CC
📚 Mais Materiais:
📋Visão Geral da Certificação📝Folha de Consulta📚RevisorTestes Práticos

Guia oficial do exame SCS-C02

Formato do exame, dom\u00EDnios e dicas de prepara\u00E7\u00E3o

Guia de Exame da AWS Certified Security - Specialty (SCS-C02)

Versão 1.1 SCS-C02

Introdução

O exame AWS Certified Security - Specialty (SCS-C02) destina-se a indivíduos que desempenham um papel de segurança. O exame valida a capacidade de um candidato de demonstrar efetivamente conhecimentos sobre a proteção de produtos e serviços da AWS.

O exame também valida se um candidato tem o seguinte:

  • Um entendimento de classificações de dados especializadas e mecanismos de proteção de dados da AWS
  • Um entendimento de métodos de criptografia de dados e mecanismos da AWS para implementá-los
  • Um entendimento de protocolos de internet seguros e mecanismos da AWS para implementá-los
  • Um conhecimento prático dos serviços de segurança da AWS e recursos de serviços para fornecer um ambiente de produção seguro
  • Competência de 2 anos ou mais de experiência de implantação de produção no uso de serviços e recursos de segurança da AWS
  • A capacidade de fazer compensações de decisão em relação a custo, segurança e complexidade de implantação para atender a um conjunto de requisitos de aplicação
  • Um entendimento das operações de segurança e riscos

Descrição do candidato-alvo

O candidato-alvo deve ter o equivalente a 3-5 anos de experiência em projetar e implementar soluções de segurança. Além disso, o candidato-alvo deve ter um mínimo de 2 anos de experiência prática em proteger cargas de trabalho da AWS.

Conhecimento recomendado da AWS

O candidato-alvo deve ter o seguinte conhecimento:

  • O modelo de responsabilidade compartilhada da AWS e sua aplicação
  • Conhecimento geral dos serviços da AWS e implantação de soluções em nuvem
  • Controles de segurança para ambientes e cargas de trabalho da AWS
  • Estratégias de registro e monitoramento
  • Gerenciamento de vulnerabilidades e automação de segurança
  • Maneiras de integrar serviços de segurança da AWS a ferramentas de terceiros
  • Controles de recuperação de desastres, incluindo estratégias de backup
  • Criptografia e gerenciamento de chaves
  • Gerenciamento de identidade e acesso
  • Retenção de dados e gerenciamento do ciclo de vida
  • Como solucionar problemas de segurança
  • Governança multicontabilidade e conformidade organizacional
  • Estratégias de detecção de ameaças e resposta a incidentes

Tarefas de trabalho fora do escopo para o candidato-alvo

A seguinte lista contém tarefas de trabalho que o candidato-alvo não se espera que consiga realizar. Esta lista não é exaustiva. Essas tarefas estão fora do escopo do exame:

  • Desenvolver software em um idioma específico (por exemplo, Python, Java).
  • Confirmar a conformidade regulatória.
  • Gerenciar ciclos de vida de desenvolvimento de software.
  • Projetar topologias de rede.
  • Arquitetar implantações gerais em nuvem.
  • Configurar serviços de armazenamento com base em requisitos de residência de dados (por exemplo, Regulamento Geral sobre a Proteção de Dados [RGPD]).

Consulte o Apêndice para obter uma lista de tecnologias e conceitos que podem aparecer no exame, uma lista de serviços e recursos da AWS dentro do escopo e uma lista de serviços e recursos da AWS fora do escopo.

Conteúdo do exame

Tipos de resposta

Há dois tipos de questões no exame:

  • Múltipla escolha: Tem uma resposta correta e três respostas incorretas (distratores)
  • Múltipla resposta: Tem duas ou mais respostas corretas de cinco ou mais opções de resposta

Selecione uma ou mais respostas que melhor completem a declaração ou respondam à pergunta. Distratores ou respostas incorretas são opções de resposta que um candidato com conhecimento ou habilidade incompletos pode escolher. Os distratores geralmente são respostas plausíveis que correspondem à área de conteúdo.

