본문 바로가기

Server Infra/AWS

AWS Security - Specialty 취득 후기

728x90

2022-02-17 Network Specialty를 취득한뒤 약 한달 넘게 공부를 하고 Security Sepcialty를 취득했다. 마침 지금 ISMS에 진행하고 있고 보안영역 통합 관제 시스템 프로젝트를 진행중이기에 무엇보다 현업에 필요한 정보들이 많았다.

 

쉽게 적용하는 AWS 보안 레시피 - YES24

 

쉽게 적용하는 AWS 보안 레시피 - YES24

보안 담당자들이 인프라를 보호할 때 직면할 수 있는 일반적인 어려움에 대한 실용적인 솔루션을 설명한다. CIA 3 요소(기밀성, 무결성, 가용성), AAA 3 요소(인증, 권한 부여, 가용성), 부인 방지 등

www.yes24.com

우선 이 책을 한번 정독했다. AWS보안에 대한 전반적인 내용을 다룬다. 만약 SCS를 준비한다면 꼭 한번 읽어보길 권장한다.

공식 모의고사는 전부 skillbuilder로 이관되며 무료로 변했다. 그리고 해설도 제공해준다. 또한 exam-readiness라고 SCS준비과정인 교육 과정도 있다. 영어이긴 하지만 구글 번역기로 돌려가며 보면 충분히 이해가 가능하니 꼭 활용하자!

 

Self-paced digital training on AWS - AWS Skill Builder

 

Self-paced digital training on AWS - AWS Skill Builder

Loading your learning experience...

explore.skillbuilder.aws

Self-paced digital training on AWS - AWS Skill Builder

 

Self-paced digital training on AWS - AWS Skill Builder

Loading your learning experience...

explore.skillbuilder.aws

공식 모의고사는 55%로 당연히 탈락이었다. 자주 틀린곳이 KMS CMK관련 문제들이었다. 확실히 KMS는 디폴트로 자주 사용해서 자세한 내용까지 깊게 알지는 못했다.

 

이제 자주 애용하는 Tutorials Dojo의 모의고사를 찾아보자. 아쉽게도 유데미에 Security Specialty 모의고사는 없어서 dojo사이트에서 구매했다

AWS Certified Security Specialty Practice Exams 2022 - Tutorials Dojo

 

AWS Certified Security Specialty Practice Exams 2022 - Tutorials Dojo

AWS Certified Security - Specialty Questions in TIMED mode, REVIEW mode, SECTION-BASED, and FINAL TEST mode with Explanations, Reference Links, Score Tracking, Plus BONUS Flashcards

portal.tutorialsdojo.com

유데미랑 다르게 한 문제당 바로 정답과 해설을 알려주는 모드가 있어서 성격이 급한 나에게 아주 잘 맞는 모드였다.

모의고사를 풀다 보니 Network시험에 나왔던 내용도 많이 나왔다. SSL passthrough나 offloading같은것들 이건 실제 시험에서도 두 문제나 나와서 거져 먹었다.

 

KMS의 키 자동 교체나 즉시 삭제와 같은 문제는 사실상 현업에서 직접적으로 사용해 보기보단 디폴트를 써서 자세하게 공부했었는데 즉시 삭제 방법 사용자 지정 키 스토어 (예를들어 CloudHSM)를 사용할때 교체 해 버리거나 삭제하는 방법밖에 없었다.

그리고 봉투 암호화..

GuardDuty관련 문제는 정말 어려웠다. 이건 실제로 사용해 본적도 없고 어떤 서비스인지 글로만 읽어봐서 사실 직접적으로 이해가 되진 않았다. 그래서 모아둔 크래딧을 태워서 한번 사용해보기로 했는데 이게 제대로 사용하려면 CloudTrail이랑 VPC FlowLog부터 DNS 해석기 로그등 여러 로그를 활성화 시켜놓고 분석을 시켜놔야 했다. 그리고 계정도 하나만 돌리면 뭔가 별 의미가 없어 보였다.(무엇보다 졸라 비싸다...30일 이후에 꼭 비활성화 하자)

그나마 좀 이해가 되었던게 계정을 초대하거나 신뢰할수 있는 IP 목록등을 S3에서 파일로 가져와 적용 시키는것?

멤버 계정과 마스터 계정이 할 수 있는 것들은 글로만 배웠다.

 

그냥 외웠던거...

마스터 계정의 사용자는 GuardDuty를 구성할 수 있을 뿐만 아니라 자신의 계정 및 연결된 모든 구성원 계정에 대한 GuardDuty 결과를 보고 관리할 수 있습니다. 다음은 마스터 계정의 사용자가 GuardDuty를 구성할 수 있는 방법입니다. 

  • 마스터 계정의 사용자는 자신의 계정에서 샘플 결과를 생성할 수 있습니다. 마스터 계정의 사용자는 구성원 계정에서 샘플 결과를 생성할 수 없습니다.
  • 마스터 계정의 사용자는 자신의 계정과 모든 구성원 계정에서 결과를 보관할 수 있습니다.
  • 마스터 계정의 사용자는 자신의 계정에서 신뢰할 수 있는 IP 목록과 위협 목록을 업로드하고 추가로 관리할 수 있습니다.

