AWS Certified Security – Speciality (SCS-C01) 考試準備

2020-02-16 AWS, Certificate

概述 & 考試範圍

SCS-C01 是專注於 Security 領域,各個領域的分佈範圍算是非常平均,但應該算是 Speciality level 中最簡單的。

整體考試大部分的佔比都是專注於「資安」為主,其中包含「權限控制」、「資料加密」、「機敏資訊」、「符合國際標準」、「邊界防禦」、「縱深防禦」。

考試基本資訊:

  • 考試時間:180 分鐘 (如需更多時間可延長 30 分鐘)
  • 考試題數:65 題
  • 考試題型:選擇題、複選題 (選 3 個)
  • 考試深度:多服務組合的安全設計,IAM 和 KMS、S3 Bucket 權限的搭配,很多題庫會直接以 JSON Policy 提問。

考前必備基本知識

  • AWS
    • 針對資料保護原則支援多種法規 ex. ISO27001, FIPS 140-2, PCI-DSS L1, GDPR, HIPAA, ISM …
    • 資料儲存分類為 CIA
      • Confidentiality 機敏性:僅允許授權訪問
      • Integrity 完整性:未經授權無法更改
      • Availability 可用性:可訪問的可用性
    • 身分驗證與稽核分為 AAA 三層
      • Authentication – IAM
      • Authorization – Policies
      • Accounting – CloudTrail
  • IAM
    • Global Service 最終一致性,會同步到所有 Region
    • Web Identity federation
      • 支援 Cognito (Identity broker)
    • 符合 PCI DSS
  • KMS
    • 加密服務,支援對稱(256-bit key)、非對稱加密(RSA-key)、ECC 加密
    • 設定頁面在 IAM,但屬於 Regional service
    • CMK 不能互相加解密,即使 CMK 相同
    • KMS Key 永遠不能匯出
    • Customer Master Keys (CMKs) 分為三種:
      • Customer managed CMK:可全權控管的 CMK
        • 預設關閉 rotation,透過 import key 則無法開啟 auto rotation
      • AWS managed CMK:由 AWS 托管的 CMK,可以查看但無法管理,僅在該 AWS Account 使用
        • 每三年為效期,自動 renew。
      • AWS owned CMK:由 AWS 內建的 CMK,不能使用也無法查看,由 AWS Service 加密時使用,屬於共享 Key。
    • Key policies 只能指定 root user (即 user 全開放),無法指定單一 IAM users/roles
    • 當 Cross-Account 時必須遵循 Key policies 和 IAM policies,任一 Deny 則 Deny。
  • CloudHSM
    • 加密服務
    • 經過 FIPS 140-2 第 3 級驗證的 HSM 管理自己的加密金鑰
    • 支援標準 PKCS#11,Java Cryptography Extension (JCE),Microsoft CryptoNG (CNG)
  • CloudHSM vs. KMS
    • KMS 屬於 sharing managed service,CloudHSM 屬於專用服務,可於 VPC 內建立符合 FIPS 140-2 第三級 HSM。
    • CloudHSM 因於 VPC 內,效率優於 KMS (大批加密)
  • Cognito
    • User Pools vs. Identity Pools
      • User Pools 用於身分驗證或者第三方 (IdP) 整合驗證
      • Identity Pools 用於提供 AWS 權限,通常可以用來整合 IAM
  • GuardDuty
    • 基於 ML 蒐集 Logs 檢測攻擊威脅偵測、帳號盜用
    • Regional service,支援 Cross-Account、Cross-Region
    • GuardDuty 可以加入 IP 白名單,不將此 IP 列為異常來源
  • Inspector
    • 屬於弱掃服務,產出 High
    • Server-Agent 架構,在 EC2 必須安裝 Agent
    • 支援 CIS, CVSS 安全規範
  • Macie
    • 基於 ML/NLP 發現存在於 AWS 的機敏資訊(PII)
    • 支援 S3 分析是否存在 PII
    • 整合 CloudTrail
  • Artifact
    • ISO 27001
    • FIPS 140-2
    • PCI-DSS L1 – HIPAA
  • Secrets Manager
    • 用於儲存機敏資訊
    • 可支援 KMS 加密
  • WAF
  • S3 授權與加密
    • 預設允許 HTTP 和 HTTPS 存取
    • 當 IAM policies, S3 bucket policies, S3 ACLs 任一被 Deny 即被 Deny。
    • S3 bucket policies 控制 bucket 層級
    • 透過 “aws:SecureTransport”: “true” 開啟 HTTPS 傳輸加密,透過 bucket policies 當 “aws:SecureTransport”: “false” 時 Deny。Ref: What S3 bucket policy should I use to comply with the AWS Config rule s3-bucket-ssl-requests-only?
    • Cross-Region replication
      • 預設開啟 SSL
      • 1 對 1 的 bucket 複寫
      • 已經複寫的 Object 不會再次複寫
      • 來源和目的 bucket 都必須開啟 Version 功能
      • 來源 bucket 必須擁有 Object 權限才能複寫
      • 可將複寫的 Object 擁有者修改為目的 bucket 擁有者
      • 當來源 Object 未加密,可以透過 SSE-S3, SSE-KMS 加密目的 Object。
      • 當加密採用 KMS-CMK 時,使用 PUT Bucket replication API 並不會檢查 CMK 是否有效,API 會會返回 200 status code,但是複寫失敗。
  • IAM policies vs. S3 bucket policies vs. S3 ACLs
    • 都是 Access Control 的服務,都採 AWS JSON 格式撰寫
    • IAM policies 用於定義 AWS Resource,S3 bucket policies 用於定義 S3 Bucket
    • IAM policies 僅能提供 IAM User/Group/Role 權限控管,S3 bucket policies 僅能提供 S3 Bucket 權限控管
    • IAM policies 限制最多 IAM User 2kb, Group 5kb, Role 10kb,S3 bucket policies 限制最多 20kb。
    • S3 bucket policies 適用於 Cross-Account 而不需要透過 IAM Role 訪問。
    • S3 ACLs 是早期 S3 控制權限的方式,建立 S3 bucket 時會預設建立一個 S3 ACLs full control 給該帳號擁有者。

考試心得

SCS 是我第一張考的 Speciality Certified,以整個 AWS Certified 來說算是介於 Associate 和 Professional 之間,全部都是以 Infosec 的角色思考情境,特別是針對有關於權限 IAM、Bucket Policy、加解密 KMS、主動式檢測 WAF、GuardDuty、Macie … 等非常注重,其中國際標準也考了不少,包含 PII 的設計情境,以及 PCI-DSS 的設計等。

Reference

  • S3 Access authorization process
  • KMS 3 types of CMK

2 Replies to “AWS Certified Security – Speciality (SCS-C01) 考試準備”

  1. 給你面試過的一個技術宅表示:

    恭喜榮登 AWS Community Hero !

給 Mr. 沙先生一點建議

彙整

分類

展開全部 | 收合全部

License

訂閱 Mr. 沙先生 的文章

輸入你的 email 用於訂閱