본문 바로가기
자격 공부/AWS Security Specialty

[AWS SCS-C01] AWS Security Specialty 시험 가이드 살펴보기

기로크 2022. 9. 19. 03:00

AWS Security Specialty 시험 준비의 첫 과정으로,
AWS 에서 제공하는 시험 가이드 내용을 살펴본다.

1. 시험 응답 유형
 선다형 : 4개의 보기 중 정답 1개를 고르는 유형

 다답형 : 5개의 보기 중 2개 이상의 정답을 고르는 유형
 채점 대상 제외 콘텐츠 : 15개의 문항이 채점에 포함되지 않음 (향후 채점 대상의 문제로 활용 됨)
  - 시험에서 해당 콘텐츠를 식별할 수 없으며, (다 맞춰도 의미 없는...)

2. 콘텐츠 개요

영역 시험 비율 (%)
사고 대응 12%
로깅 및 모니터링 20%
인프라 보안 26%
IAM 20%
데이터 보호 22%


#1 사고 대응

 

1.1 특정 AWS 침해 알림에서 손상이 의심되는 인스턴스 또는 유출 액세스 키를 진단합니다.

  • 특정 EC2 인스턴스에 대한 AWS 침해 보고서에 따라 포렌식 조사의 일환으로 인스턴스를
    안전하게 격리합니다.
  • 보고된 인스턴스와 관련된 로그를 분석하여 위반을 확인하고 관련 데이터를 수집합니다.
  • 추후 심층적인 분석이나 법적 규정 준수를 위해 의심되는 인스턴스에서 메모리 덤프를
    캡처합니다.


1.2 사고 대응 전략에 관련 AWS 서비스가 포함되어 있는지 확인합니다.

  • 기본 보안 구성에 변경 사항이 있는지 확인합니다.
  • 목록에 사고 대응을 지원하는 서비스, 프로세스 또는 절차가 생략되는지 확인합니다.
  • 문제 해결을 위한 서비스, 프로세스, 절차를 제시합니다.


1.3 자동 알림 구성을 확인하고 보안 관련 사고와 새로운 문제에 대한 가능한 조치 방안을
실행합니다.

  • 신규/변경/제거 리소스에 대한 적합성 평가를 자동화합니다.
  • 일반적인 인프라 구성 오류에 대해 규칙 기반 알림을 적용합니다.
  • 이전 보안 사고를 검토하고 기존 시스템의 개선 사항을 제시합니다.

 

#2 로깅 및 모니터링

 

2.1 보안 모니터링 및 알림을 설계 및 구현합니다.

  • 아키텍처를 분석하고 모니터링 요구 사항 및 모니터링 통계 소스를 식별합니다.
  • 아키텍처를 분석하여 모니터링 및 알림을 자동화하는 데 사용할 수 있는 AWS 서비스를
    판단합니다.
  • 사용자 지정 애플리케이션 모니터링에 대한 요구 사항을 분석하고 이를 달성할 수 있는 방법을
    판단합니다.
  • 자동화 도구/스크립트를 설정하여 정기적인 감사를 수행합니다.

 

2.2 보안 모니터링 및 알림 문제를 해결합니다.

  • 알려진 이벤트가 예상된 알림 없이 발생한 경우, 서비스 기능 및 구성을 분석하고 문제를
    해결합니다.
  • 알려진 이벤트가 예상된 알림 없이 발생한 경우, 권한을 분석하고 문제를 해결합니다.
  • 사용자 지정 애플리케이션이 애플리케이션 통계를 보고하지 않는 경우, 구성을 분석하고 문제를
    해결합니다.
  • 시스템 및 사용자 활동의 감사 추적을 검토합니다.

2.3 로깅 솔루션을 설계하고 구현합니다.

