Как я сдал экзамен AWS Security Speciality, используя в основном бесплатный контент 🥇


Справочная информация

Недавно я повторно сдал экзамен AWS Security Speciality. Для меня он остается одним из моих любимых экзаменов, а также одним из самых полезных для тех, кто хочет улучшить свои знания в области AWS. Неважно, что вас интересует – контейнеры или бессерверные технологии, машинное обучение или данные и аналитика – вы должны разбираться в таких темах, как управление идентификацией и доступом, безопасность инфраструктуры и защита данных, чтобы создавать более безопасные решения.

Как всегда, доступны курсы от таких компаний, как A Cloud Guru,
Exam Pro, WhizLabs и других. Вы также можете пройти 3-дневный курс “Security Engineering on AWS”, но это, скорее всего, обойдется вам не менее чем в £2,320 + НДС.

Не у всех есть средства для доступа к этим курсам, поэтому давайте рассмотрим, как можно получить сертификат, используя в основном бесплатный контент. Даже если вы не будете сдавать экзамен, эти материалы помогут улучшить ваши знания в этой критически важной области.

Материалы AWS

Первое, с чего следует начать, – это целевая страница AWS для экзамена Security Speciality. Эта страница содержит ссылки на руководство по экзамену, в котором описана каждая область и ее вес, что входит в каждую область, а также перечислены конкретные инструменты и технологии, которые могут быть рассмотрены на экзамене.

Кроме того, на целевой странице есть ссылки на часто задаваемые вопросы и белые книги AWS, которые наиболее актуальны для экзамена. Их обязательно стоит прочитать.

AWS предлагает бесплатные курсы по запросу через свой новый учебный центр – AWS Skill Builder. Самый полезный курс здесь – двухчасовой “Готовность к экзамену: AWS Certified Security – Speciality”. В нем рассматриваются цели курса, рассказывается о каждой из областей, по которым вы будете проходить тестирование, а также приводится ряд примерных экзаменационных вопросов и ответов в конце каждой области.

AWS также предоставляет практические лабораторные работы, чтобы помочь вам изучить, измерить и построить, следуя передовым практикам их архитектуры. Эти лабораторные работы представляют собой лабораторные работы по архитектуре, основанные на столпах хорошо продуманной архитектуры. Есть целый раздел, состоящий из лабораторных работ по безопасности.

Ключом к сдаче этого экзамена является понимание основных служб AWS – IAM, VPC и KMS, а также понимание служб безопасности AWS на более высоком уровне.

Управление идентификацией и доступом (IAM)

На область IAM приходится 20% экзамена, но на самом деле твердое понимание IAM также поможет ответить на многие вопросы. Сюда входит обеспечение авторизации и аутентификации для служб и ресурсов с использованием принципа “наименьших привилегий”. Это гарантирует, что пользователю, роли, группе или службе предоставляются минимально необходимые разрешения и не более того, с помощью прилагаемых политик.

Язык политики

На экзамене вам, скорее всего, будут представлены утверждения политик, поэтому вам необходимо понимать язык политик. Когда вы определяете IAM политику, вы указываете, каким IAM принципалам разрешено выполнять какие действия на определенных AWS ресурсах и при каких условиях, используя следующую структуру:

{
    "Statement": [{
        "Effect": "Allow/Deny",
        "Principal": "principal",
        "Action": "action",
        "Resource": "ARN",
        "Condition": {
            "condition": {
                "key": "value"
            }
        }
    }]
}
Войти в полноэкранный режим Выйти из полноэкранного режима

Одна вещь, которая почти наверняка появится на экзамене, – это знания об условиях. Элемент или блок Condition позволяет указать условия, когда политика вступает в силу. Например, приведенный ниже фрагмент запретит любой доступ к ведру S3, не использующему HTTPS:

