AWS SAP-C02教程6--安全_aws sap c02题库，GitHub标星1w的网络安全架构师必备技能

5.1.3 DNSSEC

下图是一个“Man-in-the-MiddleAttack（中间人攻击）”，以及通过SSL加密后防止的原理：

除了使用SSL外，还有一种可以放在这种中间人攻击，那就是DNSSEC，但是AWS Route53不支持DNSSEC，除非你使用第三方的DNS。

5.2 基本特性

• 管理和颁发Certificate的AWS服务
• 可以与多个组件集成（ELB、CloudFormation、API gateway等）
• 公有证书：必须使用符合 DNS 的主题名称
• 私有证书：CA 可能位于您的账户中，也可能由其他账户与您共享
• 证书更新可以托给ACM管理
• 只是一个单区域的，不能跨区域

6 AWS CloudHSM

AWS CloudHSM将AWS云的优势与硬件安全模块 (HSM) 的安全性相结合。硬件安全模块 (HSM) 是一种计算设备，可处理加密操作并提供加密密钥的安全存储。借助AWS CloudHSM，您可以完全控制 AWS 云中的高可用性 HSM，这些密码具有低延迟访问权限，并拥有可自动执行 HSM 管理（包括备份、配置、配置和维护）的安全信任根。简单来说就是一个硬件版本的KMS。主要记住以下几点特性和与KMS的比较即可

6.1 基本特性

• 是一个基于硬件的加密工具
• 支持对称和非对称加密
• 密钥需要自己管理，不能托管AWS
• 可以部署多可用区集群
• 必须使用CloudHSM Client Software
• 不是免费的（注意：考试中出现过S3存储加密，有SSE-S3和CloudHSM的选择，CloudHSM是收费的，并非开销最小的选择）

6.2 与KMS比较

7 AWS Inspector

Amazon Inspector 是一项漏洞管理服务，持续扫描您的AWS工作负载中是否存在软件漏洞和意外网络暴露。Amazon Inspector 会自动发现和扫描正在运行的 Amazon EC2 实例、亚马逊Elastic Container Registry (Amazon ECR) 中的容器映像，以及针对已知软件漏洞和意外网络泄露的AWS Lambda函数。这里只需要记住以下几点：

• 它只用于EC2、ECR和Lambda的漏洞扫描即可
• 漏洞规则是AWS管理的
• 最后生成报告

8 Amazon GuardDuty

Amazon GuardDuty 是一项安全监控服务，用于分析和处理AWS CloudTrail管理事件基础数据源、AWS CloudTrail事件日志、VPC 流日志（来自 Amazon EC2 实例）和 DNS 日志。它还处理 Kubernetes 审计日志、RDS 登录活动、S3 日志、EBS 卷、运行时监控和 Lambda 网络活动日志等功能。简单理解就是一个安全监测工具，将通过一些日志作为输入，然后通过机器学习等算法分析出存在异常的内容，再通过CloudWatch发出警告。

9 AWS Systems Manager（SSM）

AWS Systems Manager 是您 AWS 应用程序和资源的操作中心，也是混合和多云环境的安全端到端管理解决方案，可以实现大规模的安全操作。简单理解就是一个可以对你的EC2、本地数据中心的服务器的操作系统做管理的平台。

9.1 特性

• 管理你的EC2或者本地数据中心的服务器
• 发现你基础设施存在的安全问题
• 可以更新你服务器的补丁（注意：考试中遇到patching，基本上就是与SSM相关）

A Solutions Architect must establish a patching plan for a large mixed fleet of Windows and Linux servers.The patching plan must be implemented securely, be audit ready, and comply with the company’s business requirements. Which option will meet these requirements with MINIMAL effort?
A. Install and use an OS-native patching service to manage the update frequency and release approval for all instances.Use AWS Config to verify the OS state on each instance and report on any patch compliance issues
B. Use AWS Systems Manager on all instances to manage patching. Test patches outside of production and then deployduring a maintenance window with the appropriate approval.
C. Use AWS OpsWorks for Chef Automate to run a set of scripts that will iterate through all instances of a given typessue the appropriate OS command to get and install updates on each instance, including any required restarts during themaintenance window.
D. Migrate all applications to AWS Ops Works and use Ops Works automatic patching support to keep the OS up-to-datefollowing the initial installation. Use AWS Config to provide audit and compliance reporting.
答案：B
答案解析：这道题关键词：Windows and Linux servers，patching plan，MINIMAL effort。主要考察AWS Config、Systems Manager、OpsWorks的使用场景。AWS Config主要是配置管理，OpsWorks也有更新补丁功能，是Puppet 或 Chef迁移到AWS云上使用，但是AWS如果不强调Puppet 或 Chef迁移，补丁修复建议都是使用Systems Manager（https://docs.aws.amazon.com/zh_cn/opsworks/latest/userguide/workingsecurity-updates.html）。而Systems Manager其中一个重要功能就是更新服务器补丁。因此选B。