As questões não respondidas são pontuadas como incorretas; não há penalidade por adivinhação. O exame inclui 50 questões que afetam sua pontuação.

Conteúdo não pontuado

O exame inclui 15 questões não pontuadas que não afetam sua pontuação. A AWS coleta informações sobre o desempenho nessas questões não pontuadas para avaliá-las para uso futuro como questões pontuadas. Essas questões não pontuadas não são identificadas no exame.

Resultados do exame

O exame AWS Certified Security - Specialty (SCS-C02) tem uma designação de aprovação ou reprovação. O exame é pontuado contra um padrão mínimo estabelecido por profissionais da AWS que seguem as melhores práticas e diretrizes da indústria de certificação.

Seus resultados para o exame são relatados como uma pontuação escalada de 100 a 1.000. A pontuação mínima de aprovação é 750. Sua pontuação mostra como você se desempenhou no exame como um todo e se você foi aprovado. Modelos de pontuação escalados ajudam a equiparar as pontuações em vários formulários de exame que podem ter níveis de dificuldade ligeiramente diferentes.

Seu relatório de resultados pode conter uma tabela de classificações de seu desempenho em cada nível de seção. O exame usa um modelo de pontuação compensatório, o que significa que você não precisa alcançar uma pontuação de aprovação em cada seção. Você precisa apenas passar no exame geral.

Cada seção do exame tem uma ponderação específica, portanto, algumas seções têm mais questões do que outras. A tabela de classificações contém informações gerais que destacam seus pontos fortes e fracos. Use cautela ao interpretar o feedback no nível da seção.

Conteúdo do programa

Este guia de exame inclui ponderações, domínios de conteúdo e declarações de tarefas para o exame. Este guia não fornece uma lista abrangente do conteúdo do exame. No entanto, há contexto adicional para cada declaração de tarefa disponível para ajudá-lo a se preparar para o exame.

O exame tem os seguintes domínios de conteúdo e ponderações:

  • Domínio 1: Detecção de Ameaças e Resposta a Incidentes (14% do conteúdo pontuado)
  • Domínio 2: Registro e Monitoramento de Segurança (18% do conteúdo pontuado)
  • Domínio 3: Segurança da Infraestrutura (20% do conteúdo pontuado)
  • Domínio 4: Gerenciamento de Identidade e Acesso (16% do conteúdo pontuado)
  • Domínio 5: Proteção de Dados (18% do conteúdo pontuado)
  • Domínio 6: Gerenciamento e Governança de Segurança (14% do conteúdo pontuado)

Domínio 1: Detecção de Ameaças e Resposta a Incidentes

Declaração de Tarefa 1.1: Projetar e implementar um plano de resposta a incidentes.

Conhecimento de:

  • Melhores práticas da AWS para resposta a incidentes
  • Incidentes na nuvem
  • Funções e responsabilidades no plano de resposta a incidentes
  • AWS Security Finding Format (ASFF)

Habilidades em:

  • Implementar estratégias de invalidação e rotação de credenciais em resposta a comprometimentos (por exemplo, usando o AWS Identity and Access Management [IAM] e o AWS Secrets Manager)
  • Isolar recursos da AWS
  • Projetar e implementar playbooks e runbooks para respostas a incidentes de segurança
  • Implantar serviços de segurança (por exemplo, AWS Security Hub, Amazon Macie, Amazon GuardDuty, Amazon Inspector, AWS Config, Amazon Detective, AWS Identity and Access Management Access Analyzer)
  • Configurar integrações com serviços nativos da AWS e serviços de terceiros (por exemplo, usando o Amazon EventBridge e o ASFF)

Declaração de Tarefa 1.2: Detectar ameaças e anomalias de segurança usando serviços da AWS.

Conhecimento de:

  • Serviços de segurança gerenciados pela AWS que detectam ameaças
  • Técnicas de anomalia e correlação para unir dados entre serviços
  • Visualizações para identificar anomalias
  • Estratégias para centralizar descobertas de segurança

Habilidades em:

  • Avaliar descobertas de serviços de segurança (por exemplo, GuardDuty, Security Hub, Macie, AWS Config, IAM Access Analyzer)
  • Pesquisar e correlacionar ameaças de segurança entre serviços da AWS (por exemplo, usando o Detective)
  • Executar consultas para validar eventos de segurança (por exemplo, usando o Amazon Athena)
  • Criar filtros de métrica e painéis para detectar atividade anômala (por exemplo, usando o Amazon CloudWatch)

Declaração de Tarefa 1.3: Responder a recursos e cargas de trabalho comprometidos.

