دليل امتحان AWS Certified Security - Specialty (SCS-C02)
الإصدار 1.1 SCS-C02
مقدمة
يهدف امتحان AWS Certified Security - Specialty (SCS-C02) إلى الأفراد الذين يشغلون دور أمني. يصادق الامتحان على قدرة المرشح على إظهار المعرفة بفعالية حول تأمين منتجات وخدمات AWS.
يصادق الامتحان أيضًا على ما إذا كان لدى المرشح ما يلي:
- فهم التصنيفات البيانية المتخصصة وآليات حماية البيانات في AWS
- فهم طرق تشفير البيانات وآليات AWS لتنفيذها
- فهم البروتوكولات الأمنية للإنترنت وآليات AWS لتنفيذها
- معرفة عملية بخدمات الأمان في AWS وميزات الخدمات لتوفير بيئة إنتاج آمنة
- الكفاءة من خلال خبرة نشر في الإنتاج لمدة عامين أو أكثر في استخدام خدمات وميزات الأمان في AWS
- القدرة على اتخاذ قرارات التوازن بين التكلفة والأمان وتعقيد النشر لتلبية مجموعة من متطلبات التطبيق
- فهم عمليات الأمان والمخاطر
وصف المرشح المستهدف
يجب أن يكون المرشح المستهدف لديه ما يعادل 3-5 سنوات من الخبرة في تصميم وتنفيذ حلول الأمان. بالإضافة إلى ذلك، يجب أن يكون لدى المرشح المستهدف حد أدنى من خبرة عملية لمدة عامين في تأمين الأحمال المشغلة على AWS.
المعرفة المُوصى بها بـ AWS
يجب أن يكون لدى المرشح المستهدف المعرفة التالية:
- نموذج المسؤولية المشتركة في AWS وتطبيقه
- معرفة عامة بخدمات AWS ونشر الحلول السحابية
- ضوابط الأمان لبيئات وأحمال العمل في AWS
- استراتيجيات التسجيل والمراقبة
- إدارة الثغرات والأتمتة الأمنية
- طرق دمج خدمات الأمان في AWS مع الأدوات الخارجية
- ضوابط استعادة الكوارث ، بما في ذلك استراتيجيات النسخ الاحتياطي
- التشفير وإدارة المفاتيح
- إدارة هوية الوصول
- الاحتفاظ بالبيانات وإدارة دورة الحياة
- كيفية حل مشكلات الأمان
- الحوكمة متعددة الحسابات والامتثال التنظيمي
- استراتيجيات الكشف عن التهديدات والاستجابة للحوادث
مهام الوظيفة التي تقع خارج نطاق المرشح المستهدف
تحتوي القائمة التالية على مهام وظيفية لا يتوقع أن يتمكن المرشح المستهدف من أدائها. هذه القائمة ليست شاملة. تقع هذه المهام خارج نطاق الامتحان:
- تطوير برامج في لغة محددة (على سبيل المثال، Python، Java).
- تأكيد الامتثال التنظيمي.
- إدارة دورات حياة تطوير البرامج.
- تصميم توبولوجيات الشبكة.
- هندسة النشر الكلي للسحابة.
- تكوين خدمات التخزين بناءً على متطلبات إقامة البيانات (على سبيل المثال، اللائحة العامة لحماية البيانات [GDPR]).
راجع الملحق للاطلاع على قائمة بالتقنيات والمفاهيم التي قد تظهر في الامتحان، وقائمة بخدمات وميزات AWS المعتمدة، وقائمة بخدمات وميزات AWS خارج النطاق.
محتوى الامتحان
أنواع الإجابات
هناك نوعان من الأسئلة في الامتحان:
- اختيار متعدد: له إجابة صحيحة واحدة وثلاث إجابات غير صحيحة (مشتتات)
- إجابة متعددة: لها إجابتان صحيحتان أو أكثر من خمس خيارات أو أكثر
حدد إجابة أو أكثر تكمل العبارة أو تجيب على السؤال بشكل أفضل. المشتتات، أو الإجابات الخاطئة، هي خيارات الإجابة التي قد يختارها المرشح ذو المعرفة أو المهارة غير الكاملة. عادة ما تكون المشتتات إجابات محتملة تتطابق مع مجال المحتوى.