例题：A company needs to implement a patching process for its servers. The on-premises servers and Amazon EC2 instances use a variety of tools to perform patching.
Management requires a single report showing the patch status of all the servers and instances.
Which set of actions should a solutions architect take to meet these requirements?
A. Use AWS Systems Manager to manage patches on the on-premises servers and EC2 instances. Use Systems Manager to generate patch compliance reports
B. Use AWS OpsWorks to manage patches on the on-premises servers and EC2 instances. Use Amazon QuickSight integration with OpsWorks to generate patch compliance reports.
C. Use an Amazon EventBridge (Amazon CloudWatch Events) rule to apply patches by scheduling an AWS Systems Manager patch remediation job. Use Amazon Inspector to generate patch compliance reports.
D. Use AWS OpsWorks to manage patches on the on-premises servers and EC2 instances. Use AWS X-Ray to post the patch status to AWS Systems Manager OpsCenter to generate patch compliance reports.
答案：A
答案解析：题目要求给本地和EC2更新补丁。OpsWorks是主要是做配置管理；EventBridge更多是应用程序组件连接在一起的bus。而Systems Manager本身就有patching功能

• 适用于Windows和Linux OS
• 集成了CloudWatch metrics/dashboards/AWS Config
• Session Manager：可以管理 Amazon Elastic Compute Cloud（Amazon EC2）实例、边缘设备、本地服务器和虚拟机（VM）。您可使用基于浏览器的一键式交互 Shell 或 AWS Command Line Interface (AWS CLI)。Session Manager 提供安全且可审计的节点管理，而无需打开入站端口、维护堡垒主机或管理 SSH 密钥。

例题：A startup company hosts a fleet of Amazon EC2 instances in private subnets using the latest Amazon Linux 2 AMI. The company’s engineers rely heavily on SSH access to the instances for troubleshooting.
The company’s existing architecture includes the following:
– A VPC with private and public subnets, and a NAT gateway
– Site-to-Site VPN for connectivity with the on-premises environment
– EC2 security groups with direct SSH access from the on-premises environment
The company needs to increase security controls around SSH access and provide auditing of commands run by the engineers.
Which strategy should a solutions architect use?
A. Install and configure EC2 Instance Connect on the fleet of EC2 instances. Remove all security group rules attached to EC2 instances that allow inbound TCP on port 22. Advise the engineers to remotely access the instances by using the EC2 Instance Connect CLI.
B. Update the EC2 security groups to only allow inbound TCP on port 22 to the IP addresses of the engineer’s devices. Install the Amazon CloudWatch agent on all EC2 instances and send operating system audit logs to CloudWatch Logs.
C. Update the EC2 security groups to only allow inbound TCP on port 22 to the IP addresses of the engineer’s devices. Enable AWS Config for EC2 security group resource changes. Enable AWS Firewall Manager and apply a security group policy that automatically remediates changes to rules.
D. Create an IAM role with the AmazonSSMManagedInstanceCore managed policy attached. Attach the IAM role to all the EC2 instances. Remove all security group rules attached to the EC2 instances that allow inbound TCP on port 22. Have the engineers install the AWS Systems Manager Session Manager plugin for their devices and remotely access the instances by using the start-session API call from Systems Manager
答案：D
答案解析：题目要求管理SSH登录，最好的就是使用Systems Manager的Session Manager方案，参考：https://docs.aws.amazon.com//systems-manager/latest/userguide/session-manager.html

