AWS Certified Security – Specialty 準備心得分享

近年來，雲端應用服務的需求不斷提升，
並且政府與企業的資安意識也逐漸增長，
所以對於雲端服務的資安固然是相當被重視的，
實際上許多企業在打算將資源轉移至雲端環境中，
都會顧慮到雲端服務中資安的議題。
目前主要的三大雲端服務平台，
Google Cloud Platform (GCP)、
Amazon Web Service (AWS)、
Microsoft Azure (Azure) ,
三者其實都有推出各自的資訊安全相關認證，
本文介紹的就是筆者考取 AWS Certified Security的準備歷程與心得分享。

好啦，以上比較客套的話講完了，
以下就開始隨興的介紹。XD

為何是AWS?

關於為何是AWS Certified Security – Speciality?
其實沒甚麼特別原因，我對雲端也不是特別有興趣，
雖然沒興趣，但是不可否認雲端的重要性，
目前趨勢也是有許多服務都在雲端上，所以應該是要了解一下。
剛好公司有需求需要這張認證，有開班一起去上課，就跟著報名了。

這張認證的相關介紹可以參考下方官網的連結
AWS Certified Security – Specialty
https://aws.amazon.com/tw/certification/certified-security-specialty/
官方的考試指南
https://d1.awsstatic.com/training-and-certification/docs-security-spec/AWS-Certified-Security-Specialty_Exam-Guide.pdf
官方的考題範例
https://d1.awsstatic.com/training-and-certification/docs-security-spec/AWS-Certified-Security-Speciality_Sample-Questions.pdf.pdf

AWS的相關認證：

準備歷程與資源

2019/8/15參與AWS Security的實體課程，
之後因為由於種種因素，
算是從9月底才開始有辦法認真準備AWS Security，
考試時間則是12/26，幸運地一次通過考試。

準備時間約三個月，但是因為上班時間不能準備，
工作內容幾乎也跟AWS毫無關聯。
(那要幹嘛要考XD，好啦，這個問題不重要)
所以準備的時間約三個月的…
上下班通勤時間，下班時間，假日的時間，
雖然只有下班跟假日，但是幾乎是每天下班都花很多時間，
假日沒特別有約的話，也是整天都在準備AWS，所以總準備時間算是滿多。

還有順便說一下，在8月之前，
其實我本身對於AWS的經驗是0。
並且是七月份才從傳產機械跨領域到資安領域，
實際的準備過程，
算是先準備Practitioner完才準備Security
(但是我沒有去考基本認證)，
同時學習網路與資安的相關知識。

下面說說我自己的的準備方法與資源。
因為有參與恆逸的實體課程，
8月中去上課的,三天的課程，
上課老師講得很清楚，我覺得講得很好。
可是呢，有一點可能需要注意，
因為我們上課的人，多數都是沒有上過其他AWS課程，
也沒有考過其他AWS認證，所以其實也花了不少時間在介紹AWS各項服務，
包括了許多基礎的服務與其內容，
而上課的老師其實也有提到，建議考AWS Security之前，
先考其他的Certificate，對於AWS有基本的了解與認識再考Security，
而我也是秉持著同樣的想法，
雖然我自己是第一張就考AWS Security，
但我也會建議不要第一張就考這張。
AWS官方的考試指南也是建議要有5年IT Security與2年的AWS實作經驗。

三天的實體課程包含一個電子書PPT還有一些LAB，
LAB老實說我只有跟過三天課程中的那幾個(不多)，
而之後的時間，我就沒有實作過其他的LAB
(實際上之後好像也沒辦法做，LAB好像會關閉)，
我後來只有自己架了EC2跟S3來玩看看，
當然我絕對不會說LAB不重要，
如果是實務取向，我相信LAB非常重要，
但以考取認證來說，個人認為LAB不會是最優先考量要熟悉的項目，
並且如同我前面提到，我的工作內容幾乎與AWS無關，
所以一些服務的使用與設定，其實我不熟悉實作，
對於考認證與工作並無太大影響，只要觀念與原理了解即可。
(不過這其實也是一個盲點啦，有時候沒碰LAB要了解觀念很難，
或是要做了LAB你才會知道自己觀念哪裡有問題或需要加強。)

那雖然我沒有作LAB也沒有玩其他服務，
我有開啟AWS的官網，把每個Security中提到的服務，
都有點進去看過，看看dashbord有哪些選項，哪些功能之類的，
總之就是到處亂點亂看，沒有真的把服務運行起來(因為怕被收費QQ)。

我自己的學習歷程如下，
AWS官方的網路課程看過一遍，
主要就是針對 Practitioner、Security的主題，
或是一些比較核心服務 IAM、VPC、S3 相關的內容。
AWS Training的網站連結如下
https://www.aws.training/