Conhecimento de:

  • Guia de Resposta a Incidentes de Segurança da AWS
  • Mecanismos de isolamento de recursos
  • Técnicas de análise da causa raiz
  • Mecanismos de captura de dados
  • Análise de logs para validação de eventos

Habilidades em:

  • Automatizar a remediação usando serviços da AWS (por exemplo, AWS Lambda, AWS Step Functions, EventBridge, AWS Systems Manager runbooks, Security Hub, AWS Config)
  • Responder a recursos comprometidos (por exemplo, isolando instâncias do Amazon EC2)
  • Investigar e analisar para realizar análise da causa raiz (por exemplo, usando o Detective)
  • Capturar dados forenses relevantes de um recurso comprometido (por exemplo, snapshots de volume do Amazon Elastic Block Store [Amazon EBS], despejo de memória)
  • Consultar logs no Amazon S3 para obter informações contextuais relacionadas a eventos de segurança (por exemplo, usando o Athena)
  • Proteger e preservar artefatos forenses (por exemplo, usando o S3 Object Lock, contas forenses isoladas, S3 Lifecycle e replicação do S3)
  • Preparar serviços para incidentes e recuperar serviços após incidentes

Domínio 2: Registro e Monitoramento de Segurança

Declaração de Tarefa 2.1: Projetar e implementar monitoramento e alertas para abordar eventos de segurança.

Conhecimento de:

  • Serviços da AWS que monitoram eventos e fornecem alarmes (por exemplo, CloudWatch, EventBridge)
  • Serviços da AWS que automatizam alertas (por exemplo, Lambda, Amazon Simple Notification Service [Amazon SNS], Security Hub)
  • Ferramentas que monitoram métricas e linhas de base (por exemplo, GuardDuty, Systems Manager)

Habilidades em:

  • Analisar arquiteturas para identificar requisitos de monitoramento e fontes de dados para monitoramento de segurança
  • Analisar ambientes e cargas de trabalho para determinar requisitos de monitoramento
  • Projetar monitoramento do ambiente e monitoramento de carga de trabalho com base em requisitos de negócios e segurança
  • Configurar ferramentas e scripts automatizados para realizar auditorias regulares (por exemplo, criando insights personalizados no Security Hub)
  • Definir as métricas e os limites que geram alertas

Declaração de Tarefa 2.2: Solucionar problemas no monitoramento e alerta de segurança.

Conhecimento de:

  • Configuração de serviços de monitoramento (por exemplo, Security Hub)
  • Dados relevantes que indicam eventos de segurança

Habilidades em:

  • Analisar a funcionalidade, as permissões e a configuração dos recursos após um evento que não forneceu visibilidade ou alerta
  • Analisar e remediar a configuração de um aplicativo personalizado que não está relatando suas estatísticas
  • Avaliar serviços de registro e monitoramento para alinhamento com requisitos de segurança

Declaração de Tarefa 2.3: Projetar e implementar uma solução de registro.

Conhecimento de:

  • Serviços e recursos da AWS que fornecem capacidades de registro (por exemplo, VPC Flow Logs, logs de DNS, AWS CloudTrail, Amazon CloudWatch Logs)
  • Atributos das capacidades de registro (por exemplo, níveis de log, tipo, verbosidade)
  • Destinos de log e gerenciamento do ciclo de vida (por exemplo, período de retenção)

Habilidades em:

  • Configurar o registro para serviços e aplicativos
  • Identificar requisitos de registro e fontes para ingestão de logs
  • Implementar armazenamento de logs e gerenciamento do ciclo de vida de acordo com as melhores práticas da AWS e os requisitos organizacionais

Declaração de Tarefa 2.4: Solucionar problemas em soluções de registro.

