Blog de Amazon Web Services (AWS)

Consejos para rendir la certificación de especialista en seguridad de AWS

Por Maria Ane Dias, Arquitecta de Soluciones, AWS Brasil

 

El objetivo de esta publicación de blog es hablar un poco sobre la certificación de especialista en seguridad de AWS (AWS Security Specialty Certification) y ayudar a quienes quieran obtenerla. Hoy en día ya no es necesario contar con certificaciones previas para realizar esta prueba, aunque es aconsejable tener al menos una certificación de nivel de Asociado como la de AWS Solutions Architect – Associate.

AWS tiene la ruta de aprendizaje de seguridad que muestra los cursos de formación que ayudan a lograr la certificación. Esta ruta se puede modificar en función de la persona y del nivel de conocimiento y seguridad de la nube que tenga. Hay buen contenido en plataformas como A Cloud Guru, Whizlabs y otras para todas las pruebas de certificación de AWS. A menudo se hace referencia al material de AWS para estudiar más a fondo el tema. AWS proporciona una gran cantidad de material sobre diversos temas, incluido sobre  seguridad. Al final de este post dejo algunos enlaces útiles.

Otro recurso de estudio importante si prefieren la lectura, es el libro AWS Certified Security Study Guide: Specialty (SCS-C01) Exam, el mismo cubre todos los temas del examen y ofrece ejercicios prácticos, preguntas de práctica para el examen, flashcards para repaso y múltiples consejos.

Es importante antes de tomar cualquier certificación comprender cuál es su nivel de  conocimiento actual y cuánto será necesario estudiar para programar la fecha del examen y armar su plan de estudio. Algunas personas saben más sobre la plataforma de AWS y ya trabajan de forma segura, otras conocen AWS pero no tanto sobre la parte de seguridad, por lo que el tiempo de estudio puede variar.

Después de ver los temas incluidos en el examen y ver su nivel de conocimiento, cree un horario de estudios con algún tiempo libre (al menos un par de semanas libres) y programe la fecha de la prueba. Es importante crear una línea de tiempo realista que se pueda cumplir dentro de su rutina.

 

Es esencial:

  • Entender los temas que están incluidos en el examen
  • Estudiar los contenidos
  • Poner a prueba tus conocimientos en cada área
  • Estudiar con mayor énfasis en las partes donde aún hay espacio de mejora
  • Realice al menos una simulación (ya sea desde el sitio de certificación o en sitios como A Cloud Guru o Whizlabs)

 

Entender los temas que están incluidos en el examen

Desde este enlace puede descargar la guía del examen y las preguntas de muestra, así como más información sobre el examen. Aquí es donde verá los detalles del examen como el formato, el tipo, el método de entrega disponible (por ejemplo, en línea), el tiempo (normalmente 170 minutos, con la posibilidad de solicitar un tiempo adicional en «Request Exam Accommodations»), el costo y los idiomas disponibles, además de otros detalles e información importante sobre la prueba como conocimientos y experiencia recomendados y cómo prepararse. Las pruebas están en inglés, por lo que para nosotros que nuestro idioma nativo es el español, es posible solicitar el tiempo adicional que es de 30 minutos “ESL +30 MINUTES“. Las pruebas pueden ser tomadas en un centro de validación, o también es posible realizarlas en línea desde su hogar u oficina. Para ello, se realiza una validación de su entorno de prueba utilizando la cámara y una persona del centro de pruebas está disponible para usted controlándolo durante todo el examen.

La guía del examen explica lo que se espera del candidato y los dominios evaluados, así como detalles sobre los temas de cada dominio:

  • Dominio 1: Respuesta ante incidentes 12%
  • Dominio 2: Registro y supervisión 20%
  • Dominio 3: Seguridad de infraestructura 26%
  • Dominio 4: Gestión de identidades y accesos 20%
  • Dominio 5: Protección de datos 22%

Ejemplo:

Dominio 2: Registro y supervisión

  • 1 Diseño e implementación de monitoreo y alertas de seguridad
  • 2 Resolver problemas de supervisión y alertas de seguridad
  • 3 Diseñar e implementar una solución de registro.
  • 4 Solución de problemas de registro.

Las preguntas de muestra son 10 preguntas con respuestas para hacerse una idea de lo que encontrarán en la prueba.

También es posible simular la prueba en una escala más pequeña para evaluar si están listos para el examen y conocer más el tipo de preguntas que encontrarán en el examen (tiene costo). En AWS Certification, donde se programan sus exámenes, tiene la opción de realizar un examen de práctica, en este caso un tamaño de prueba más pequeño (20 preguntas) para probar sus conocimientos. También hay simuladores del examen en otros lugares, como los sitios mencionados anteriormente (A Cloud Guru o Whizlabs), en el libro y otros.

Tomar un examen de práctica les ayudará a identificar las áreas débiles donde debe reforzar el estudio.

 

Consejos sobre el contenido de la prueba de seguridad:

 Comprenda cómo funciona la respuesta ante incidentes en AWS, lo que puede y lo que no puede hacer (por ejemplo, ¿cómo son las políticas de AWS con respecto a Penetration Testing?), obtenga información sobre la Política de uso aceptable y sobre cómo responder a una notificación de AWS de abuso.

