AWS Certified Security – Specialty
1.0 SCS-C03
•内容领域 1:检测(占计分内容的 16%)
•内容领域 2:事件响应(占计分内容的 14%)
•内容领域 3:基础设施安全(占计分内容的 18%)
•内容领域 4:身份和访问管理(占计分内容的 20%)
•内容领域 5:数据保护(占计分内容的 18%)
•内容领域 6:安全基础与监管(占计分内容的 14%)
任务 1.1:为 AWS账户或企业设计并实施监控和警报解决方案。
技能 1.1.1:分析工作负载来确定监控需求。
技能 1.1.2:设计和实施工作负载监控策略(例如,配置资源运行状况检查)。
技能 1.1.3:汇总安全和监控事件。
技能 1.1.4:创建指标、警报和控制面板,用于检测异常数据和事件(例如, Amazon
GuardDuty、Amazon Security Lake、AWS Security Hub、Amazon Macie)。
技能 1.1.5:创建和管理自动化功能,用于执行定期评估和调查(例如,部署 AWS
Config 合规包、Security Hub、AWS Systems Manager状态管理器)。
任务 1.2:设计和实施日志记录解决方案。
技能 1.2.1:根据要求,确定日志摄取和存储的来源。
技能 1.2.2:为 AWS服务和应用程序配置日志记录(例如,为企业配置 AWS
CloudTrail 跟踪记录、创建专用的 Amazon CloudWatch日志记录账户、配置
Amazon CloudWatch Logs代理)。
技能 1.2.3:实施日志存储和日志数据湖(例如, Security Lake),并集成第三方安
全工具。
技能 1.2.4:使用 AWS服务分析日志(例如, CloudWatch Logs Insights、Amazon
Athena、Security Hub调查发现)。
技能 1.2.5:使用 AWS服务标准化、解析和关联日志(例如, Amazon OpenSearch
Service、AWS Lambda、Amazon Managed Grafana)。
技能 1.2.6:根据网络设计、威胁和攻击情况,确定并配置合适的日志源(例如,
VPC流日志、 Transit Gateway流日志、Amazon Route 53 Resolver 日志)。
任务 1.3:排查安全监控、日志记录和警报解决方案。
技能 1.3.1:分析资源的功能、权限和配置(例如, Lambda 函数日志记录、 Amazon
API Gateway日志记录、运行状况检查、 Amazon CloudFront日志记录)。
技能 1.3.2:修复资源配置错误(例如,排查 CloudWatch代理的配置问题、排查缺
失的日志)。
任务 2.1:设计和测试事件响应计划。
技能 2.1.1:设计并实施响应计划和运行手册,来应对安全事件(例如, Systems
Manager OpsCenter、Amazon SageMaker人工智能笔记本)。
技能 2.1.2:利用 AWS服务特性和功能配置服务,来为应对各种事件做好准备(例如,
预置访问权限、部署安全工具、尽可能缩小影响范围、配置 AWS Shield Advanced
保护措施)。
技能 2.1.3:推荐用于测试和验证事件响应计划有效性的程序(例如 AWS Fault
Injection Service、AWS韧性监测中心)。
技能 2.1.4:使用 AWS服务自动修复事件(例如, Systems Manager、适用于
Amazon EC2的自动化取证编排工具、 AWS Step Functions、Amazon应用程序恢复
控制器、Lambda 函数)。
任务 2.2:响应安全事件。
技能 2.2.1:捕获相关的系统和应用程序日志,并将其存储为取证文档。
技能 2.2.2:跨应用程序和 AWS服务,搜索并关联安全事件的日志。
技能 2.2.3:验证 AWS安全服务的调查发现,评估事件的范围和影响。
技能 2.2.4:对受影响的资源采取行动,遏制和根除威胁并恢复资源(例如,
实施网络控制措施、恢复备份)。
技能 2.2.5:描述开展根本原因分析的方法(例如, Amazon Detective)。
任务 3.1:针对网络边缘服务,设计、实施安全控制措施,以及进行故障排除。
技能 3.1.1:根据预计的威胁和攻击,定义和选择边缘安全策略。
技能 3.1.2:实施适当的网络边缘保护措施(例如, CloudFront标头、AWS WAF、