例题：A research company is running daily simulations in the AWS Cloud to meet high demand. The simulations run on several hundred Amazon EC2 instances that are based on Amazon Linux 2. Occasionally, a simulation gets stuck and requires a cloud operations engineer to solve the problem by connecting to an EC2 instance through SSH.
Company policy states that no EC2 instance can use the same SSH key and that all connections must be logged in AWS CloudTrail.
How can a solutions architect meet these requirements?
A. Launch new EC2 instances, and generate an individual SSH key for each instance. Store the SSH key in AWS Secrets Manager. Create a new IAM policy, and attach it to the engineers’ IAM role with an Allow statement for the GetSecretValue action. Instruct the engineers to fetch the SSH key from Secrets Manager when they connect through any SSH client.
B. Create an AWS Systems Manager document to run commands on EC2 instances to set a new unique SSH key. Create a new IAM policy, and attach it to the engineers’ IAM role with an Allow statement to run Systems Manager documents. Instruct the engineers to run the document to set an SSH key and to connect through any SSH client.
C. Launch new EC2 instances without setting up any SSH key for the instances. Set up EC2 Instance Connect on each instance. Create a new IAM policy, and attach it to the engineers’ IAM role with an Allow statement for the SendSSHPublicKey action. Instruct the engineers to connect to the instance by using a browser-based SSH client from the EC2 console.
D. Set up AWS Secrets Manager to store the EC2 SSH key. Create a new AWS Lambda function to create a new SSH key and to call AWS Systems Manager Session Manager to set the SSH key on the EC2 instance. Configure Secrets Manager to use the Lambda function for automatic rotation once daily. Instruct the engineers to fetch the SSH key from Secrets Manager when they connect through any SSH client.
答案：D
答案解析：要求不需要使用SSH直接登录，那么使用Systems Manager的Session Manager方案是最好的方案，参考：https://docs.aws.amazon.com//systems-manager/latest/userguide/session-manager.html

例题：A company’s AWS architecture currently uses access keys and secret access keys stored on each instance to access AWS services. Database credentials are hard-coded on each instance. SSH keys for command-line remote access are stored in a secured Amazon S3 bucket. The company has asked its solutions architect to improve the security posture of the architecture without adding operational complexity.
Which combination of steps should the solutions architect take to accomplish this? (Choose three.)
A. Use Amazon EC2 instance profiles with an IAM role
B. Use AWS Secrets Manager to store access keys and secret access keys
C. Use AWS Systems Manager Parameter Store to store database credentials
D. Use a secure fleet of Amazon EC2 bastion hosts for remote access
E. Use AWS KMS to store database credentials
F. Use AWS Systems Manager Session Manager for remote access
答案：ACF
答案解析：题目要改进安全访问EC2方式。因此使用Systems Manager Session Manager是最合适，因此步骤是ACF。

9.2 工作原理

• 在操作系统中安装SSM Agent
• EC2还需要授权角色给SSM

9.3 Run Command

• 可以执行document、script、command
• 同时给多台实例执行命令
• 不需要使用SSH（而是通过SSM Agent）

9.4 Systems Manager Parameter Store

请参照本章的第3点《3 Parameter store》。

10 AWS Security Hub

AWS Security Hub 可让您全面了解您的安全状态AWS并帮助您评估您的AWS环境与安全行业标准和最佳实践背道而驰。简单来说就是评估你AWS上面存在的一些可能的安全隐患（这个安全隐患是行业一些标准或者实践）。

• 支持多账号安全管理（注意：如果出现多账号环境安全状态评估，一般与Security Hub相关）
• 能够自动查找更新和补救措施
• 与Control Tower的区别，都是做安全合规的，但是有一个最大区别Control Tower是检测权限是否泄漏，Security Hub是检测是否存在安全隐患。（注意：考试中经常选项会同时出现Control Tower和Security Hub，请注意2者使用场景）

11 Amazon Detective

Amazon Detective 可帮助您分析、调查和快速识别安全结果或可疑活动的根本原因。Detective 会自动从您的AWS资源中收集日志数据。然后，它使用机器学习、统计分析和图论来生成可视化效果，帮助您更快、更高效地进行安全调查。
当你使用7 GuardDuty、Security Hub等工具发现出问题，需要知道详细造成问题的原因，那么就需要Detective，它提供可视化的日志分析，最终让你迅速发现问题所在。

12 Amazon Macie

Amazon Macie 是一项数据安全服务，该服务使用机器学习和模式匹配来发现敏感数据，提供对数据安全风险的可见性，并实现针对这些风险的自动防护。

13 AWS组件内的安全

13.1 Web Server 集成SSL

• 基于ALB的SSL加密
  

例题：A company is planning to host a web application on AWS and wants to load balance the traffic across a group of Amazon EC2 instances. One of the security requirements is to enable end-to-end encryption in transit between the client and the web server.Which solution will meet this requirement?
A. Place the EC2 instances behind an Application Load Balancer (ALB). Provision an SSL certificate using AWS Certificate Manager (ACM), and associate the SSL certificate with the ALB. Export the SSL certificate and install it on each EC2 instance. Configure the ALB to listen on port 443 and to forward traffic to port 443 on the instances.
B. Associate the EC2 instances with a target group. Provision an SSL certificate using AWS Certificate Manager (ACM). Create an Amazon CloudFront distribution and configure it to use the SSL certificate. Set CloudFront to use the target group as the origin server.
C. Place the EC2 instances behind an Application Load Balancer (ALB) Provision an SSL certificate using AWS Certificate Manager (ACM), and associate the SSL certificate with the ALB. Provision a third-party SSL certificate and install it on each EC2 instance. Configure the ALB to listen on port 443 and to forward traffic to port 443 on the instances.
D. Place the EC2 instances behind a Network Load Balancer (NLB). Provision a third-party SSL certificate and install it on the NLB and on each EC2 instance. Configure the NLB to listen on port 443 and to forward traffic to port 443 on the instances.
答案：C
答案解析：Amazon颁发的公共证书不能安装在EC2实例上。启用端到端加密时，必须使用第三方SSL证书，所以是C或D。而D会存在可能有被入侵风险，如果加入CloudHSM管理则可避免。因此答案选择C。

