Dominio del contenuto 1: Progettazione di architetture sicure - AWS Certified Solutions Architect - Associate
Attività 1.1: Progettazione dell'accesso sicuro alle risorse AWSAttività 1.2: Progettazione di applicazioni e carichi di lavoro sicuriAttività 1.3: Identificazione dei controlli di sicurezza dei dati appropriati

Dominio del contenuto 1: Progettazione di architetture sicure

Attività 1.1: Progettazione dell'accesso sicuro alle risorse AWS

Conoscenza di:

  • Controllo e gestione degli accessi in più account

  • Servizi di identità e accesso federato AWS (ad esempio, IAM, Centro identità AWS IAM)

  • Infrastruttura globale AWS (ad esempio, le zone di disponibilità, le Regioni AWS)

  • Best practice per la sicurezza in AWS (ad esempio, il principio del privilegio minimo)

  • Modello di responsabilità condivisa di AWS

Competenze in:

  • Applicazione delle best practice per la sicurezza in AWS a utenti IAM e a utenti root, ad esempio l'autenticazione a più fattori (MFA)

  • Progettazione di un modello di autorizzazione flessibile che includa utenti, gruppi, ruoli e policy IAM

  • Progettazione di una strategia di controllo degli accessi in base ai ruoli (ad esempio AWS STS, il passaggio tra ruoli o l'accesso multi-account)

  • Progettazione di una strategia di sicurezza per più account AWS, ad esempio AWS Control Tower o le policy di controllo dei servizi (SCP)

  • Identificazione dell'uso appropriato di policy delle risorse per i servizi AWS

  • Identificazione dei casi in cui federare un servizio di directory con ruoli IAM

Attività 1.2: Progettazione di applicazioni e carichi di lavoro sicuri

Conoscenza di:

  • Configurazione delle applicazioni e sicurezza delle credenziali

  • Endpoint del servizio AWS

  • Controllo di porte, protocolli e traffico di rete in AWS

  • Accesso sicuro alle applicazioni

  • Servizi di sicurezza con casi d'uso appropriati (ad esempio, AWS Cognito, AWS GuardDuty o AWS Macie)

  • Vettori di minacce esterni ad AWS (ad esempio, gli attacchi DDoS o iniezione SQL)

Competenze in:

  • Progettazione di architetture VPC con componenti di sicurezza (ad esempio, i gruppi di sicurezza, le tabelle di routing, le liste di controllo degli accessi di rete o i gateway NAT)

  • Identificazione delle strategie di segmentazione della rete (ad esempio, tramite sottoreti pubbliche e sottoreti private)

  • Integrazione di servizi AWS per applicazioni sicure (ad esempio, AWS Shield, AWS WAF, Centro identità IAM o AWS Secrets Manager)

  • Protezione delle connessioni di rete esterne da e verso il cloud AWS (ad esempio, VPN o AWS Direct Connect)

Attività 1.3: Identificazione dei controlli di sicurezza dei dati appropriati

Conoscenza di:

  • Accesso ai dati e governance dei dati

  • Recupero dei dati

  • Conservazione e classificazione dei dati

  • Crittografia e gestione appropriata delle chiavi

Competenze in:

  • Allineamento delle tecnologie AWS per soddisfare i requisiti di conformità

  • Crittografia dei dati a riposo (ad esempio, AWS KMS)

  • Crittografia dei dati in transito, ad esempio Gestione certificati AWS (ACM) tramite TLS

  • Implementazione di policy di accesso per le chiavi di crittografia

  • Implementazione di backup e repliche dei dati

  • Implementazione di policy per l'accesso ai dati e per il ciclo di vita e la protezione dei dati

  • Rotazione delle chiavi di crittografia e rinnovo dei certificati