لا تؤثر الأسئلة التي لم يتم الإجابة عليها على درجتك ولا توجد عقوبة على التخمين. يتضمن الامتحان 50 سؤالاً تؤثر على درجتك.
المحتوى غير المحتسب
يتضمن الامتحان 15 سؤالاً غير محتسب لا تؤثر على درجتك. تقوم AWS بجمع معلومات عن أداء هذه الأسئلة غير المحتسبة لتقييمها للاستخدام في المستقبل كأسئلة محتسبة. لا يتم تحديد هذه الأسئلة غير المحتسبة في الامتحان.
نتائج الامتحان
يصنف امتحان AWS Certified Security - Specialty (SCS-C02) بأنه نجاح أو رسوب. يتم تقييم الامتحان مقابل الحد الأدنى من المعايير التي وضعتها محترفو AWS الذين يتبعون أفضل الممارسات والإرشادات الخاصة بشهادات الصناعة.
يتم الإبلاغ عن نتائجك للامتحان كدرجة مقياسية من 100 إلى 1000. الحد الأدنى للنجاح هو 750. تُظهر درجتك كيف أديت في الامتحان ككل وما إذا كنت قد نجحت. تساعد نماذج التسجيل المقياسية في تكافؤ الدرجات عبر أشكال امتحان متعددة قد تكون لديها مستويات صعوبة مختلفة قليلاً.
قد يحتوي تقرير درجتك على جدول لتصنيف أدائك في كل قسم. يستخدم الامتحان نموذج التسجيل التعويضي، مما يعني أنه ليس عليك تحقيق درجة نجاح في كل قسم. عليك أن تنجح فقط في الامتحان الإجمالي.
لكل قسم من أقسام الامتحان ترجيح محدد، لذلك يكون لبعض الأقسام المزيد من الأسئلة من غيرها. يحتوي جدول التصنيفات على معلومات عامة توضح نقاط قوتك وضعفك. توخ الحذر عند تفسير التعليقات على مستوى القسم.
معالم المحتوى
يتضمن هذا الدليل للامتحان ترجيحات ومجالات المحتوى وعبارات المهمة للامتحان. لا يوفر هذا الدليل قائمة شاملة بالمحتوى المطروح في الامتحان. ومع ذلك ، هناك سياق إضافي لكل عبارة مهمة متاح لمساعدتك في التحضير للامتحان.
يتميز الامتحان بالمجالات المحتوى والأوزان التالية:
- المجال 1: الكشف عن التهديدات والاستجابة للحوادث (14% من المحتوى المحتسب)
- المجال 2: تسجيل الأمان والمراقبة (18% من المحتوى المحتسب)
- المجال 3: أمان البنية التحتية (20% من المحتوى المحتسب)
- المجال 4: إدارة الهوية والوصول (16% من المحتوى المحتسب)
- المجال 5: حماية البيانات (18% من المحتوى المحتسب)
- المجال 6: إدارة الحوكمة الأمنية (14% من المحتوى المحتسب)
المجال 1: الكشف عن التهديدات والاستجابة للحوادث
عبارة المهمة 1.1: تصميم وتنفيذ خطة الاستجابة للحوادث.
المعرفة في:
- أفضل ممارسات AWS للاستجابة للحوادث
- حوادث السحابة
- الأدوار والمسؤوليات في خطة الاستجابة للحوادث
- تنسيق AWS Security Finding (ASFF)
المهارات في:
- تنفيذ استراتيجيات إلغاء صلاحية وإعادة تدوير مفاتيح السر في استجابة للأضرار (على سبيل المثال ، باستخدام AWS Identity and Access Management [IAM] وAWS Secrets Manager)
- عزل موارد AWS
- تصميم وتنفيذ البرامج والأدلة التشغيلية للاستجابة لحوادث الأمان
- نشر خدمات الأمان (على سبيل المثال ، AWS Security Hub ، Amazon Macie ، Amazon GuardDuty ، Amazon Inspector ، AWS Config ، Amazon Detective ، AWS Identity and Access Management Access Analyzer)
- تكوين التكامل مع خدمات AWS الأصلية والخدمات الخارجية (على سبيل المثال ، باستخدام Amazon EventBridge و ASFF)
عبارة المهمة 1.2: الكشف عن التهديدات الأمنية والشذوذات باستخدام خدمات AWS.