我自己有完成的課程如下圖：

上課的PPT我看了兩遍，有作筆記，
第一次可以算是完整詳細閱讀，
第二遍是看完下面兩個網站的課程之後才看得,
算是針對不太了解的地方再仔細看一次而已。

以下兩個網站的AWS Security課程都有上完一遍，
這兩個網站其實都有提供免費試看期間，
我都是在試用期間看完的，所以沒有花到錢。
A CLOUD GURU
https://acloud.guru/learn/aws-certified-security-specialty
O’REILLY
https://www.oreilly.com/library/view/aws-certified-security/9780135771990/

接著是AWS中跟資安相關的白皮書跟Best Practices看一看，
上下班的通勤時間會看看「常見問答集」。

針對比較不熟悉的一些觀念都會再多花時間搞懂。
接著就是看看網路上免費的題庫，大概是這樣。

推薦「網路上免費的題庫」一定要看熟，
我大概於考前一個星期開始看，看了3~4遍。

不過考試相信是..絕對不能只依賴題庫，
因為考題真的滿活也滿難的，
個人認為AWS考試是有鑑別度的。

考試題型與範圍

考試的內容與題型的部分呢，
考題的形式「全部」都是選擇題，
相信對不少人來說已經是鬆了口氣，
不然如果要像OSCP實作真的是太硬了。
(至少對我來說是XD)

題目的領域可以參考AWS官方Exam Guide，
分佈可以參考下圖：

考試時間180分數，考試題數共65題，有單選與多選題。
滿分是1000分，通過分數是750分，但是我不知道分數是怎麼算的。

比較特別的是，這種類型的考試，
每個題目的解答其實並不是唯一解，而是最佳解，
也就是說要選擇答案中最適合最接近題意的解答。
所以…真的是很難XDDDD
我自己雖然是考了一次就過了，分數也不算低，
我拿到的分數是956分，
但還是覺得是有些僥倖心虛，滿意外的。

考試因為可以往回作答，所以我的作法是，
考試一開始就先從第一題開始直接刷到最後一題，
看到馬上能答題或能夠確定答案的就填，有猶豫或是不確定就跳過，
等寫到最後一題再回頭一題一題看。

接著來提一下考試範圍，一點點的技術內容，
因為範圍真的是也非常廣的，彼此之間又相互關聯，
考試內容也很隨機，靈活，或是組合不同服務。
下面提一些我覺得需要注意的事情。

1.了解所有服務，熟悉重要服務
這個可以算是最花費時間也最重要的，
就是要知道每個服務的用途與目的，
有些重要的項目像是EC2、IAM、VPC、S3要盡可能熟悉內容。
在Security課程中提到的所有服務，
都要知道其用途，知道在甚麼場合適合使用，
不需要每項都深入熟悉，但能夠了解每個服務的目的，
都清楚了解的話，許多簡單的題目可以很快速作答，
譬如像是WAF、Shield、CloudFront，要能夠清楚區分彼此的區別，
如果要阻擋DDOS，要採用哪個服務比較好？
還有像是CloudTrail、CloudWatch、AWS Config、Inspector 這種，
如果沒有很了解服務內容的區別，其實會很容易混淆。

2.搞懂IAM跟policy
關於IAM和ACL相關的內容一定要熟悉
像是User,Group,Role,Policy之間關係
Policy的三種Type
AWS-managed/customer-managed/inline
Permissions兩種type
User-Based Permissions/Resource-Based Permissions
(其實還會加上SCP)
優先順序explicit deny/explicit allow/implicit deny
這些必須要很熟悉，一定是要真的搞懂，
應該是沒有辦法硬背背起來的。

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html

3.KMS
關於KMS，symmetric跟asymmetric的CMK，
不同Key的用途還有保存位置與Key rotate的內容，
這些算是容易搞混的一個服務。
https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys

4.Data Security
這部分可以參考白皮書像是Encrypting Data at Rest
關於Data Security，要能區分SSE-KMS, SSE-C, SSE-S3。

5.VPC相關
譬如像是如何從地端連接到VPC
可以參考白皮書
aws-amazon-vpc-connectivity-options
還有VPC中的ACL，這個部分很複雜。

6.Dedicated Instances/Dedicated Hosts
這個其實滿簡單的。
一個是運行你的instances上的Server不會有別人的Instances，
可是每次運行時，你有可能會換到不同的server主機。
Dedicated Hosts就是這台主機就是你的，只會運行你的instance
每次開機都在同個主機，主要是有些合規需求需要。

以上簡短的只提了幾個項目與方向，
畢竟這篇主要目的在於心得分享而已，不是技術文章，
未來有機會可能會整理自己的AWS筆記放上來。

以上純粹是我個人的一些想法跟心得，
當然也不表示是最佳的準備方法，更不代表提到的東西就是會考的東西喔XD

最後，我看其他人好像都會曬證照？
那我也曬一下好了。