Conhecimento de:

  • Capacidades e casos de uso dos serviços da AWS que fornecem fontes de dados (por exemplo, nível de log, tipo, verbosidade, cadência, pontualidade, imutabilidade)
  • Serviços e recursos da AWS que fornecem capacidades de registro (por exemplo, VPC Flow Logs, logs de DNS, CloudTrail, CloudWatch Logs)
  • Permissões de acesso necessárias para o registro

Habilidades em:

  • Identificar configurações incorretas e determinar etapas de remediação para permissões de acesso ausentes necessárias para o registro (por exemplo, gerenciando permissões de leitura/gravação, permissões do bucket S3, acesso público e integridade)
  • Determinar a causa de logs ausentes e executar etapas de remediação

Declaração de Tarefa 2.5: Projetar uma solução de análise de logs.

Conhecimento de:

  • Serviços e ferramentas para analisar logs capturados (por exemplo, Athena, filtros de CloudWatch Logs)
  • Recursos de análise de logs dos serviços da AWS (por exemplo, CloudWatch Logs Insights, CloudTrail Insights, insights do Security Hub)
  • Formato e componentes de logs (por exemplo, logs do CloudTrail)

Habilidades em:

  • Identificar padrões em logs para indicar anomalias e ameaças conhecidas
  • Normalizar, analisar e correlacionar logs

Domínio 3: Segurança da Infraestrutura

Declaração de Tarefa 3.1: Projetar e implementar controles de segurança para serviços de borda.

Conhecimento de:

  • Recursos de segurança em serviços de borda (por exemplo, AWS WAF, balanceadores de carga, Amazon Route 53, Amazon CloudFront, AWS Shield)
  • Ataques, ameaças e explorações comuns (por exemplo, OWASP Top 10, DDoS)
  • Arquitetura de aplicativo web em camadas

Habilidades em:

  • Definir estratégias de segurança de borda para casos de uso comuns (por exemplo, site público, aplicativo sem servidor, backend de aplicativo móvel)
  • Selecionar serviços de borda apropriados com base em ameaças e ataques esperados (por exemplo, OWASP Top 10, DDoS)
  • Selecionar proteções apropriadas com base em vulnerabilidades e riscos esperados (por exemplo, software, aplicativos e bibliotecas vulneráveis)
  • Definir camadas de defesa combinando serviços de segurança de borda (por exemplo, CloudFront com AWS WAF e balanceadores de carga)
  • Aplicar restrições na borda com base em vários critérios (por exemplo, geografia, geolocalização, limite de taxa)
  • Ativar logs, métricas e monitoramento em torno dos serviços de borda para indicar ataques

Declaração de Tarefa 3.2: Projetar e implementar controles de segurança de rede.

Conhecimento de:

  • Mecanismos de segurança do VPC (por exemplo, grupos de segurança, listas de controle de acesso à rede, AWS Network Firewall)
  • Conectividade inter-VPC (por exemplo, AWS Transit Gateway, endpoints do VPC)
  • Fontes de telemetria de segurança (por exemplo, Traffic Mirroring, VPC Flow Logs)
  • Tecnologia de VPN, terminologia e uso
  • Opções de conectividade local (por exemplo, AWS VPN, AWS Direct Connect)

Habilidades em:

  • Implementar segmentação de rede com base em requisitos de segurança (por exemplo, sub-redes públicas, sub-redes privadas, VPCs sensíveis, conectividade local)
  • Projetar controles de rede para permitir ou impedir o tráfego de rede conforme necessário (por exemplo, usando grupos de segurança, listas de controle de acesso à rede e Network Firewall)
  • Projetar fluxos de rede para manter os dados fora da Internet pública (por exemplo, usando Transit Gateway, endpoints do VPC e Lambda em VPCs)
  • Determinar quais fontes de telemetria monitorar com base no projeto de rede, ameaças e ataques (por exemplo, logs de balanceador de carga, VPC Flow Logs, Traffic Mirroring)
  • Determinar requisitos de redundância e carga de trabalho de segurança para comunicação entre ambientes locais e a nuvem da AWS (por exemplo, usando AWS VPN, AWS VPN sobre Direct Connect e MACsec)
  • Identificar e remover acesso de rede desnecessário
  • Gerenciar configurações de rede conforme os requisitos mudam (por exemplo, usando o AWS Firewall Manager)

Declaração de Tarefa 3.3: Projetar e implementar controles de segurança para cargas de trabalho de computação.