{
    "Principal": "*",
    "Action": "s3:*",
    "Effect": "Deny",
    "Resource": [
        "arn:aws:s3:::awsexamplebucket1",
        "arn:aws:s3:::awsexamplebucket1/*"
    ],
    "Condition": {
        "Bool": {
            "aws:SecureTransport": "false"
        }
    }
}
Войти в полноэкранный режим Выйти из полноэкранного режима

Приведенный ниже фрагмент запретит любой доступ к ведру S3, который не исходит из указанной конечной точки VPC:

{
    "Principal": "*",
    "Action": "s3:*",
    "Effect": "Deny",
    "Resource": [
        "arn:aws:s3:::awsexamplebucket1",
        "arn:aws:s3:::awsexamplebucket1/*"
    ],
    "Condition": {
        "StringNotEquals": {
            "aws:SourceVpce": "vpce-1a2b3c4d"
        }
    }
}
Войти в полноэкранный режим Выйти из полноэкранного режима

Типы политик IAM

Ниже перечислены различные типы политик IAM, с которыми вы должны быть знакомы:

  • Политики на основе идентификации – прикрепление управляемых и встроенных политик к идентификаторам IAM.
  • Политики на основе ресурсов – прикрепляются к ресурсам, таким как ведра Amazon S3, ключи AWS KMS и конечные точки VPC.
  • Permission Boundaries – управляемая политика, определяющая максимальные разрешения, которые политика на основе идентификации может предоставлять субъекту, но не предоставляет ему.
  • Organization SCPs – политики управления услугами предоставляют максимальные разрешения для членов учетной записи или организации или организационной единицы (OU). Общие примеры включают ограничение служб AWS или регионов, которые можно использовать. Помните, что они не предоставляют разрешения сами по себе, и SCP не влияют на пользователей или роли в учетной записи управления. Они влияют только на учетные записи членов вашей организации.
  • Списки контроля доступа (ACL) – ACL Amazon S3, позволяющие управлять доступом к ведрам и объектам. Это был первоначальный механизм контроля доступа в S3, существовавший до появления IAM. Сейчас AWS рекомендует отключать ACL с помощью параметра “Владение объектами S3”, который устанавливается владельцем ведра.
  • Политики сессий – ограничивают разрешения для созданной сессии, но не предоставляют разрешения.

Оценка политики

Еще одна важная область, которую необходимо понять, – это то, как оцениваются политики; AWS предоставила эту удобную блок-схему. Ключевым моментом является то, что явный запрет всегда приводит к отказу в доступе.

Разрешения в разных учетных записях AWS

Сегодня предприятия работают с несколькими учетными записями AWS, что означает, что возникают ситуации, когда идентификатор в одной учетной записи нуждается в доступе к ресурсу в другой учетной записи.

Когда задействованы две учетные записи, в авторизации должны участвовать обе учетные записи. В примере ниже политика ресурса (политика ведра S3) указывает в элементе Principal, что она доверяет учетной записи AWS, указанной для написания политик, чтобы разрешить доступ.

По мере расширения масштаба вы можете использовать ключи состояния для упрощения доступа из политики ресурсов:

В других ситуациях вам нужно получить доступ к ресурсу в другой учетной записи, которая не поддерживает политики ресурсов, например, к таблице DynamoDB. В этом случае вы создаете роль в той же учетной записи, что и таблица DynamoDB, которая имеет разрешения на доступ к таблице. Вы создаете политику доверия для этой роли, доверяя другой учетной записи AWS писать политики для принятия этой роли. Вызывающая личность не имеет разрешения на выполнение вызовов DynamoDB, но у нее есть разрешение на роль в целевой учетной записи, что позволит ей получить доступ к ресурсу.