Es importante conocer las prácticas recomendadas relacionadas con AWS a través de los documentos que incluyen AWS Well-Architected Framework en el pilar de seguridad.

Obtenga información acerca de Amazon CloudWatch, especialmente la parte Eventos (que ahora es Amazon EventBridge), cómo crear un filtro de métrica en un grupo de registros de CloudWatch Logs y cuál es la diferencia entre Eventos y filtros métricos. No olvide el agente CloudWatch para EC2 y cuando es necesario.

Estudie la seguridad de AWS y los servicios relacionados: AWS CloudTrail incluidos eventos a nivel de datos y rastros globales, AWS Config y sus reglas, Amazon Inspector, AWS Systems Manager incluidos Run Command y Session Manager, y la diferencia entre Parameter Store y AWS Secrets Manager, AWS WAF – Web Application Firewall, AWS Shield Standard y AWS Shield Advanced y la diferencia de los dos, registros DNS, Security on Amazon Simple Storage Service – S3 con políticas, ACL y Integraciones de S3 con otros servicios además de la replicación a otras regiones y la configuración correcta a realizar.

La parte de gestión de identidades y accesos con AWS Identity and Access Management Service – IAM: aquí los roles de AWS son extremadamente importantes, la organización de cuentas y la centralización de registros también deben entenderse, al igual que las cuentas se relacionan o delegan el acceso, un ejemplo es desde otras cuentas hacia Buckets y objetos S3 o claves de AWS Key Management Service (KMS). Otros servicios importantes son las organizaciones de AWS,   AWS Single Sign-On y AWS Directory Service que permiten la administración central de cuentas y usuarios, respectivamente. Comprender las políticas: Directivas de control de servicios: SCP, límites, directivas de recursos como el Bucket S3 y la clave KMS, y el orden en que se evalúan las políticas y cómo se conceden o deniegan los permisos.

También aparecerá el AWS Certificate Manager (Certificados SSL), Restricciones geográficas de Amazon CloudFront y URL firmadas y Cookies firmadas.

En cuanto a seguridad de Amazon Virtual Private Cloud (Amazon VPC)  comprender el diseño de una VPC, que pasa a través de varios componentes como Security Group, NACL, VPC Flow Logs, VPC Peering, VPC Endpoints, Nat Gateways, Egress-Only , Internet Gateways, VPN y conexiones Direct Connect.

Es importante conocer sobre la seguridad a nivel de host e hipervisor de AWS, principalmente lo relacionado con la limpieza (wipe) del disco y la memoria.

Otro punto es cómo se ve la seguridad cuando hablamos de servicios abstractos (sin servidor / serverless), que responsabilidades quedan del lado de AWS y que del cliente.

Por último, la parte de cifrado con KMS, incluyendo en un entorno de varias cuentas, la integración de KMS con otros servicios, y cómo funciona el cifrado ensobrado (envelope encryption). Les comparto un enlace que explica un poco sobre esto aquí.   AWS CloudHSM cuando necesite utilizar API con CryptoNG (CNG), PKCS #11 y JCE, cuando se requiera FIPS 140-2 Lvl3, o cuando sea requerido el uso de hardware security modules dedicados (single-tenant). Hablando de CloudHSM, eche un vistazo a la parte de cumplimiento y comprenda AWS Artifact y las certificaciones de seguridad y confirmación de AWS y servicios.

Asegúrese de estudiar sobre resolución de problemas relacionados con seguridad y los pasos de respuesta a incidentes, como aislar una instancia y crear una copia para el análisis forense.

Al final de este blog hay varios enlaces útiles relacionados con la certificación de especialistas en seguridad y la seguridad de AWS.

Por último, algunos consejos para todas y cada una de las certificaciones:

 

Antes de la prueba:

  • Realice la prueba en el momento en que se sienta más cómodo.
  • Aliméntese bien durante el día (evitar alimentos pesados o que puedan causar malestar)
  • Evite los pensamientos negativos para no estar ansioso o tenso antes de la prueba, haga lo mejor que pueda en la prueba
  • Haga un resumen, resaltando puntos clave mientras estudia
  • Lea el resumen un día antes o el día (si es el día, use como máximo 1:30): su cerebro necesitará energía para realizar la prueba

 

Durante la carrera:

  • En caso de ansiedad o tensión, tomar una respiración profunda varias veces ayuda a relajarse.
  • No pierda el tiempo en preguntas que está en duda, márquelas para revisar más tarde.
  • Revise las preguntas al final, comenzando con lo marcado

 

¡ Finalmente simplemente festeje ! ¡ Buena suerte!

 

Enlaces útiles:

 

 


Sobre el autor

Maria Ane Dias es arquitecta de soluciones en AWS y le gusta y trabaja mucho en seguridad, desarrollo e IoT más allá de la fabricación vertical. Ayuda a iniciar a los clientes en sus viajes a la nube. Tiene 16 años de experiencia en desarrollo de software y arquitectura y 2 con arquitectura de soluciones.

 

 

Revisores:

Leonardo Piedade es Arquitecto de Soluciones en AWS Brasil

 

 

 

 

Julio Carvalho es Arquitecto de Soluciones de Seguridad en AWS Brasil.

 

 

 

 

Dario Goldfarb es Arquitecto de Soluciones de Seguridad en AWS Argentina.