• 基于NLB在EC2进行SSL加密（缺点：证书会绑定在EC2，可能有被入侵风险，使用CloudHSM可以避免该风险）
  
• 基于CloudHSM对EC2进行SSL加密
  

13.2 RDS security

关于RDS的安全方面，需要知道以下几点：

• Transparent Data Encryption（TDE）只能适合Oracle和SQL Server
• SSL 加密RDS，适用于所有数据库
• IAM可以用于MySQL和PostgreSQL，但实际验证还需要RDS本身
• CloudTrail不能用于查询RDS

13.3 S3 security

13.3.1 四种加密方式

• SSE-S3：有AWS自动加密S3对象，密钥管理完全有AWS管理
• SSE-KMS：有KMS做加密密钥管理
• SSE-C：自己管理密钥
• Client Side Encryption：完全有自己管理密钥平台
  另外：还有Glacier（本身使用AEC-256加密）
  建议：使用HTTPS作为endpoint，因为HTTPS强制使用SSE-C

13.3.2 S3的Events

• S2 Access Logs：记录对于S3存储桶的所有请求操作
• S3 Events Notifications：属于监控桶级别的通知，可用于监听通知
• Trusted Advisor：检查S3存储桶的权限（当存储桶为public情况下）
• CloudWatch Events：属于监控对象级别的通知

13.3.3 S3的安全

• 用户层面：基于IAM policies控制
• 资源层面：基于bucket policies或者ACL。其中bucket policies为考试重点，可以跨账户授权

13.3.4 其它相关安全措施

• S3 pre-signed URLs：生成一个pre-signed URLs，用于上传和下载。一般用于临时权限，有时间限制。
• Endpoint Gateway：这个在网络那一章讲过，通过Endpoint Gateway可以让VPC通过内网方式访问S3，更加安全可靠，但不能传递边缘路由。
• 对象锁定：借助 S3 对象锁定，您可以使用一次写入，多次读取 (WORM) 模式存储对象。对象锁定可帮助防止在固定的时间段内或无限期地删除或覆盖对象。可以使用对象锁定来帮助您满足需要 WORM 存储的法规要求，或只是添加另一个保护层来防止对象被更改和删除。

13.4 Network Security, DDoS, Shield & WAF

关于网络安全方面，在网络那一章分散讲过一些，这里系统讲一下

13.4.1 Network Security

如上图，有3个安全管理的内容：

• NACL：网络访问控制列表 (ACL) 在子网级别允许或拒绝特定的入站或出站流量。您可以使用 VPC 的默认网络 ACL，也可以为 VPC 创建自定义网络 ACL，使其规则与您安全组的规则相似，以便为您的 VPC 添加额外安全层。注意：NACL是无状态（意味着入出都需要定义规则）

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

如何自学黑客&网络安全

黑客零基础入门学习路线&规划

初级黑客
1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）
恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

如果你想要入坑黑客&网络安全，笔者给大家准备了一份：282G全网最全的网络安全资料包评论区留言即可领取！

7、脚本编程（初级/中级/高级）
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

如果你零基础入门，笔者建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习；搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime；·Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，不要看完；·用Python编写漏洞的exp,然后写一个简单的网络爬虫；·PHP基本语法学习并书写一个简单的博客系统；熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)；·了解Bootstrap的布局或者CSS。

8、超级黑客
这部分内容对零基础的同学来说还比较遥远，就不展开细说了，附上学习路线。

网络安全工程师企业级学习路线

如图片过大被平台压缩导致看不清的话，评论区点赞和评论区留言获取吧。我都会回复的

视频配套资料&国内外网安书籍、文档&工具

当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料&工具，并且已经帮大家分好类了。

一些笔者自己买的、其他平台白嫖不到的视频教程。

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

tps://img-blog.csdnimg.cn/img_convert/153b2778a3fe5198265bed9635d63469.webp?x-oss-process=image/format,png)
一些笔者自己买的、其他平台白嫖不到的视频教程。

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！
[外链图片转存中…(img-YCHZV0PO-1712473062492)]