Присвоение идентификационных данных

Другая тема, которую вам необходимо понять, – это различные варианты присвоения идентификации, в том числе, когда нужно подключать службу каталогов к IAM. Они варьируются от:

  • IAM пользователи – пользователи, созданные в IAM, которые имеют долгосрочные учетные данные и которых следует избегать, когда это возможно.
  • пул пользователей AWS SSO – для относительно небольшого числа пользователей без каталога пользователей. Пользователь в AWS SSO назначается группе в одной или нескольких учетных записях AWS, для которой определен набор разрешений. AWS SSO создает соответствующие IAM-роли под управлением AWS SSO в каждой учетной записи с прикрепленными политиками. Это означает, что вы принимаете роль в рамках сеанса с временными учетными данными.
  • AWS SSO с Azure AD, ADFS или Custom Directory Integration – позволяет вам использовать существующий каталог записей пользователей.

Для приложений, которым нужны разрешения, вы связываете свой экземпляр EC2 (профиль экземпляра) или функцию Lambda (роль выполнения) с существующей ролью, а вычислительная среда берет на себя управление временными учетными данными.

Дополнительные ресурсы IAM

Чтобы лучше понять IAM и разобраться в различных типах политик, я настоятельно рекомендую начать с этого блестящего введения в мир AWS Identity, написанного Бекки Вайс:

  • AWS re:Invent 2019: Getting started with AWS Identity – an amazing introduction to IAM by Becky Weiss from ReInvent 2019

После этого вы можете начать погружаться в еще большее количество деталей с растущей серией докладов от потрясающей Бриджид Джонсон:

  • AWS re:Invent 2018: Станьте мастером политики IAM за 60 минут или меньше

  • AWS re:Invent 2019: Уверенный контроль доступа: Правильный доступ к правильным вещам

  • AWS re:Invent 2020: AWS identity: Управление разрешениями нового поколения

  • AWS re:Invent 2021 – Путешествие с наименьшими привилегиями: Политики AWS IAM и Access Analyzer

Безопасность инфраструктуры (VPC)

Безопасность инфраструктуры составляет 26% экзамена, поэтому эту тему вы должны знать как свои пять пальцев. Начать следует с основ сетевой маршрутизации внутри VPC, как показано на схеме ниже:

Ваш VPC имеет неявный маршрут, и вы используете таблицы маршрутизации для управления направлением сетевого трафика. Каждая подсеть в вашем VPC должна быть связана с таблицей маршрутизации, которая управляет маршрутизацией для подсети. Каждая таблица маршрутизации содержит локальный маршрут для связи внутри VPC. Этот маршрут добавляется по умолчанию во все таблицы маршрутизации.

Список контроля доступа к сети (NACL) – это дополнительный уровень безопасности для вашего VPC, который действует как брандмауэр для контроля трафика в одной или нескольких подсетях. Каждая подсеть в вашем VPC должна быть связана с сетевым ACL. Если вы явно не ассоциируете подсеть с сетевым ACL, она будет автоматически ассоциирована с сетевым ACL по умолчанию. Он разрешает весь входящий и исходящий трафик IPv4 и IPv6. Сетевой ACL имеет отдельные входящие и исходящие правила, и каждое правило может либо разрешать, либо запрещать трафик. Они также не имеют статусов, что означает, что ответы на входящий трафик подчиняются правилам для исходящего трафика (и наоборот).

Группа безопасности действует как виртуальный брандмауэр, но работает на уровне экземпляра, а не подсети. Группы безопасности являются государственными, что означает, что если вы отправляете запрос от экземпляра, ответный трафик этого запроса будет разрешен для достижения экземпляра независимо от входящих правил группы безопасности. Вы можете указать разрешающие правила, но не запрещающие. Можно также связать несколько групп безопасности с одним экземпляром.

Было несколько оценок, которые можно было легко получить (или потерять) на экзамене благодаря пониманию этих компонентов.

Экзамен также затрагивает более продвинутые сетевые темы, которые можно увидеть на диаграмме ниже:

Самым лучшим способом понять эти темы для меня стал просмотр серии выступлений Мэтта Левесса (Matt Lehwess) на конференции re:Invent. Они начинались с фундаментального уровня и переходили к более продвинутым темам. Мне помогло то, что я смотрел их по порядку, в течение нескольких лет, чтобы закрепить информацию, полученную на базовом уровне.