Conhecimento de:

  • Provisionamento e manutenção de instâncias do EC2 (por exemplo, aplicação de patches, inspeção, criação de snapshots e AMIs, uso do EC2 Image Builder)
  • Funções de instância do IAM e funções de serviço do IAM
  • Serviços que analisam vulnerabilidades em cargas de trabalho de computação (por exemplo, Amazon Inspector, Amazon Elastic Container Registry [Amazon ECR])
  • Segurança baseada em host (por exemplo, firewalls, endurecimento)

Habilidades em:

  • Criar AMIs do EC2 endurecidas
  • Aplicar funções de instância e funções de serviço, conforme apropriado, para autorizar cargas de trabalho de computação
  • Analisar instâncias do EC2 e imagens de contêiner quanto a vulnerabilidades conhecidas
  • Aplicar patches em uma frota de instâncias do EC2 ou imagens de contêiner
  • Ativar mecanismos de segurança baseados em host (por exemplo, firewalls baseados em host)
  • Analisar os resultados do Amazon Inspector e determinar técnicas de mitigação apropriadas
  • Passar segredos e credenciais de forma segura para cargas de trabalho de computação

Declaração de Tarefa 3.4: Solucionar problemas de segurança de rede.

Conhecimento de:

  • Como analisar a acessibilidade (por exemplo, usando o VPC Reachability Analyzer e o Amazon Inspector)
  • Conceitos fundamentais de rede TCP/IP (por exemplo, UDP comparado a TCP, portas, modelo OSI, utilitários do sistema operacional de rede)
  • Como ler as fontes de log relevantes (por exemplo, logs do Route 53, logs do AWS WAF, VPC Flow Logs)

Habilidades em:

  • Identificar, interpretar e priorizar problemas na conectividade de rede (por exemplo, usando a Acessibilidade de Rede do Amazon Inspector)
  • Determinar soluções para produzir o comportamento de rede desejado
  • Analisar fontes de log para identificar problemas
  • Capturar amostras de tráfego para análise de problemas (por exemplo, usando Traffic Mirroring)

Domínio 4: Gerenciamento de Identidade e Acesso

Declaração de Tarefa 4.1: Projetar, implementar e solucionar problemas na autenticação para recursos da AWS.

Conhecimento de:

  • Métodos e serviços para criar e gerenciar identidades (por exemplo, federação, provedores de identidade, AWS IAM Identity Center [AWS Single Sign-On], Amazon Cognito)
  • Mecanismos de credenciamento de longo prazo e temporários
  • Como solucionar problemas de autenticação (por exemplo, usando CloudTrail, IAM Access Advisor e IAM policy simulator)

Habilidades em:

  • Estabelecer identidade por meio de um sistema de autenticação, com base em requisitos
  • Configurar autenticação multifator (MFA)
  • Determinar quando usar o AWS Security Token Service (AWS STS) para emitir credenciais temporárias

Declaração de Tarefa 4.2: Projetar, implementar e solucionar problemas na autorização para recursos da AWS.

Conhecimento de:

  • Diferentes políticas do IAM (por exemplo, políticas gerenciadas, políticas em linha, políticas baseadas em identidade, políticas baseadas em recursos, políticas de controle de sessão)
  • Componentes e impacto de uma política (por exemplo, Principal, Action, Resource, Condition)
  • Como solucionar problemas de autorização (por exemplo, usando CloudTrail, IAM Access Advisor e IAM policy simulator)

Habilidades em:

  • Construir estratégias de controle de acesso baseado em atributos (ABAC) e controle de acesso baseado em função (RBAC)
  • Avaliar tipos de políticas do IAM para requisitos e cargas de trabalho específicos
  • Interpretar o efeito de uma política do IAM em ambientes e cargas de trabalho
  • Aplicar o princípio do menor privilégio em todo o ambiente
  • Impor a separação adequada de funções
  • Analisar erros de acesso ou autorização para determinar a causa ou o efeito
  • Investigar permissões, autorizações ou privilégios não intencionais concedidos a um recurso, serviço ou entidade

Domínio 5: Proteção de Dados

Declaração de Tarefa 5.1: Projetar e implementar controles que forneçam confidencialidade e integridade para dados em trânsito.

