本来想发在Soft Job版的
想想这边可能比较适合
网志图文完整版:
https://hackercat.org/aws/aws-certified-security-specialty-experience
AWS Certified Security – Specialty 准备心得分享
近年来,云端应用服务的需求不断提升,
并且政府与企业的资安意识也逐渐增长,
所以对于云端服务的资安固然是相当被重视的,
实际上许多企业在打算将资源转移至云端环境中,
都会顾虑到云端服务中资安的议题。
目前主要的三大云端服务平台,
Google Cloud Platform (GCP)、
Amazon Web Service (AWS)、
Microsoft Azure (Azure) ,
三者其实都有推出各自的资讯安全相关认证,
本文介绍的就是笔者考取 AWS Certified Security的准备历程与心得分享。
好啦,以上比较客套的话讲完了,
以下就开始随兴的介绍。XD
为何是AWS?
关于为何是AWS Certified Security – Speciality?
其实没什么特别原因,我对云端也不是特别有兴趣,
虽然没兴趣,但是不可否认云端的重要性,
目前趋势也是有许多服务都在云端上,所以应该是要了解一下。
刚好公司有需求需要这张认证,有开班一起去上课,就跟着报名了。
这张认证的相关介绍可以参考下方官网的连结
AWS Certified Security – Specialty
https://aws.amazon.com/tw/certification/certified-security-specialty/
官方的考试指南
https://d1.awsstatic.com/training-and-certification/docs-security-spec/AWS-Certified-Security-Specialty_Exam-Guide.pdf
官方的考题范例
https://d1.awsstatic.com/training-and-certification/docs-security-spec/AWS-Certified-Security-Speciality_Sample-Questions.pdf.pdf
准备历程与资源
2019/8/15参与AWS Security的实体课程,
之后因为由于种种因素,
算是从9月底才开始有办法认真准备AWS Security,
考试时间则是12/26,幸运地一次通过考试。
准备时间约三个月,但是因为上班时间不能准备,
工作内容几乎也跟AWS毫无关联。
(那要干嘛要考XD,好啦,这个问题不重要)
所以准备的时间约三个月的…
上下班通勤时间,下班时间,假日的时间,
虽然只有下班跟假日,但是几乎是每天下班都花很多时间,
假日没特别有约的话,也是整天都在准备AWS,所以总准备时间算是满多。
还有顺便说一下,在8月之前,
其实我本身对于AWS的经验是0。
并且是七月份才从传产机械跨领域到资安领域,
实际的准备过程,
算是先准备Practitioner完才准备Security
(但是我没有去考基本认证),
同时学习网络与资安的相关知识。
下面说说我自己的的准备方法与资源。
因为有参与恒逸的实体课程,
8月中去上课的,三天的课程,
上课老师讲得很清楚,我觉得讲得很好。
可是呢,有一点可能需要注意,
因为我们上课的人,多数都是没有上过其他AWS课程,
也没有考过其他AWS认证,所以其实也花了不少时间在介绍AWS各项服务,
包括了许多基础的服务与其内容,
而上课的老师其实也有提到,建议考AWS Security之前,
先考其他的Certificate,对于AWS有基本的了解与认识再考Security,
而我也是秉持着同样的想法,
虽然我自己是第一张就考AWS Security,
但我也会建议不要第一张就考这张。
AWS官方的考试指南也是建议要有5年IT Security与2年的AWS实作经验。
三天的实体课程包含一个电子书PPT还有一些LAB,
LAB老实说我只有跟过三天课程中的那几个(不多),
而之后的时间,我就没有实作过其他的LAB
(实际上之后好像也没办法做,LAB好像会关闭),
我后来只有自己架了EC2跟S3来玩看看,
当然我绝对不会说LAB不重要,
如果是实务取向,我相信LAB非常重要,
但以考取认证来说,个人认为LAB不会是最优先考量要熟悉的项目,
并且如同我前面提到,我的工作内容几乎与AWS无关,
所以一些服务的使用与设定,其实我不熟悉实作,
对于考认证与工作并无太大影响,只要观念与原理了解即可。
(不过这其实也是一个盲点啦,有时候没碰LAB要了解观念很难,
或是要做了LAB你才会知道自己观念哪里有问题或需要加强。)
那虽然我没有作LAB也没有玩其他服务,
我有开启AWS的官网,把每个Security中提到的服务,
都有点进去看过,看看dashbord有哪些选项,哪些功能之类的,
总之就是到处乱点乱看,没有真的把服务运行起来(因为怕被收费QQ)。
我自己的学习历程如下,
AWS官方的网络课程看过一遍,
主要就是针对 Practitioner、Security的主题,
或是一些比较核心服务 IAM、VPC、S3 相关的内容。
AWS Training的网站连结如下
https://www.aws.training/
上课的PPT我看了两遍,有作笔记,