المعرفة في:
- خدمات الأمان المُدارة في AWS التي تكتشف التهديدات
- تقنيات الشذوذ والترابط لربط البيانات عبر الخدمات
- التصورات لتحديد الشذوذات
- استراتيجيات لتركيز نتائج الأمان
المهارات في:
- تقييم النتائج من خدمات الأمان (على سبيل المثال ، GuardDuty ، Security Hub ، Macie ، AWS Config ، IAM Access Analyzer)
- البحث والترابط عبر التهديدات الأمنية عبر خدمات AWS (على سبيل المثال ، باستخدام Detective)
- إجراء استفسارات للتحقق من أحداث الأمان (على سبيل المثال ، باستخدام Amazon Athena)
- إنشاء مرشحات مقياس ولوحات تحكم لرصد النشاط الشاذ (على سبيل المثال ، باستخدام Amazon CloudWatch)
عبارة المهمة 1.3: الاستجابة للموارد والأحمال المعرضة للخطر.
المعرفة في:
- دليل استجابة حوادث الأمان في AWS
- آليات عزل الموارد
- تقنيات لتحليل الجذر
- آليات التقاط البيانات
- تحليل السجلات للتحقق من الأحداث
المهارات في:
- أتمتة الإصلاح باستخدام خدمات AWS (على سبيل المثال ، AWS Lambda ، AWS Step Functions ، EventBridge ، AWS Systems Manager runbooks ، Security Hub ، AWS Config)
- الاستجابة للموارد المعرضة للخطر (على سبيل المثال ، عن طريق عزل instances أمازون EC2)
- التحقيق والتحليل لإجراء تحليل الجذر (على سبيل المثال ، باستخدام Detective)
- التقاط بيانات الطب الشرعي ذات الصلة من مورد معرض للخطر (على سبيل المثال ، لقطات حجم Amazon Elastic Block Store [Amazon EBS] ، قذيفة الذاكرة)
- استفسار السجلات في Amazon S3 للحصول على معلومات سياقية متعلقة بأحداث الأمان (على سبيل المثال ، باستخدام Athena)
- حماية واحتفاظ بالأدلة الطب الشرعي (على سبيل المثال ، باستخدام S3 Object Lock ، حسابات طب شرعي معزولة ، S3 Lifecycle ، وS3 replication)
- إعداد الخدمات للحوادث والاستعادة بعد الحوادث
المجال 2: تسجيل الأمان والمراقبة
عبارة المهمة 2.1: تصميم وتنفيذ المراقبة والتنبيه لمعالجة أحداث الأمان.
المعرفة في:
- خدمات AWS التي ترصد الأحداث وتوفر التنبيهات (على سبيل المثال ، CloudWatch ، EventBridge)
- خدمات AWS التي تؤتمت التنبيه (على سبيل المثال ، Lambda ، Amazon Simple Notification Service [Amazon SNS] ، Security Hub)
- الأدوات التي ترصد المقاييس والخطوط القاعدية (على سبيل المثال ، GuardDuty ، Systems Manager)
المهارات في:
- تحليل المعماريات لتحديد متطلبات المراقبة ومصادر البيانات للمراقبة الأمنية
- تحليل البيئات وأحمال العمل لتحديد متطلبات المراقبة
- تصميم مراقبة البيئة ومراقبة الحمولة بناءً على المتطلبات الأمنية والأعمال
- إعداد الأدوات والنصوص البرمجية المؤتمتة للقيام بعمليات تدقيق منتظمة (على سبيل المثال ، من خلال إنشاء بصائر مخصصة في Security Hub)
- تحديد المقاييس والعتبات التي تحقق التنبيهات
عبارة المهمة 2.2: استكشاف أخطاء وإصلاح مراقبة الأمان والتنبيه.
المعرفة في:
- تكوين خدمات المراقبة (على سبيل المثال ، Security Hub)
- البيانات ذات الصلة التي تشير إلى أحداث الأمان
المهارات في:
- تحليل وظيفة الخدمة والأذونات والتكوين للموارد بعد حدث لم يقدم رؤية أو تنبيه
- تحليل وإصلاح تكوين تطبيق مخصص لا يبلغ عن إحصائياته
- تقييم خدمات التسجيل والمراقبة لمواءمتها مع متطلبات الأمان
عبارة المهمة 2.3: تصميم وتنفيذ حل تسجيل.