Conhecimento de:

  • Conceitos de TLS
  • Conceitos de VPN (por exemplo, IPsec)
  • Métodos de acesso remoto seguro (por exemplo, SSH, RDP via Systems Manager Session Manager)
  • Conceitos do Systems Manager Session Manager
  • Como os certificados TLS funcionam com vários serviços e recursos de rede (por exemplo, CloudFront, balanceadores de carga)

Habilidades em:

  • Projetar conectividade segura entre a AWS e as redes locais (por exemplo, usando Direct Connect e gateways VPN)
  • Projetar mecanismos para exigir criptografia ao se conectar a recursos (por exemplo, Amazon RDS, Amazon Redshift, CloudFront, Amazon S3, Amazon DynamoDB, balanceadores de carga, Amazon Elastic File System [Amazon EFS], Amazon API Gateway)
  • Exigir TLS para chamadas à API da AWS (por exemplo, com o Amazon S3)
  • Projetar mecanismos para encaminhar o tráfego por conexões seguras (por exemplo, usando Systems Manager e EC2 Instance Connect)
  • Projetar conectividade de rede entre Regiões usando VIFs privadas e VIFs públicas

Declaração de Tarefa 5.2: Projetar e implementar controles que forneçam confidencialidade e integridade para dados em repouso.

Conhecimento de:

  • Seleção de técnica de criptografia (por exemplo, client-side, server-side, simétrica, assimétrica)
  • Técnicas de verificação de integridade (por exemplo, algoritmos de hash, assinaturas digitais)
  • Políticas de recursos (por exemplo, para DynamoDB, Amazon S3 e AWS Key Management Service [AWS KMS])
  • Funções e políticas do IAM

Habilidades em:

  • Projetar políticas de recursos para restringir o acesso a usuários autorizados (por exemplo, políticas de bucket S3, políticas DynamoDB)
  • Projetar mecanismos para evitar acesso público não autorizado (por exemplo, S3 Block Public Access, prevenção de snapshots e AMIs públicos)
  • Configurar serviços para ativar a criptografia de dados em repouso (por exemplo, Amazon S3, Amazon RDS, DynamoDB, Amazon Simple Queue Service [Amazon SQS], Amazon EBS, Amazon EFS)
  • Projetar mecanismos para proteger a integridade dos dados prevenindo modificações (por exemplo, usando S3 Object Lock, políticas de chaves do KMS, S3 Glacier Vault Lock e AWS Backup Vault Lock)
  • Projetar criptografia em repouso usando o AWS CloudHSM para bancos de dados relacionais (por exemplo, Amazon RDS, RDS Custom, bancos de dados em instâncias do EC2)
  • Escolher técnicas de criptografia com base em requisitos de negócios

Declaração de Tarefa 5.3: Projetar e implementar controles para gerenciar o ciclo de vida de dados em repouso.

Conhecimento de:

  • Políticas de ciclo de vida
  • Padrões de retenção de dados

Habilidades em:

  • Projetar mecanismos do S3 Lifecycle para reter dados pelos períodos de retenção necessários (por exemplo, S3 Object Lock, S3 Glacier Vault Lock, política de ciclo de vida do S3)
  • Projetar o gerenciamento automático do ciclo de vida para serviços e recursos da AWS (por exemplo, Amazon S3, snapshots de volume do EBS, snapshots de volume RDS, AMIs, imagens de contêiner, grupos de logs do CloudWatch, Amazon Data Lifecycle Manager)
  • Estabelecer agendas e retenção para o AWS Backup em todos os serviços da AWS

Declaração de Tarefa 5.4: Projetar e implementar controles para proteger credenciais, segredos e materiais de chaves criptográficas.