  • 아키텍처를 분석하고 로그 수집을 위한 로깅 요구 사항 및 소스를 식별합니다.
  • AWS 모범 사례에 따라 요구 사항을 분석하고 내구성이 강하고 안전한 로그 스토리지를
    구현합니다.
  • 아키텍처를 분석하여 로그 수집 및 분석을 자동화하는 데 사용할 수 있는 AWS 서비스를
    판단합니다.

2.4 로깅 솔루션 문제 해결

  • 로그가 없는 경우 잘못된 구성을 확인하고 문제 해결 단계를 정의합니다.
  • 로깅 액세스 권한을 분석하여 잘못된 구성을 확인하고 문제 해결 단계를 정의합니다.
  • 보안 정책 요구 사항에 따라 올바른 로그 수준, 유형 및 소스를 판단합니다.

#3 인프라 보안

 

3.1 AWS 의 엣지 보안을 설계합니다.

  • 특정 워크로드에 대해 공격 대상 영역을 평가하여 최소화합니다.
  • 공격 영향 범위를 줄입니다(예: 계정 및 리전 기반으로 애플리케이션 배포).
  • 적합한 AWS 및/또는 WAF, CloudFront 및 Route 53 과 같은 서드 파티 엣지 서비스를 선택하여 DDoS 공격으로부터 보호하거나 애플리케이션 수준 공격을 필터링합니다.

3.2 보안 네트워크 인프라를 설계하고 구현합니다.

  • 불필요한 네트워크 포트 및 프로토콜을 비활성화합니다.
  • 일련의 엣지 보호 요구 사항이 있는 경우 애플리케이션의 보안 그룹과 NACL 이 규정을
    준수하는지 평가하고 필요한 변경 사항을 제시합니다.
  • 보안 요구 사항에 따라 필요한 수신/송신 액세스를 최소로 허용하는 네트워크 세분화(예: 보안
    그룹 및 NACL)에 대해 결정합니다.
  • VPN 또는 Direct Connect 의 사용 사례를 확인합니다.
  • VPC Flow Logs 를 활성화하기 위한 사용 사례를 확인합니다.
  • VPC 의 네트워크 인프라에 대한 설명에 따라 보안 운영을 위한 서브넷과 게이트웨이 사용을
    분석합니다.

3.3 보안 네트워크 인프라 문제 해결

  • 네트워크 트래픽 흐름이 거부되는 위치를 확인합니다.
  • 특정 구성에 따라 보안 그룹과 NACL 이 올바르게 구현되었는지 확인합니다.

3.4 호스트 기반 보안 설계 및 구현

  • 특정 보안 요구 사항에 따라 Inspector, SSM 을 포함하여 호스트 기반 보호 기능을 설치 및
    구성합니다.
  • iptables 와 같은 호스트 기반 방화벽을 사용할 시기를 결정합니다.
  • 호스트 강화 및 모니터링 방법을 제시합니다.

 

#4 IAM (Identity and Access Management)

4.1 AWS 리소스에 액세스할 수 있도록 확장 가능한 권한 부여 및 인증 시스템을 설계하고 구현합니다.

  • 워크로드에 대한 특정 설명에 따라 AWS 서비스에 대한 액세스 제어 구성을 분석하고 위험을
    줄이는 권장 사항을 제시합니다.
  • 조직에서 AWS 계정을 관리하는 방법에 대한 설명에 따라 루트 사용자의 보안을 확인합니다.
  • 조직의 규정 준수 요구 사항에 따라 사용자 정책 및 리소스 정책의 적용 시기를 판단합니다.
  • 조직의 정책 내에서 디렉터리 서비스를 IAM 에 연동할 시기를 판단합니다.
  • 사용자, 그룹, 역할 및 정책을 포함하는 확장 가능한 권한 부여 모델을 설계합니다.
  • 데이터 및 AWS 리소스의 개별 사용자를 식별하고 제한합니다.
  • 정책을 검토하여 사용자/시스템이 책임 범위를 넘어서는 기능을 수행하지 못하도록 제한하고
    책임을 적절하게 분리합니다.