第一次可以算是完整详细阅读,
第二遍是看完下面两个网站的课程之后才看得,
算是针对不太了解的地方再仔细看一次而已。
以下两个网站的AWS Security课程都有上完一遍,
这两个网站其实都有提供免费试看期间,
我都是在试用期间看完的,所以没有花到钱。
A CLOUD GURU
https://acloud.guru/learn/aws-certified-security-specialty
O’REILLY
https://www.oreilly.com/library/view/aws-certified-security/9780135771990/
接着是AWS中跟资安相关的白皮书跟Best Practices看一看,
上下班的通勤时间会看看“常见问答集”。
针对比较不熟悉的一些观念都会再多花时间搞懂。
接着就是看看网络上免费的题库,大概是这样。
推荐“网络上免费的题库”一定要看熟,
我大概于考前一个星期开始看,看了3~4遍。
不过考试相信是..绝对不能只依赖题库,
因为考题真的满活也满难的,
个人认为AWS考试是有鉴别度的。
考试题型与范围
考试的内容与题型的部分呢,
考题的形式“全部”都是选择题,
相信对不少人来说已经是松了口气,
不然如果要像OSCP实作真的是太硬了。
(至少对我来说是XD)
题目的领域可以参考AWS官方Exam Guide
考试时间180分数,考试题数共65题,有单选与多选题。
满分是1000分,通过分数是750分,但是我不知道分数是怎么算的。
比较特别的是,这种类型的考试,
每个题目的解答其实并不是唯一解,而是最佳解,
也就是说要选择答案中最适合最接近题意的解答。
所以…真的是很难XDDDD
我自己虽然是考了一次就过了,分数也不算低,
我拿到的分数是956分,
但还是觉得是有些侥幸心虚,满意外的。
考试因为可以往回作答,所以我的作法是,
考试一开始就先从第一题开始直接刷到最后一题,
看到马上能答题或能够确定答案的就填,有犹豫或是不确定就跳过,
等写到最后一题再回头一题一题看。
接着来提一下考试范围,一点点的技术内容,
因为范围真的是也非常广的,彼此之间又相互关联,
考试内容也很随机,灵活,或是组合不同服务。
下面提一些我觉得需要注意的事情。
1.了解所有服务,熟悉重要服务
这个可以算是最花费时间也最重要的,
就是要知道每个服务的用途与目的,
有些重要的项目像是EC2、IAM、VPC、S3要尽可能熟悉内容。
在Security课程中提到的所有服务,
都要知道其用途,知道在什么场合适合使用,
不需要每项都深入熟悉,但能够了解每个服务的目的,
都清楚了解的话,许多简单的题目可以很快速作答,
譬如像是WAF、Shield、CloudFront,要能够清楚区分彼此的区别,
如果要阻挡DDOS,要采用哪个服务比较好?
还有像是CloudTrail、CloudWatch、AWS Config、Inspector 这种,
如果没有很了解服务内容的区别,其实会很容易混淆。
2.搞懂IAM跟policy
关于IAM和ACL相关的内容一定要熟悉
像是User,Group,Role,Policy之间关系
Policy的三种Type
AWS-managed/customer-managed/inline
Permissions两种type
User-Based Permissions/Resource-Based Permissions
(其实还会加上SCP)
优先级explicit deny/explicit allow/implicit deny
这些必须要很熟悉,一定是要真的搞懂,
应该是没有办法硬背背起来的。
https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html
https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html
3.KMS
关于KMS,symmetric跟asymmetric的CMK,
不同Key的用途还有保存位置与Key rotate的内容,
这些算是容易搞混的一个服务。
https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys
4.Data Security
这部分可以参考白皮书像是Encrypting Data at Rest
关于Data Security,要能区分SSE-KMS, SSE-C, SSE-S3。
5.VPC相关
譬如像是如何从地端连接到VPC
可以参考白皮书
aws-amazon-vpc-connectivity-options
还有VPC中的ACL,这个部分很复杂。
6.Dedicated Instances/Dedicated Hosts
这个其实满简单的。
一个是运行你的instances上的Server不会有别人的Instances,
可是每次运行时,你有可能会换到不同的server主机。
Dedicated Hosts就是这台主机就是你的,只会运行你的instance
每次开机都在同个主机,主要是有些合规需求需要。
以上简短的只提了几个项目与方向,
毕竟这篇主要目的在于心得分享而已,不是技术文章,
未来有机会可能会整理自己的AWS笔记放上来。
以上纯粹是我个人的一些想法跟心得,
当然也不表示是最佳的准备方法,更不代表提到的东西就是会考的东西喔XD