AWS Certified Security – Specialty (SCS-C02) Prüfungsleitfaden

Die **AWS Security Specialty** Zertifizierung bestätigt Ihre Expertise in der Sicherung von Daten und Workloads in der AWS Cloud. Sie deckt IAM, Datenschutz, Incident Response und Überwachung eingehend ab.

Sie betreiben eine Multi-Account-Umgebung auf AWS und möchten eine zentrale Verwaltung von Sicherheitsrichtlinien und Compliance-Anforderungen sicherstellen. Welche Kombination von AWS Organizations und IAM-Funktionen ist am besten geeignet, um diese Anforderungen zu erfüllen?

Antwort : Service Control Policies (SCPs) in AWS Organizations und IAM-Berechtigungsrichtlinien.

In einer AWS Multi-Account-Umgebung ist die zentrale Verwaltung von Sicherheitsrichtlinien entscheidend. AWS Organizations ermöglicht die Anwendung von Service Control Policies (SCPs), um die maximal zulässigen Berechtigungen für die Konten in Ihrer Organisation festzulegen. Diese SCPs wirken als übergeordnete Kontrollen, die die Berechtigungen, die von IAM-Richtlinien innerhalb der einzelnen Konten gewährt werden, weiter einschränken können. Diese Kombination gewährleistet eine starke, zentrale Governance.

Ein Unternehmen migriert eine unternehmenskritische Anwendung auf AWS und muss sicherstellen, dass die Daten während der Übertragung und im Ruhezustand geschützt sind. Welche Kombination von AWS-Services bietet die beste Sicherheit für sensible Daten in beiden Zuständen?

Antwort : AWS KMS für die Verschlüsselung ruhender Daten und AWS Certificate Manager (ACM) für die TLS/SSL-Verschlüsselung bei der Übertragung.

Dieser Abschnitt behandelt die Verschlüsselung von Daten sowohl im Ruhezustand (at rest) als auch während der Übertragung (in transit) auf AWS. Die Schlüsselverwaltung für ruhende Daten wird typischerweise mit AWS Key Management Service (KMS) durchgeführt. Für die sichere Übertragung von Daten über Netzwerke, wie z.B. über das Internet oder zwischen Diensten, wird häufig TLS/SSL eingesetzt, dessen Zertifikatsmanagement durch AWS Certificate Manager (ACM) erleichtert wird.

Welcher AWS-Service wird hauptsächlich verwendet, um die API-Aufrufe, die an Ihr AWS-Konto gerichtet sind, zu protokollieren und zu überwachen?

Antwort : AWS CloudTrail

Die Überwachung von API-Aufrufen ist für Sicherheitsaudits und die Einhaltung von Vorschriften unerlässlich. AWS CloudTrail bietet eine Aufzeichnung aller API-Interaktionen in Ihrem AWS-Konto. Diese Protokolle sind entscheidend, um nachzuvollziehen, wer, wann und wie auf Ihre AWS-Ressourcen zugegriffen hat, und sind somit ein Kernstück jeder Sicherheitsstrategie.

Ein Sicherheitsanalyst untersucht eine potenzielle Kompromittierung eines EC2-Instances. Welche AWS-Funktion sollte verwendet werden, um die Netzwerkaktivitäten auf der Instance zu analysieren und verdächtige Verbindungen zu identifizieren?

Antwort : VPC Flow Logs

Die Analyse von Netzwerkverkehr ist eine Kernkomponente der Untersuchung von Sicherheitsvorfällen. VPC Flow Logs bieten detaillierte Einblicke in den Datenverkehr, der zu und von den Netzwerkschnittstellen Ihrer EC2-Instanzen fließt. Durch die Überprüfung dieser Protokolle können Sicherheitsanalysten ungewöhnliche Verbindungsmuster, potenzielle Angriffsvektoren oder unerwünschte Kommunikation identifizieren.

Ein Unternehmen plant die Implementierung einer serverlosen Anwendung auf AWS, die sensible Kundendaten verarbeitet. Es ist entscheidend, dass die Anwendung nur auf Daten zugreifen kann, die für ihre Funktion notwendig sind, und dass der Zugriff auf diese Daten strengstens kontrolliert wird. Welche Kombination von Diensten und Konfigurationen bietet die beste Sicherheitspraxis für diesen Anwendungsfall?

Antwort : AWS Lambda mit einer IAM-Rolle, die nur die minimal erforderlichen Berechtigungen für den Zugriff auf die benötigten Datenressourcen (z.B. S3-Buckets, DynamoDB-Tabellen) hat.

Die Sicherheit von serverlosen Anwendungen, insbesondere von AWS Lambda-Funktionen, basiert stark auf dem Prinzip der geringsten Rechte (Least Privilege). Dies bedeutet, dass jeder Lambda-Funktion nur die absolut notwendigen Berechtigungen zugewiesen werden sollten, um ihre spezifische Aufgabe zu erfüllen. Dies wird durch die Konfiguration von IAM-Rollen erreicht, die präzise auf die benötigten AWS-Ressourcen und Aktionen zugeschnitten sind, um das Risiko von Datenlecks oder unbefugtem Zugriff zu minimieren.

Related Certifications

• AWS Certified Cloud Practitioner (CLF-C02)
• AWS Certified AI Practitioner (AIF-C01)
• AWS Certified Solutions Architect – Associate (SAA-C03)
• AWS Certified Solutions Architect – Professional (SAP-C02)
• AWS Certified Developer – Associate (DVA-C02)

Local Testing

• AWS Certified Security – Specialty (SCS-C02) in FR
• AWS Certified Security – Specialty (SCS-C02) in CA
• AWS Certified Security – Specialty (SCS-C02) in MA
• AWS Certified Security – Specialty (SCS-C02) in BE
• AWS Certified Security – Specialty (SCS-C02) in CH

Careers

• AWS Certified Security – Specialty (SCS-C02) for cloud architect
• AWS Certified Security – Specialty (SCS-C02) for devops engineer
• AWS Certified Security – Specialty (SCS-C02) for data scientist
• AWS Certified Security – Specialty (SCS-C02) for security analyst
• AWS Certified Security – Specialty (SCS-C02) for project manager