Wojtek Szczepucha

PoznajAWS.pl

Wojtek Szczepucha

AWS Certified Security Speciality

AWS Certified Security Speciality

6 Minuty Czytania

Krótka informacja na początek. Nieco inną wersję tego wpisu znajdziecie na GitHub, gdzie została opublikowana dla potomych w formie, gdzie kaźdy będzie mógł dodać swoje spostrzezenia i je zaktualizować.

Moim zdaniem, jeśli pracujesz z chmurą AWS, warto się zapoznać z zakresem egzaminu i poświęcić dwa, trzy miesiące “po godzinach”, by zgłębić obszary które są zawarte w egzaminie. I nie mam tutaj na myśli przygotowania do samego egzaminu, raczej o świadomość narzędzi, by w sposób bezpieczny i świadomy z chmury korzytać. Dla mnie, był on świetnym uzupełnieniem wiedzy i bodźcem do jej rozbudowania. Zupełnie inaczej patrzysz na poszczególne usługi, gdy na końcu otrzymujesz pełen obraz. Orgaznim (chmura) zaczyna pracować w sposób spójny i uporządkowany, gdzie poszczególne zdarzenia mają swoje powiązanie, a Ty wiesz, dlaczego jedno łączy się z drugim. Bardzo dobrze wspominam czas przygotowań, a zdobytą wiedzę wykorzystuję na co dzień.

Na wstępie

Jeśli nie pracowałeś(aś) z AWS wcześniej, ten egzamin nie jest dla Ciebie. Amazon w kontekście Security Speciality wymaga dość określonej wiedzy, mocno popartej realnym doświadczeniem w obszarze IAM, S3, CloudWatch, KMS - i kombinacją tych czterech. Do tego dochodzi zrozumienie działania ataków Denial of Service i ich zapobieganiu.

Kursy egzaminacyjne i wspomagające przygotowania do egzaminu - EN

 • Linux Academy - wyjątkowo dobry, nie pokrywa np. Cognito i Dockera - pytania o ten obszar jadnak się zdarzają. Moim zdaniem, jest to obecnie (03.2020) najlepiej przygotowujący kurs online, pozwalający dobrze zrozumieć zakres.
 • acloud.guru - uzupełnia wiedzę, jest bardziej na czasie z zakresem egzaminu - choć mniej dokładny. Raczej nie jako podstawowe źródło wiedzy.

Dodatkowo

 • Whizlabs - dostarcza przykładowe pytania - bardzo dobrze przygotowane, choć bywają nieaktualne odpowiedzi, patrząc z poziomu aktualnych serwisów (np. AWS pozwala na wykonywanie testów penetracyjnych bez informowania ich o tym, o ile znajdują się w dopuszczonym zakresie - zerknij tutaj)