구성원 계정의 사용자는 GuardDuty를 구성하고 계정에서 GuardDuty 결과를 보고 관리할 수 있습니다. 구성원 계정 사용자는 GuardDuty를 구성하거나 마스터 또는 다른 구성원 계정에서 결과를 보거나 관리할 수 없습니다.

  • 회원 계정의 사용자는 자신의 회원 계정에서 샘플 결과를 생성할 수 있습니다. 구성원 계정의 사용자는 마스터 또는 다른 구성원 계정에서 샘플 결과를 생성할 수 없습니다.
  • 구성원 계정의 사용자는 자신의 계정이나 마스터 계정 또는 다른 구성원 계정에 결과를 보관할 수 없습니다.
  • 구성원 계정의 사용자는 신뢰할 수 있는 IP 목록 및 위협 목록을 업로드하고 추가로 관리할 수 없습니다.
  • 마스터 계정에서 업로드한 신뢰할 수 있는 IP 목록 및 위협 목록은 해당 구성원 계정의 GuardDuty 기능에 적용됩니다. 즉, 구성원 계정에서 GuardDuty는 마스터의 위협 목록에서 알려진 악성 IP 주소와 관련된 활동을 기반으로 결과를 생성하고 마스터의 신뢰할 수 있는 IP 목록에서 IP 주소와 관련된 활동을 기반으로 결과를 생성하지 않습니다.
  • 다음은 구성원 계정의 사용자가 GuardDuty를 구성할 수 있는 방법입니다.
  • 마스터 계정의 사용자는 GuardDuty를 구성할 수 있을 뿐만 아니라 자신의 계정 및 연결된 모든 구성원 계정에 대한 GuardDuty 결과를 보고 관리할 수 있습니다. 다음은 마스터 계정의 사용자가 GuardDuty를 구성할 수 있는 방법입니다.

이 내용도 재미 있었는데 S3에 멀티파트로 업로드를 하는 경우(CLI, SDK)할때 각각 파트로 쪼개서 보낼때 암호화가 되고 마지막에 복호화 되서 파트가 전부 하나로 합쳐지는 형태로 내부 구성이 되어있다. 따라서 kms:encrypt 권한만 주면 권한이 없다는 에러를 볼 수 있다.

그것은 파라메타 스토어도 마찬가지 이니 kms 권한과 관련하여 잘 이해하고 시험에 응하자.

💡 AWS Artifact와 AWS CodeArtifact와 처음에 헷갈렸다. 하나는 패키지 저장소고 하나는 규정 준수 관련 정보를 제공하는 중앙 리소스이다. 사실 둘다 처음 본 서비스 들이라...갈피를 못 잡았는데 혹시 모르니 둘다 잘 보고 헷갈리지 말자!

시험은 피어슨뷰로 자택에서 보았는데 맥북의 독바가 숨겨지지 않은 상태에서 바로 화면이 락이 걸리는 바람에 초반에 엄청 당황했다. 버튼을 마우스로 클릭 못해서 탭으로 겨우겨우 검토하고 시험을 보았다...감독관에게 안되는 영어로 말해 보았는데 이해를 못 했는지 바로 시험 잘보라고 하면서 사라졌다...ㅠㅠ

일단 890점으로 합격했다.

AWS의 자격증도 이제 10개를 모았다. AWS 자격증 취득 목표가 10개였는데 일단 목표를 이루었다. MLS-C01도 취득하고 올 취득도 좋지만 MLS는 아직 경험도 실력도 부족한것 같다.

일단 10개를 취득하고 여기저기 자랑을 했었다. 그랬더니 많은 분들이 이런 질문을 했다.

  • 따면 취업에 도움 되느냐
  • 자격증이 공신력이 있느냐

솔직히 이력서에 한줄 늘어나는것 뿐이지 이게 실력을 대변하지 않는다. 그냥 관심과 성실함을 대변할 뿐이지 공부한 내용을 활용하는 것은 개인의 역량이니 뭐라 코멘트 하기가 어렵다.

하지만, 개인적으로 취득하며 공부했던 케이스 스터디는 실무에 매우 도움이 되었다. 실제로 이슈가 생겼을때 원인 분석부터 해결하는 솔루션 제시까지 빠르게 분석이 가능했고 아키텍쳐를 짜는데 있어서도 적극적으로 의견을 제시할 수 있는 기준을 마련해 주었다.

그러니 꼭 따야 하느냐? 라고 묻는다면 안 따도 되지만 공부는 꼭 해보아라 라고 답해주고 싶다.

그럼 ADsP와 RHCSA를 준비하러...

728x90

'Server Infra > AWS' 카테고리의 다른 글

AWS 면접 준비!!  (2) 2022.03.22
Cloud9 Visual Studio Code와 연결하기  (0) 2022.03.07
AWS Storage Badges 취득까지  (5) 2022.02.18
EFS는 NAS가 아닙니다.  (0) 2022.02.13
ALB Access Log 분석하기!  (0) 2022.01.18