  • AWS re:Invent 2018: Продвинутый дизайн VPC и новые возможности Amazon VPC

  • AWS re:Invent 2019: Продвинутый дизайн VPC и новые возможности для Amazon VPC

  • AWS re:Invent 2020: Продвинутый дизайн VPC и новые возможности для Amazon VPC

  • AWS re:Invent 2021: Расширенная разработка и новые возможности Amazon VPC

Я настоятельно рекомендую убедиться, что вы знакомы с AWS PrivateLink и различиями между конечной точкой VPC в Интернете и шлюзом, а также с тем, как обеспечить это с помощью политик и разрешить доступ с помощью таблиц маршрутизации.

В этой теме также рассматриваются дополнительные сервисы AWS, такие как AWS Shield и Shield Advanced для защиты от DDoS, AWS WAF для блокирования вредоносного трафика и Inspector.

Защита данных

Целых 22% всего экзамена отведено защите данных, охватывающей разработку и внедрение управления ключами, устранение неполадок в управлении ключами, а также варианты шифрования данных в состоянии покоя и при передаче.

Управление ключами в данном контексте охватывает как AWS KMS, так и Cloud HSM, и вам необходимо понимать, когда вы можете предпочесть одно другому. Однако основная часть этой области требует детального знания KMS.

Отличное место для начала, а также для подведения итогов некоторых других материалов в последних нескольких разделах, – это доклад Бекки Вайс:

  • AWS re:Inforce 2019: Основы безопасности облака AWS.

В этом докладе рассматривается управление разрешениями с помощью IAM, контроль безопасности сети с помощью VPC и шифрование данных с помощью KMS.

Я также написал предыдущую статью в блоге, где более подробно рассматривается AWS KMS в связи с QLDB, в которой говорится о том, как защитить данные в вашей бухгалтерской книге QLDB. Здесь рассматриваются различные типы CMK, поддерживаемые KMS, и ключевые политики. Другая тема, которая часто встречается на экзамене, – это предоставление ключей. Они используются для временных разрешений, поскольку не влияют на ваши ключевые политики или политики IAM. Гранты обычно используются службами AWS, которые интегрируются с AWS KMS для шифрования ваших данных в состоянии покоя.

Стоит ознакомиться со следующим техническим документом, в котором описывается дизайн и элементы управления, реализованные в KMS для обеспечения безопасности и конфиденциальности ваших данных:

  • Криптографические детали AWS KMS

Практическая работа с AWS Organizations

Наконец, я сделал то, что помогло мне больше всего, – создал свою собственную среду AWS с несколькими учетными записями, используя AWS Organizations. Я сделал это с помощью инструмента с открытым исходным кодом под названием AWS Organization Formation (OrgFormation) от Olaf Conijn.

Я описал все шаги в следующих статьях блога:

  • Настройка многоаккаунтной среды AWS
  • Добавление AWS SSO и управление разрешениями
  • Централизация аудита, соответствия требованиям и обнаружения инцидентов

Это позволило воплотить в жизнь лучшие практики AWS как часть их эталонной архитектуры безопасности. Посты создают среду, включающую SCP и границы разрешений, которые действительно помогают определить, как их можно использовать. Здесь также используются такие сервисы, как AWS CloudTrail, CloudWatch Alarms, AWS Config с управляемыми правилами, пакетами соответствия и агрегаторами, а также Amazon GuardDuty.

Заключение

После просмотра видеороликов, ссылки на которые приведены в этой статье, и создания собственной среды AWS с несколькими учетными записями я смог с комфортом сдать экзамен AWS Security Speciality. Что еще более важно, я почувствовал, что практические занятия позволили мне надолго закрепить понимание некоторых из этих важных тем, в отличие от заучивания теории из белой книги, которую можно забыть уже через неделю. Надеюсь, это побудит некоторых из вас попробовать сдать экзамен по специальности “Безопасность”, и обращайтесь, если у вас есть вопросы.

Оцените статью
Procodings.ru
Добавить комментарий