4.2 AWS 리소스에 액세스하기 위한 권한 부여 및 인증 시스템 문제를 해결합니다.

  • 사용자가 S3 버킷 콘텐츠에 액세스할 수 없는 문제를 조사합니다.
  • 사용자가 역할을 다른 계정으로 전환할 수 없는 문제를 조사합니다.
  • Amazon EC2 인스턴스에서 특정 AWS 리소스에 액세스할 수 없는 문제를 조사합니다.

#5 데이터 보호

 

5.1 키 관리 및 사용을 설계 및 구현합니다.

  • 특정 시나리오를 분석하여 적절한 키 관리 솔루션을 판단합니다.
  • 일련의 데이터 보호 요구 사항이 있는 경우, 키 사용을 평가하고 필요한 변경 사항을
    제시합니다.
  • 키 손상 이벤트에 대한 영향 범위를 확인 및 제어하고 해당 사항을 포함하는 솔루션을
    설계합니다.

5.2 키 관리 문제 해결

  • KMS 키 부여와 IAM 정책의 차이점을 분석합니다.
  • 특정 키에 대해 서로 다른 충돌 정책이 있는 경우 우선 순위를 추론합니다.
  • 손상이 발생할 경우 사용자 또는 서비스의 사용 권한을 취소하는 시기와 방법을 판단합니다.

5.3 저장 데이터 및 전송 중인 데이터에 대한 데이터 암호화 솔루션을 설계하고 구현합니다.

  • 일련의 데이터 보호 요구 사항이 있는 경우 워크로드의 저장 데이터 보안을 평가하고 필요한
    변경 사항을 제시합니다.
  • 특정 AWS 서비스에서만 사용할 수 있는 키에 대한 정책을 검증합니다.
  • 태그 기반 데이터 분류를 통해 데이터의 규정 준수 상태를 구분하고 문제 해결을 자동화합니다.
  • 다양한 전송 암호화 기술을 평가하고 적절한 방법(예: TLS, IPsec, 클라이언트 측 KMS 암호화)을
    선택합니다.

 

3. 시험에서 다루는 주요 도구, 기술 및 개념

  • AWS CLI
  • AWS SDK
  • AWS 관리 콘솔
  • 네트워크 분석 도구(패킷 캡처 및 흐름 캡처)
  • SSH/RDP
  • Signature Version 4
  • TLS
  • 인증서 관리
  • 코드형 인프라(IaC)

- 관리 및 거버넌스

  • AWS Audit Manager
  • AWS CloudTrail
  • Amazon CloudWatch
  • AWS Config
  • AWS Organizations
  • AWS Systems Manager
  • AWS Trusted Advisor

- 네트워킹 및 콘텐츠 전송:

  • Amazon Detective
  • AWS Firewall Manager
  • AWS Network Firewall
  • AWS Security Hub
  • AWS Shield
  • Amazon VPC
    • VPC 엔드포인트
    • 네트워크 ACL
    • 보안 그룹
  • AWS WAF

- 보안, 자격 증명 및 규정 준수:

  • AWS Certificate Manager(ACM)
  • AWS CloudHSM
  • AWS Directory Service
  • Amazon GuardDuty
  • AWS Identity and Access Management(IAM)
  • Amazon Inspector
  • AWS Key Management Service(AWS KMS)
  • Amazon Macie
  • AWS Single Sign-On

4. 대상 범위가 아닌 서비스 및 기능

  • 애플리케이션 개발 서비스
  • IoT 서비스
  • 기계 학습 서비스
  • 미디어 서비스
  • 마이그레이션 및 전송 서비스
  •  

'자격 공부 > AWS Security Specialty' 카테고리의 다른 글

[AWS SCS-C01] AWS Security Specialty 취득을 위한 학습 방향성  (0) 2022.09.19

'자격 공부/AWS Security Specialty' Related Articles

티스토리툴바