Domínio do conteúdo 3: Segurança de infraestrutura

Habilidade 3.1.1: Definir e selecionar estratégias de segurança de borda com base nas ameaças e ataques previstos.

Habilidade 3.1.2: Implementar a proteção apropriada da borda da rede (por exemplo, cabeçalhos do CloudFront, AWS WAF, políticas do AWS IoT, proteção contra as ameaças indicadas no Top 10 do OWASP, compartilhamento de recursos de origem cruzada [CORS] do Amazon S3, Shield Avançado).

Habilidade 3.1.3: Projetar e implementar controles de borda e regras da AWS com base nos requisitos (por exemplo, geografia, geolocalização, limitação de taxa, impressão digital do cliente).

Habilidade 3.1.4: Configurar integrações com serviços de borda da AWS e serviços de terceiros (por exemplo, ingerir dados no formato Open Cybersecurity Schema Framework [OCSF], usando regras WAF de terceiros).

Habilidade 3.2.1: Projetar e implementar AMIs reforçadas do Amazon EC2 e imagens de contêiner para proteger workloads de computação e incorporar controles de segurança (por exemplo, Systems Manager, EC2 Image Builder).

Habilidade 3.2.2: Aplicar perfis de instância, perfis de serviço e perfis de execução de forma adequada para autorizar workloads de computação.

Habilidade 3.2.3: Verificar os recursos de computação em busca de vulnerabilidades conhecidas (por exemplo, verificar imagens de contêineres e funções do Lambda usando o Amazon Inspector, monitorar os runtimes de computação usando o GuardDuty).

Habilidade 3.2.4: Implantar patches em recursos de computação para manter ambientes seguros e em conformidade, automatizando os processos de atualização e integrando a validação contínua (por exemplo, Gerenciador de Patches do Systems Manager, Amazon Inspector).

Habilidade 3.2.5: Configurar o acesso administrativo seguro aos recursos de computação (por exemplo, Systems Manager Session Manager, EC2 Instance Connect).

Habilidade 3.2.6: Configurar ferramentas de segurança para descobrir e corrigir vulnerabilidades em um pipeline (por exemplo, Amazon Q Developer, Amazon CodeGuru Security).

Habilidade 3.2.7: Implementar proteções e barreiras de proteção para aplicações de IA generativa (por exemplo, aplicar as proteções do Top 10 de IA generativa do OWASP para aplicações de LLM).

Habilidade 3.3.1: Projetar e solucionar problemas de controles de rede apropriados para permitir ou impedir o tráfego de rede conforme necessário (por exemplo, grupos de segurança, ACLs de rede, AWS Network Firewall).

Habilidade 3.3.2: Criar conectividade segura entre redes híbridas e de várias nuvens (por exemplo, AWS Site-to-Site VPN, AWS Direct Connect, MAC Security [MACsec]).

Habilidade 3.3.3: Determinar e configurar os requisitos de workload de segurança para comunicação entre ambientes híbridos e a AWS (por exemplo, usando o Acesso Verificado pela AWS).

Habilidade 3.3.4: Projetar a segmentação da rede com base nos requisitos de segurança (por exemplo, proteções de tráfego norte/sul e leste/oeste, sub-redes isoladas).

Habilidade 3.3.5: Identificar o acesso desnecessário à rede (por exemplo, Acesso Verificado pela AWS, Network Access Analyzer, descobertas de acessibilidade de rede do Amazon Inspector).