AWS IoT策略、防御 OWASP 十大威胁、 Amazon S3跨源资源共享 [CORS]、Shield
Advanced)。
技能 3.1.3:根据要求(例如,地理位置、速率限制、客户端指纹识别),设计和
实施 AWS边缘控制措施和规则。
技能 3.1.4:配置与 AWS边缘服务和第三方服务的集成(例如,以 Open Cybersecurity
Schema Framework [OCSF]格式摄取数据,使用第三方 WAF 规则等)。
任务 3.2:针对计算工作负载,设计、实施安全控制措施,以及进行故障排除。
技能 3.2.1:设计和实施强化的 Amazon EC2 AMI和容器映像,用于保护计算工作
负载并嵌入安全控制措施(例如, Systems Manager、EC2 Image Builder)。
技能 3.2.2:正确地应用实例配置文件、服务角色和执行角色,用于授权计算工作
负载。
技能 3.2.3:扫描计算资源中是否存在已知漏洞(例如,使用 Amazon Inspector 扫描
容器映像和 Lambda 函数,使用 GuardDuty监控计算运行时)。
技能 3.2.4:实施自动更新流程并集成持续验证方法(例如, Systems Manager 补丁
管理器、Amazon Inspector),来跨计算资源部署补丁,确保环境安全且合规。
技能 3.2.5:配置对计算资源进行安全的管理访问(例如, Systems Manager Session
Manager、EC2 Instance Connect)。
技能 3.2.6:配置安全工具,发现和修复管道中的漏洞(例如, Amazon Q 开发者版、
Amazon CodeGuru 安全防御工具)。
技能 3.2.7:为生成式人工智能应用程序实施保护和防护机制(例如,根据 OWASP
生成式人工智能十大安全风险,保护大型语言模型)。
任务 3.3:设计网络安全控制措施,以及进行故障排除。
技能 3.3.1:设计相应的网络控制措施,根据需要允许或阻止网络流量,以及进行
故障排除(例如,安全组、网络 ACL、AWS Network Firewall)。
技能 3.3.2:设计混合环境和多云网络之间的安全连接(例如 AWS Site-to-Site
VPN、AWS Direct Connect、MAC Security [MACsec])。
技能 3.3.3:针对混合环境与 AWS 之间的通信,确定并配置安全工作负载要求(例如,
使用 AWS Verified Access)。
技能 3.3.4:根据安全要求设计网络分段(例如,北 /南流量和东/西流量保护、隔离子网)。
技能 3.3.5:识别不必要的网络访问(例如, AWS Verified Access、Network Access
Analyzer、Amazon Inspector Network Reachability调查发现)。
任务 4.1:设计和实施身份验证策略,以及进行故障排除。
技能 4.1.1:设计并建立用于人员、应用程序和系统身份验证的身份解决方案(例如,
AWS IAM Identity Center、Amazon Cognito、多重身份验证 [MFA]、身份提供商
[IdP] 集成)。
技能 4.1.2:配置颁发临时凭证的机制(例如, AWS Security Token Service [AWS STS]、
Amazon S3预签名 URL)。
技能 4.1.3:排查身份验证问题(例如, CloudTrail、Amazon Cognito、IAM Identity
Center 权限集、 AWS Directory Service)。
任务 4.2:设计和实施授权策略,以及进行故障排除。
技能 4.2.1:设计并评估面向人员、应用程序和系统访问的授权控制措施(例如,
Amazon Verified Permissions、IAM路径、IAM Roles Anywhere、跨账户访问的资源
策略、IAM角色信任策略)。
技能 4.2.2:设计基于属性的访问控制 (ABAC)策略和基于角色的访问控制 (RBAC)
策略(例如,配置基于标签或属性的资源访问)。
技能 4.2.3:遵循最低权限原则来设计、解释和实施 IAM策略(例如,权限边界、
会话策略)。
技能 4.2.4:分析授权故障来确定原因或影响(例如, IAM策略模拟器、IAM访问
权限分析器)。
技能 4.2.5:调查并更正向资源、服务或实体意外授予的权限、授权或特权(例如,
IAM访问权限分析器)。
任务 5.1:为传输中的数据设计和实施控制措施。
