这项考试及其多项选择题,制定有效的考试策略至关重要。我们久经考验的策略包括 3 个简单步骤:- 弄清楚问题是什么
- 排除可能错误的答案
- 选择最佳答案
步骤 2:剔除可能错误的答案接下来,剔除看起来不正确的答案。为此,在你的记事本上画一个网格,列号为 A、B、C、D 和 E,如下所示:列标题 A、BC、D 和 E 代表该问题的答案。看一下每个答案。也许其中一个答案看起来不正确或部分不正确,或者它没有解决所问的问题。对于那些可疑的答案,你可以做以下两件事之一: 如果答案看起来是错误的,请在网格上答案字母下面的列中画一个X。如果你不确定,就放一个问号。如果你发现一个答案看起来可能是正确的,就把那一列留空。步骤 3:选出正确的答案理想情况下,当你填完网格的列时,应该有一列是空白的。如果是这样,那就是你的答案。如果所有答案都不正确,或者你留下一堆问号,请重新阅读答案,并挑选出似乎最能回答问题的答案。继续浏览问题,直到你回答了考试中的所有问题。
开始模拟考试
我们的考试模拟器可以让您进行所有需要的练习,这样您就可以带着不可否认的信心,甚至有点自信地参加实际考试。
示例问题
让我们通过解决一个示例问题来实施这一策略。这个令人厌烦的问题可能出现在数据保护领域:阅读完问题后,我们会写下一些关键词。我写下了“位于您的数据中心”,因为这似乎很重要。我选出了“高度机密”,这告诉我我们可能想要加密数据。最后,考虑到注意到的频繁崩溃,我选择了“网络不可靠”。接下来,我将绘制网格并添加列标题 A 到 E。现在让我们看看可能的答案,并找出哪些可以消除。
- 使用VPC 端点,以便数据永远不会离开亚马逊的网络
- 使用安全端口访问数据
- 通过 Direct Connect 连接在您的 VPC 和数据中心之间使用 VPN
- 在 VPC 和数据中心之间使用 VPN,并使用安全端口访问数据库
- 在 VPC 和数据中心之间配置 Direct Connect
免责声明:本内容来源于第三方作者授权、网友推荐或互联网整理,旨在为广大用户提供学习与参考之用。所有文本和图片版权归原创网站或作者本人所有,其观点并不代表本站立场。如有任何版权侵犯或转载不当之情况,请与我们取得联系,我们将尽快进行相关处理与修改。感谢您的理解与支持!
阅读全文
请先 登录后发表评论 ~