المعرفة في:
- خدمات AWS وميزات توفر قدرات التسجيل (على سبيل المثال ، VPC Flow Logs ، سجلات DNS ، AWS CloudTrail ، Amazon CloudWatch Logs)
- سمات قدرات التسجيل (على سبيل المثال ، مستويات السجل ، النوع ، التفصيل)
- وجهات سجلات وإدارة دورة الحياة (على سبيل المثال ، فترة الاحتفاظ)
المهارات في:
- تكوين التسجيل للخدمات والتطبيقات
- تحديد متطلبات التسجيل ومصادر ترحيل السجلات
- تنفيذ تخزين السجلات وإدارة دورة حياتها وفقًا لأفضل ممارسات AWS ومتطلبات المنظمة
عبارة المهمة 2.4: استكشاف أخطاء وإصلاح حلول التسجيل.
المعرفة في:
- قدرات وحالات استخدام خدمات AWS التي توفر مصادر البيانات (على سبيل المثال ، مستوى السجل ، النوع ، التفصيل ، الوتيرة ، التوقيت ، عدم القابلية للتغيير)
- خدمات AWS وميزات توفر قدرات التسجيل (على سبيل المثال ، VPC Flow Logs ، سجلات DNS ، CloudTrail ، CloudWatch Logs)
- أذونات الوصول الضرورية للتسجيل
المهارات في:
- تحديد سوء التكوين وتحديد خطوات الإصلاح لغياب أذونات الوصول الضرورية للتسجيل (على سبيل المثال ، من خلال إدارة أذونات القراءة/الكتابة وأذونات حوض S3 والوصول العام وسلامة البيانات)
- تحديد سبب غياب السجلات وتنفيذ خطوات الإصلاح
عبارة المهمة 2.5: تصميم حل لتحليل السجلات.
المعرفة في:
- الخدمات والأدوات لتحليل السجلات المُلتَقَطة (على سبيل المثال ، Athena ، مرشح CloudWatch Logs)
- ميزات تحليل السجلات لخدمات AWS (على سبيل المثال ، CloudWatch Logs Insights ، CloudTrail Insights ، Security Hub insights)
- تنسيق السجل ومكوناته (على سبيل المثال ، سجلات CloudTrail)
المهارات في:
- تحديد الأنماط في السجلات للإشارة إلى الشذوذات والتهديدات المعروفة
- تحويل السجلات وتحليلها وربطها
المجال 3: أمان البنية التحتية
عبارة المهمة 3.1: تصميم وتنفيذ ضوابط الأمان لخدمات الحافة.
المعرفة في:
- ميزات الأمان على خدمات الحافة (على سبيل المثال ، AWS WAF ، موازنة الحمل ، Amazon Route 53 ، Amazon CloudFront ، AWS Shield)
- الهجمات والتهديدات والثغرات الشائعة (على سبيل المثال ، OWASP Top 10 ، DDoS)
- معمارية تطبيق الويب المتعددة الطبقات
المهارات في:
- تعريف استراتيجيات أمان الحافة للحالات الشائعة (على سبيل المثال ، موقع ويب عام ، تطبيق خادم أقل ، خلفية تطبيق الجوال)
- اختيار الخدمات الحافية المناسبة بناءً على التهديدات والهجمات المتوقعة (على سبيل المثال ، OWASP Top 10 ، DDoS)
- اختيار الحماية المناسبة بناءً على الثغرات والمخاطر المتوقعة (على سبيل المثال ، برامج ضعيفة ، تطبيقات ، مكتبات)
- تعريف طبقات الدفاع من خلال الجمع بين خدمات الحافة الأمنية (على سبيل المثال ، CloudFront مع AWS WAF وموازنات الحمل)
- تطبيق القيود على الحافة بناءً على معايير مختلفة (على سبيل المثال ، جغرافيا ، موقع جغرافي ، تحديد المعدل)
- تنشيط السجلات والمقاييس والمراقبة حول خدمات الحافة لإشارة الهجمات
عبارة المهمة 3.2: تصميم وتنفيذ ضوابط أمان الشبكة.