技能 5.1.1:设计并配置在连接资源时要求进行加密的机制(例如,配置弹性负载
均衡 [ELB] 安全策略,强制执行 TLS配置)。
技能 5.1.2:设计并配置用于安全私密地访问资源的机制(例如, AWS PrivateLink、
VPC端点、AWS Client VPN、AWS Verified Access)。
技能 5.1.3:设计并配置资源间的传输中加密(例如,针对 Amazon EMR、Amazon
Elastic Kubernetes Service [Amazon EKS]、SageMaker人工智能的节点间加密配置,
Nitro 加密)。
任务 5.2:针对静态数据设计和实施控制措施。
技能 5.2.1:根据特定要求,设计、实施和配置静态数据加密(例如,选择 AWS
CloudHSM 或 AWS Key Management Service [AWS KMS]等合适的加密密钥服务,
或者选择客户端加密或服务器端加密等合适的加密类型)。
技能 5.2.2:设计并配置保护数据完整性的机制(例如, S3 对象锁定、 S3 Glacier文件
库锁定、版本控制、数字代码签名、文件验证)。
技能 5.2.3:为数据设计自动生命周期管理和保留解决方案(例如, S3 生命周期策略、
S3 对象锁定、 Amazon Elastic File System [Amazon EFS]生命周期策略、适用于
Lustre 的 Amazon FSx备份策略)。
技能 5.2.4:设计并配置安全的数据复制和备份解决方案(例如, Amazon Data
Lifecycle Manager、AWS Backup、勒索软件防护、AWS DataSync)。
任务 5.3:设计和实施控制措施,用于保护机密数据、凭证、密钥和加密密钥材料。
技能 5.3.1:设计凭证及密钥的管理和轮换机制(例如, AWS Secrets Manager)。
技能 5.3.2:管理和使用导入的密钥材料(例如,管理和轮换导入的密钥材料,管理
和配置外部密钥存储)。
技能 5.3.3:说明导入的密钥材料与 AWS生成的密钥材料之间的区别。
技能 5.3.4:掩蔽敏感数据(例如, CloudWatch Logs数据保护策略、 Amazon
Simple Notification Service [Amazon SNS]消息数据保护)。
技能 5.3.5:在单个或多个 AWS区域中,创建并管理加密密钥和证书(例如,
AWS KMS 客户自主管理型 AWS KMS 密钥、 AWS Private Certificate Authority)。
任务 6.1:制定策略来集中部署和管理 AWS账户。
技能 6.1.1:使用 AWS Organizations部署和配置组织。
技能 6.1.2:在新环境和现有环境中实施并管理 AWS Control Tower,部署可选和
自定义的控制措施。
技能 6.1.3:实施组织策略来管理权限(例如, SCP、RCP、AI服务选择退出策略、
声明性策略)。
技能 6.1.4:集中管理安全服务(例如,委派管理员帐户)。
技能 6.1.5:管理 AWS账户根用户凭证(例如,集中成员账户的根访问权限、管理
MFA、设计破译程序)。
任务 6.2:为云资源实施安全且一致的部署策略。
技能 6.2.1:使用基础设施即代码 (IaC),以一致的方式,安全地跨账户部署云资源(例
如, CloudFormation堆栈集、第三方 IaC 工具、 CloudFormation Guard、cfn-lint)。
技能 6.2.2:使用标签将 AWS资源分组,方便进行管理(例如,按部门、成本中心、
环境分组)。
技能 6.2.3:从中心来源部署并执行策略和配置(例如 AWS Firewall Manager)。
技能 6.2.4:在 AWS账户之间安全地共享资源(例如, AWS Service Catalog、AWS
Resource Access Manager [AWS RAM])。
任务 6.3:评估 AWS资源的合规性。
技能 6.3.1:创建或启用规则,用于检测和修复不合规的 AWS资源并发送通知(例如,
使用 AWS Config 汇总警报和修复不合规资源, Security Hub)。
技能 6.3.2:使用 AWS审计服务来收集和整理证据(例如 AWS Audit Manager、
AWS Artifact)。
技能 6.3.3:使用 AWS服务,根据 AWS安全最佳实践评估架构的合规性(例如,
AWS Well-Architected Framework工具)。