Conhecimento de:

  • Secrets Manager
  • AWS Systems Manager Parameter Store
  • Uso e gerenciamento de chaves simétricas e assimétricas (por exemplo, AWS KMS)

Habilidades em:

  • Projetar o gerenciamento e a rotação de segredos para cargas de trabalho (por exemplo, credenciais de acesso ao banco de dados, chaves de API, chaves de acesso do IAM, chaves gerenciadas pelo cliente do AWS KMS)
  • Projetar políticas de chaves do KMS para limitar o uso de chaves a usuários autorizados
  • Estabelecer mecanismos para importar e remover material de chave fornecido pelo cliente

Domínio 6: Gerenciamento e Governança de Segurança

Declaração de Tarefa 6.1: Desenvolver uma estratégia para implantar e gerenciar centralmente as contas da AWS.

Conhecimento de:

  • Estratégias de várias contas
  • Serviços gerenciados que permitem administração delegada
  • Limitações definidas por políticas
  • Melhores práticas da conta raiz
  • Funções entre contas

Habilidades em:

  • Implantar e configurar o AWS Organizations
  • Determinar quando e como implantar o AWS Control Tower (por exemplo, quais serviços devem ser desativados para uma implantação bem-sucedida)
  • Implementar SCPs como uma solução técnica para impor uma política (por exemplo, limitações no uso de uma conta raiz, implementação de controles no AWS Control Tower)
  • Gerenciar centralmente serviços de segurança e agregar descobertas (por exemplo, usando administração delegada e agregadores do AWS Config)
  • Proteger as credenciais da conta raiz da AWS

Declaração de Tarefa 6.2: Implementar uma estratégia de implantação segura e consistente para recursos em nuvem.

Conhecimento de:

  • Melhores práticas de implantação com infraestrutura como código (IaC) (por exemplo, endurecimento de modelo do CloudFormation e detecção de desvio)
  • Melhores práticas para marcação
  • Gerenciamento, implantação e versionamento centralizados de serviços da AWS
  • Visibilidade e controle sobre a infraestrutura da AWS

Habilidades em:

  • Usar o CloudFormation para implantar recursos em nuvem de forma consistente e segura
  • Implementar e impor estratégias de marcação em várias contas
  • Configurar e implantar portfólios de serviços da AWS aprovados (por exemplo, usando o AWS Service Catalog)
  • Organizar recursos da AWS em diferentes grupos para gerenciamento
  • Implantar o Firewall Manager para impor políticas
  • Compartilhar recursos com segurança entre contas da AWS (por exemplo, usando o AWS Resource Access Manager [AWS RAM])

Declaração de Tarefa 6.3: Avaliar a conformidade dos recursos da AWS.

Conhecimento de:

  • Classificação de dados usando serviços da AWS
  • Como avaliar, auditar e avaliar as configurações dos recursos da AWS (por exemplo, usando o AWS Config)

Habilidades em:

  • Identificar dados confidenciais usando o Macie
  • Criar regras do AWS Config para detecção de recursos da AWS não conformes
  • Coletar e organizar evidências usando o Security Hub e o AWS Audit Manager

Declaração de Tarefa 6.4: Identificar lacunas de segurança por meio de análises arquitetônicas e análise de custos.

Conhecimento de:

  • Custo e uso da AWS para identificação de anomalias
  • Estratégias para reduzir superfícies de ataque
  • AWS Well-Architected Framework

Habilidades em:

  • Identificar anomalias com base na utilização de recursos e tendências
  • Identificar recursos não utilizados usando serviços e ferramentas da AWS (por exemplo, AWS Trusted Advisor, AWS Cost Explorer)
  • Usar a Ferramenta Well-Architected da AWS para identificar lacunas de segurança

Apêndice

Tecnologias e conceitos que podem aparecer no exame

A seguinte lista contém tecnologias e conceitos que podem aparecer no exame. Esta lista não é exaustiva e está sujeita a alterações. A ordem e o posicionamento dos itens nesta lista não são indicativos de seu peso ou importância relativos no exame:

  • AWS CLI
  • SDKs da AWS
  • Console de Gerenciamento da AWS