AWS Whitepapers

Koniecznie przeczytaj przed egzaminem

Usługi AWS, które trzeba znać na wylot

 • AWS IAM:
  • Policy, sposób budowania, mechanizm selekcji - tutaj nie ma zmiłuj, nie idź dalej, jeśli nie czujesz, że doskonale rozumiesz zasadę działania. Musisz rozumieć zasadę działania elementu ‘Condition’ w polisie.
  • Musisz dobrze rozumieć różnicę pomiędzy identity i resource policies oraz to kiedy je używamy.
  • Pamiętaj jak dajemy uprawnienia do zasobów pomiędzy kontami AWS.
 • AWS IAM:
  • User, Group, Idenity Pool (wykorzystanie SAML) - Wystarczy ogólna znajomość, best practice.
  • Typowy scenariusz jaki może pojawić się na egzaminie: duża organizacja (np. 5000 kont użytkowników, posiadająca IdP w lokalnej sieci) chce nadać uprawnienia do kont AWS. Jak zbudować federację z AWS (SAML + ADFS).
 • AWS KMS:
  • Tę usługę musisz również poznać bardzo dokładnie, budowę uprawnień, jak współpracuje z innymi serwisami w kontekście autoryzacji dostępu do certyfikatów, szyfrowania i deszyfrowania zawartości. Bardziej ogólnie, kiedy wykorzystać CMK, a kiedy CloudHSM.
  • Spodziewaj się pytań o rotowanie kluczy. Musisz wiedzieć, kiedy można ustawić automatyczne rotowanie a kiedy należy rotować klucz ręcznie.
 • AWS CloudHSM:
  • Warto wiedzieć, w których scenariuszach się sprawdzi, jakie są różnice w zarządzaniu, jak radzić sobie z Disaster Recovery i multi-region.
 • AWS S3:
  • Pomyśl o S3 jako centralnym repozytorium plików/logów - zwróć uwagę na ACL i kopiowanie pomiędzy kontami.
  • Spodziewaj się pytań o szyfrowanie obiektów, replikację pomiędzy bucketami, Glacier Vault Lock.
  • Musisz wiedzieć kiedy lepiej zastosować Bucket Policy, kiedy ACL na poziomie obiektów itp.
 • VPC:
  • Bezpieczeństwo dla sieci prywatnych i publicznych, np. routing, NAT.
  • Jak działają Security Groups i NACL - do czego możemy je podłączyć, stateful vs stateless.
  • Różne połączenia pomiędzy sieciami: peering, VPC Endpoints, PrivateLink.
  • Bastion Host.
  • Diagnozowanie problemów z połączeniami sieciowymi np. na podstawie VPC Flow Logs - typowy scenariusz kiedy Security Group zezwala na ruch wchodzący a NACL blokuje ruch wychodzący.
 • AWS CloudWatch:
  • Zrozum, jak działa i do czego służy - jak go pożenić z innymi usługami, czy tez wykorzystać jako Cron.
  • Warto wiedzieć jak konfigurować centralne logowanie zdarzeń z różnych serwisów i większej liczby kont AWS.
 • AWS CloudFront:
  • Zwróć szczególną uwagę na scenariusze użycia, warto przeklikać i mieć świadomość funkcjonalności. Zwróć uwagę na możliwe opcje ograniczania dostępu do treści, odpłatności za dostęp, wykorzystanie przez aplikacje.
 • AWS Lambda:
  • Pobaw się uprawnieniami przy wykorzystania innych serwisów i współpracą z API Gateway, a w tym Cognito i uwierzytelnianie.
  • Powinieneś też wiedzieć kiedy Lambda może się przydać, np. automatyzacja odpowiedzi na zdarzenia.
 • AWS Cognito:
  • Warto rozróżniać User Pool vs Identity Pool, co kiedy zastosować i jak się buduje uprawnienia dla użytkowników w oparciu o IAM i Cognito.
 • AWS WAF:
  • Zastosowanie z ALB, CloudFront, wykorzystanie marketplace, custom rules.
 • AWS Config:
  • Szczególnie jak zbudować automatyzację reagowania na zdarzenia - koniecznie.
  • Znać zasadę: Config służy do sprawdzania ‘CO’ zostało zmienione, a CloudTrail - głównie ‘KTO’ coś zmienił.
 • AWS SSM:
  • Główne tematy to remediacja i aktualizacja instancji.
  • Warto wiedzieć, że da się skonfigurować połączenia do instancji EC2 bez otwierania portu 22.
 • AWS Secrets Manager:
  • Typowy scenariusz to konfiguracja rotowania parametrów składowanych w tej usłudze i rozwiązywanie problemów. Pamiętaj, że po skonfigurowaniu automatycznej rotacji, pierwsza operacja następuje od razu i może to zepsuć działanie innej usługi konsumującej ten parametr.
 • AWS Athena:
  • W kontekście przeszukiwania logów.

Warto też zapoznać się z:

 • AWS Shield Advanced
 • AWS Security HUB
 • Amazon GuardDuty
 • AWS CloudTrail
 • AWS Config
 • AWS Inspector
 • Trusted Advisor
 • AWS Directory Services
 • AWS Organizations - do czego służy SCP.
 • Amazon ECS - tutaj bardzo ogólnie o bezpieczeństwie hostów i Dockera w kontekście tej usługi, ale bez szczegółów.

Warto przeczytać FAQ dla wszystkich wymienionych powyżej usług oraz mocno skupić się na dokumentacji IAM i KMS.

Pozostałe materiały

Materiały video, które warto obejrzeć

Praktyczne wskazówki odnośnie samego egzaminu

 • Koniecznie poćwicz IAM Policy, KMS policy, policy… policy… nie tylko semantycznie, ale dla zrozumienia zasad działania, powiązań.
 • Poświęć czas na dobre zrozumienie AWS Config, AWS Inspector, AWS GuardDuty - co, skąd bierze informacje, w jaki sposób wymienia je między sobą, do czego służy.
 • Praktyczna znajomość CloudTrail (szczególnie dostępność danych w czasie), CloudWatch, VPC FLow Log jest niezbędna.
 • DDoS - przeciwdziałanie w zależności od serwisu (ALB, CloudFront, EC2) - jest bardzo pomocne na egzaminie ;)
 • Warto przed egzaminem przejrzeć suplement z Linux Academy (url w ich kursie).
 • Wykorzystaj dodatkowy czas dla osób z wiodącym językiem innym niż angielski (koniecznie poproś o niego przed rejestracją na egzamin);
 • Wykorzystaj zniżkę za poprzedni egzamin (jeśli ją jeszcze posiadasz) – po każdym zdanym egzaminie, Amazon daje 50% kupon zniżkowy.
comments powered by Disqus

Ostatnie Posty

Kategorie

Tagi

O Mnie

Zachmurowany, starający się bezpieczenie latać w chmurach.