المعرفة في:
- آليات أمان VPC (على سبيل المثال ، مجموعات الأمان ، قوائم التحكم بالوصول إلى الشبكة ، AWS Network Firewall)
- الاتصال بين VPC (على سبيل المثال ، AWS Transit Gateway ، نهايات VPC)
- مصادر البيانات التلميحية للأمان (على سبيل المثال ، Traffic Mirroring ، VPC Flow Logs)
- تقنية VPN والمصطلحات والاستخدام
- خيارات الاتصال المحلي (على سبيل المثال ، AWS VPN ، AWS Direct Connect)
المهارات في:
- تنفيذ تجزئة الشبكة بناءً على متطلبات الأمان (على سبيل المثال ، شبكات فرعية عامة ، شبكات فرعية خاصة ، VPC حساسة ، اتصال محلي)
- تصميم ضوابط الشبكة للسماح أو منع حركة المرور الشبكية كما هو مطلوب (على سبيل المثال ، باستخدام مجموعات الأمان ، قوائم تحكم الوصول إلى الشبكة ، وNetwork Firewall)
- تصميم تدفقات الشبكة لإبقاء البيانات بعيدًا عن الإنترنت العام (على سبيل المثال ، باستخدام Transit Gateway ، نهايات VPC ، و Lambda في VPCs)
- تحديد مصادر البيانات التلميحية التي سيتم مراقبتها بناءً على تصميم الشبكة والتهديدات والهجمات (على سبيل المثال ، سجلات موازن الحمل ، VPC Flow Logs ، Traffic Mirroring)
- تحديد الاحتياطات والمتطلبات الأمنية للحمولة للاتصال بين البيئات المحلية والسحابة AWS (على سبيل المثال ، باستخدام AWS VPN ، AWS VPN عبر Direct Connect ، و MACsec)
- تحديد وإزالة الوصول غير الضروري للشبكة
- إدارة تكوينات الشبكة مع تغيير المتطلبات (على سبيل المثال ، باستخدام AWS Firewall Manager)
عبارة المهمة 3.3: تصميم وتنفيذ ضوابط الأمان لأحمال الحوسبة.
المعرفة في:
- تجهيز وصيانة instances EC2 (على سبيل المثال ، التحديث ، الفحص ، إنشاء لقطات و AMIs ، استخدام EC2 Image Builder)
- أدوار حساب IAM وأدوار الخدمة IAM
- الخدمات التي تفحص البرامج الضعيفة في أحمال الحوسبة (على سبيل المثال ، Amazon Inspector ، Amazon Elastic Container Registry [Amazon ECR])
- الأمان على مستوى المضيف (على سبيل المثال ، جدران الحماية ، التعزيز)
المهارات في:
- إنشاء AMIs EC2 محصنة
- تطبيق أدوار الحساب وأدوار الخدمة حسب الاقتضاء لترخيص أحمال الحوسبة
- فحص instances EC2 وصور الحاويات للبرامج الضعيفة المعروفة
- تطبيق التحديثات عبر أسطول instances EC2 أو صور الحاويات
- تنشيط آليات الأمان على مستوى المضيف (على سبيل المثال ، جدران الحماية على مستوى المضيف)
- تحليل نتائج Amazon Inspector وتحديد تقنيات التخفيف المناسبة
- نقل الأسرار والبيانات الاعتمادية بأمان إلى أحمال الحوسبة
عبارة المهمة 3.4: استكشاف أخطاء وإصلاح أمان الشبكة.
المعرفة في:
- كيفية تحليل إمكانية الوصول (على سبيل المثال ، باستخدام VPC Reachability Analyzer و Amazon Inspector)
- المفاهيم الأساسية لشبكة TCP/IP (على سبيل المثال ، UDP مقارنة بـ TCP ، المنافذ ، نموذج OSI)
- كيفية قراءة مصادر السجلات ذات الصلة (على سبيل المثال ، سجلات Route 53 ، سجلات AWS WAF ، VPC Flow Logs)
المهارات في:
- تحديد وتفسير وتحديد أولويات المشكلات في الاتصال الشبكي (على سبيل المثال ، باستخدام أداة نفاذية الشبكة Amazon Inspector)
- تحديد الحلول لإنتاج السلوك الشبكي المرغوب
- تحليل مصادر السجلات لتحديد المشكلات
- التقاط عينات من الحركة لتحليل المشكلة (على سبيل المثال ، باستخدام Traffic Mirroring)
المجال 4: إدارة الهوية والوصول
عبارة المهمة 4.1: تصميم وتنفيذ واستكشاف أخطاء وإصلاح المصادقة لموارد AWS.
المعرفة في: