O blog da AWS

Dicas para a Certificação de Especialista em Segurança na AWS

Por Maria Ane Dias, Arquiteta de Soluções, AWS Brasil

 

O objetivo deste blog post é falar um pouco sobre a Certificação de Especialista em Segurança da AWS e auxiliar os que desejam tirá-la. Não é mais necessário ter certificações anteriores para realizar esta prova, muito embora seja aconselhável ter ao menos uma certificação do nível Associate.

A AWS tem o caminho de aprendizado em Segurança que mostra os treinamentos que ajudam a obter a certificação, entre eles o curso “Security Engineering on AWS” entregue presencialmente ou liderado por instrutor virtual (VILT). Este caminho pode ser modificado dependendo da pessoa e do nível de conhecimento em cloud e segurança que ela tiver. Existem bons conteúdos em plataformas como A Cloud Guru, Whizlabs e outros para todas as provas de certificação AWS. Estes geralmente referenciam material da AWS para estudo mais profundo sobre o tópico. A AWS disponibiliza muito material sobre diversos tópicos, incluindo segurança. Ao final deste post deixo alguns links úteis.

Importante antes de tirar qualquer certificação é entender o conhecimento atual e o quanto será necessário estudar para então agendar a data da prova e montar seu plano de estudos. Algumas pessoas conhecem mais da plataforma AWS e já trabalham com segurança, outras conhecem sobre AWS mas não tanto a parte de segurança, portanto o tempo de estudo pode variar.

Após checar o que vai cair na prova e ver seu nível de conhecimento, crie um cronograma de estudos com alguma folga  (pelo menos umas 2 semanas de folga) e agende a data da prova. É importante criar um cronograma real que possa ser cumprido dentro da sua rotina.

 

É essencial:

  • Entender o que vai cair na prova
  • Estudar os conteúdos
  • Testar seus conhecimentos em cada área
  • Estudar com foco maior nas partes em que não está indo bem
  • Fazer ao menos um simulado

 

Entenda o que vai cair na prova

Neste link você faz o download do guia do exame e de exemplos de questões, além de obter mais informações sobre a prova. É onde você verá os detalhes do exame, como formato, tipo, método de entrega disponível (ex. online), tempo (geralmente 170 minutos, com possibilidade de pedir tempo estendido em ‘Request Exam Accomodation’), custo e linguagens disponíveis, além de outros detalhes e informações importantes sobre a prova como conhecimento e experiência recomendados e como se preparar. As provas são em inglês, por isso, para nós que falamos Português é possível solicitar o tempo adicional que é de 30 minutos. Durante o ano 2020 também é possível realizar provas online, onde é feita uma validação do seu ambiente de prova usando a câmera e uma pessoa do centro de testes fica disponível para você durante o exame. Por exemplo, caso haja uma queda de energia rápida você poderá retomar seu exame com ajuda desta assessoria.

No guia do exame é explicado o que é esperado do candidato e os domínios avaliados, além de dar mais detalhes sobre os tópicos de cada domínio:

  • Domínio 1: Resposta a Incidentes 12%
  • Domínio 2: Logging e Monitoramento 20%
  • Domínio 3: Segurança de Infraestutura 26%
  • Domínio 4: Gestão de Identidade e Acessos 20%
  • Domínio 5: Proteção de Dados 22%

Exemplo:

Domínio 2: Logging e Monitoramento

  • 1  Desenhando e implementando monitoramento e alertas de segurança
  • 2  Resolver problemas de monitoramento e alerta de segurança
  • 3  Desenhando e implementando uma solução de logging.
  • 4  Resolvendo problemas de solução de logging.

As Sample questions são 10 questões com resposta para ter uma ideia da prova.

É possível também fazer um simulado da prova em menor escala para ter uma ideia das questões. Em AWS Certification, onde você faz o agendamento das provas tem a opção de fazer um exame de prática, no caso uma prova em tamanho menor – 20 questões – para testar seu conhecimento. Também tem simulados em outros locais como os já citados sites acima e outros.

 

Dicas sobre o conteúdo da prova de segurança:

 Entenda como funciona resposta a incidentes na AWS, o que pode ou não fazer (ex. como funciona Teste de Penetração na AWS?), conheça a Política de uso aceitável e como responder a uma notificação de abuso por parte da AWS.

É importante conhecer as melhores práticas relacionadas a AWS através dos papers incluindo o do AWS Well-Architected Framework no pilar de Segurança. Conheça o Amazon CloudWatch, principalmente a parte de Eventos (que agora é o Amazon EventBridge), como criar um metric filter em um Log Group do CloudWatch Logs e qual a diferença entre o Events e as metric filters. Não esqueça do agente do CloudWatch para EC2.

Estude os serviços de segurança e relacionados da AWS: AWS CloudTrail – incluindo eventos no nível de dados e global trails, Config e suas regras, Amazon Inspector, AWS Systems Manager – incluindo Run Command e Session Manager e a diferença entre o Parameter Store e o AWS Secrets Manager, AWS WAF – Web Application Firewall, AWS Shield e Shield Advanced e a diferença dos dois, DNS logs, Segurança no Amazon Simple Storage Service – S3 com policies, ACLs e integrações do S3 com outros serviços além da parte de replicação para outras regiões e as configurações corretas a serem feitas.

A parte de gestão de identidade e acessos com AWS Identity and Access Management Service – IAM– aqui os AWS roles são extremamente importantes, organização de contas e centralização de logs também devem ser entendidos, assim como as contas se relacionam ou delegam acesso, um exemplo é o acesso a partir de outras contas a buckets e objetos do S3 ou chaves do AWS Key Management Service (KMS). Outros serviços importantes são AWS Organizations, o  AWS Single Sign-On e o AWS Directory Service que permitem respectivamente gerenciamento central de contas e de usuários. Entenda as políticas: Service Control Policies – SCPs, boundaries, políticas de recursos como de bucket S3 e chave do KMS, além da ordem em que as políticas são avaliadas e como permissões são concedidas ou negadas.

A parte de gerenciamento de certificados SSL, restrições geográficas do Amazon CloudFront e Signed URL e Signed Cookies também vai aparecer.

Na parte de segurança em Amazon Virtual Private Cloud (Amazon VPC)  entenda o design de uma VPC que passa por vários componentes como Security Group, NACLs, VPC Flow Logs, VPC Peering, VPC Endpoints, Nat Gateways, Egress-Only gateways, Internet gateways e conexões VPN e Direct Connect.

É importante conhecer a segurança da AWS em nível de host/hypervisor principalmente relacionada a sanitização de disco e memória.

Outro ponto é como fica a segurança quando falamos de serviços Serverless.

Por fim, a parte de criptografia com o KMS, incluindo em ambiente de múltiplas contas, integração do KMS com outros serviços e como eles utilizam a criptografia de envelope. Tem um link que explica um pouco sobre isso aqui. AWS CloudHSM quando da necessidade de utilização de APIs comno CryptoNG (CNG), PKCS#11 e JCE. Falando em CloudHSM, dê uma olhada na parte de Conformidade e entenda o AWS Artifact e as certificações de Segurança e Confirmidade da AWS e dos Serviços.

Não esqueça de estudar a parte de troubleshooting de questões relacionadas a segurança e os passos de resposta a incidente como isolar uma instância e criar uma cópia para análise forense.

Tem vários links úteis relacionados a Certificação de Especialista em Segurança e a Segurança na AWS no final deste blog.

Para finalizar, algumas dicas para toda e qualquer certificação:

Antes da prova:

  • Fazer a prova no horário que se sente mais disposto
  • Se alimentar bem no dia (evitar alimentos pesados ou que possam causar indisposição)
  • Não alimentar pensamentos negativos para não ficar ansioso ou tenso antes da prova, faça o melhor que puder na prova
  • Fazer um resumo, destacando pontos principais enquanto estuda
  • Ler o resumo um dia antes ou no dia (se for no dia, usar no máximo 1:30) – seu cérebro vai precisar de energia para fazer a prova

Durante a prova:

  • Em caso de ansiedade ou tensão, respirar fundo algumas vezes, molhar os pulsos e a nuca com água gelada
  • Não perder tempo com questões que está com dúvida, marcar para revisar depois
  • Revisar as questões no final, começando pelas marcadas

Depois é só comemorar! Boa sorte!

 

Links Úteis:

 


Sobre a autora

Maria Ane Dias é arquiteta de soluções na AWS e gosta/atua bastante da área de Segurança, Desenvolvimento e IoT além da vertical de Manufatura. Atua auxiliando clientes iniciantes em suas jornadas para a nuvem. Tem 16 anos de experiência em desenvolvimento e arquitetura de software e 2 com arquitetura de soluções.

 

 

 

Agradecimentos pela revisão do post: Leonardo Piedade, Arquiteto de Soluções e Julio Carvalho, Arquiteto de Soluções de Segurança.