# 内容领域 4： 网络安全、合规性和监管
<a name="advanced-networking-specialty-01-domain4"></a>

**Topics**
+ [任务 4.1： 实施和维护网络功能，以便满足安全和合规性需求及要求](#advanced-networking-specialty-01-domain4-task1)
+ [任务 4.2： 使用网络监控和日志记录服务验证和审计安全性](#advanced-networking-specialty-01-domain4-task2)
+ [任务 4.3： 实施和维护数据及网络通信的机密性](#advanced-networking-specialty-01-domain4-task3)

## 任务 4.1： 实施和维护网络功能，以便满足安全和合规性需求及要求
<a name="advanced-networking-specialty-01-domain4-task1"></a>

掌握以下知识：
+ 基于应用程序架构的不同威胁模型
+ 常见的安全威胁
+ 保护不同应用程序流的机制
+ 满足安全性和合规性要求的 AWS 网络架构

具备以下技能：
+ 保护流入 AWS 的入站流量（例如 AWS WAF、AWS Shield、Network Firewall）
+ 保护来自 AWS 的出站流量（例如，Network Firewall、代理、网关负载均衡器）
+ 保护账户内或跨多个账户的 VPC 间流量安全（例如，安全组、网络 ACL、VPC 端点策略）
+ 实施 AWS 网络架构以满足安全性和合规性要求（例如，不受信任的网络、外围 VPC、三层架构）
+ 为给定的网络架构开发威胁模型并确定适当的缓解策略
+ 测试是否符合初始要求（例如，故障转移测试、韧性）
+ 使用 AWS 自动报告安全事件和警报

## 任务 4.2： 使用网络监控和日志记录服务验证和审计安全性
<a name="advanced-networking-specialty-01-domain4-task2"></a>

掌握以下知识：
+ AWS 中可用的网络监控和日志记录服务（例如 CloudWatch、AWS CloudTrail、VPC Traffic Mirroring、VPC 流日志、Transit Gateway Network Manager）
+ 警报机制（例如 CloudWatch 警报）
+ 不同 AWS 服务中的日志创建（例如，VPC 流日志、负载均衡器访问日志、CloudFront 访问日志）
+ 日志传输机制（例如 Amazon Kinesis、Route 53、CloudWatch）
+ 审计网络安全配置的机制（例如，安全组、AWS Firewall Manager、AWS Trusted Advisor）

具备以下技能：
+ 创建和分析 VPC 流日志（包括流日志的基本字段和扩展字段）
+ 创建和分析网络流量镜像（例如，使用 VPC Traffic Mirroring）
+ 使用 CloudWatch 实施自动警报
+ 使用 CloudWatch 实施自定义指标
+ 跨单个或多个 AWS 日志源关联和分析信息
+ 实施日志传送解决方案
+ 跨单个或多个 AWS 网络服务和账户实施网络审计策略（例如，Firewall Manager、安全组、网络 ACL）

## 任务 4.3： 实施和维护数据及网络通信的机密性
<a name="advanced-networking-specialty-01-domain4-task3"></a>

掌握以下知识：
+ AWS 上可用的网络加密选项
+ 通过 Direct Connect 建立 VPN 连接
+ 传输中数据的加密方法（例如 IPsec）
+ AWS 责任共担模式下的网络加密
+ 适用于 DNS 通信的安全方法（例如 DNSSEC）

具备以下技能：
+ 实施网络加密方法以满足应用程序合规性要求（例如 IPsec、TLS）
+ 实施加密解决方案来保护传输中的数据（例如，CloudFront、应用程序负载均衡器和网络负载均衡器、Direct Connect 上的 VPN、AWS 托管式数据库、Amazon S3、Amazon EC2 上的自定义解决方案、Transit Gateway）
+ 使用证书颁发机构实施证书管理解决方案（例如，ACM、AWS Private Certificate Authority [ACM PCA]）
+ 实施安全的 DNS 通信