Dominio de contenido 3: Seguridad de la infraestructura

Habilidad 3.1.1: Definir y seleccionar estrategias de seguridad de la periferia en función de las amenazas y los ataques anticipados.

Habilidad 3.1.2: Implementar una protección adecuada de la periferia de red (por ejemplo, encabezados de CloudFront, AWS WAF, políticas de AWS IoT, protección contra las amenazas del OWASP Top 10, intercambio de recursos entre orígenes de Amazon S3 [cross-origin resource sharing, CORS], Shield Advanced).

Habilidad 3.1.3: Diseñar e implementar reglas y controles de la periferia de AWS en función de los requisitos (por ejemplo, la ubicación geográfica, la geolocalización, la limitación de velocidad y la toma de huellas dactilares de los clientes).

Habilidad 3.1.4: Configurar las integraciones con servicios periféricos de AWS y servicios de terceros (por ejemplo, mediante la ingesta de datos en formato de marco de trabajo de esquema de ciberseguridad abierto [Open Cybersecurity Schema Framework, OCSF], mediante el uso de reglas de WAF de terceros).

Habilidad 3.2.1: Diseñar e implementar AMI de Amazon EC2 e imágenes de contenedores reforzados para proteger las cargas de trabajo de computación e incorporar controles de seguridad (por ejemplo, Systems Manager o el Generador de imágenes de EC2).

Habilidad 3.2.2: Aplicar los perfiles de instancia, los roles de servicio y los roles de ejecución de forma adecuada para autorizar las cargas de trabajo de computación.

Habilidad 3.2.3: Analizar los recursos de computación en busca de vulnerabilidades conocidas (por ejemplo, escanee imágenes de contenedores y funciones de Lambda con Amazon Inspector, supervise los tiempos de ejecución de computación con GuardDuty).

Habilidad 3.2.4: Implementar parches en todos los recursos de computación para mantener entornos seguros y conformes mediante la automatización de los procesos de actualización y la integración de la validación continua (por ejemplo, Administrador de parches de Systems Manager, Amazon Inspector).

Habilidad 3.2.5: Configurar el acceso administrativo seguro a los recursos de computación (por ejemplo, Administrador de sesiones de Systems Manager, EC2 Instance Connect).

Habilidad 3.2.6: Configurar las herramientas de seguridad para descubrir y corregir las vulnerabilidades dentro de una canalización (por ejemplo, Amazon Q Developer, Amazon CodeGuru Security).

Habilidad 3.2.7: Implementar protecciones y barreras de protección para aplicaciones de IA generativa (por ejemplo, aplicando las protecciones de IA generativa del OWASP Top 10 para las aplicaciones de LLM).

Habilidad 3.3.1: Diseñar y resolver los problemas de los controles de red adecuados para permitir o impedir el tráfico de red según sea necesario (por ejemplo, grupos de seguridad, ACL de red o AWS Network Firewall).

Habilidad 3.3.2: Diseñar una conectividad segura entre redes híbridas y multinube (por ejemplo, AWS Site-to-Site VPN, AWS Direct Connect, MAC Security [MACsec]).

Habilidad 3.3.3: Determinar y configurar los requisitos de carga de trabajo de seguridad para la comunicación entre entornos híbridos y AWS (por ejemplo, mediante Acceso verificado de AWS).

Habilidad 3.3.4: Diseñar la segmentación de la red en función de los requisitos de seguridad (por ejemplo, protecciones de tráfico norte/sur y este/oeste, subredes aisladas).

Habilidad 3.3.5: Identificar el acceso innecesario a la red (por ejemplo, los hallazgos de accesibilidad a la red del Acceso verificado de AWS, el analizador de acceso a la red, Amazon Inspector).