内容领域 3： 基础设施安全性

技能 3.1.1： 根据预计的威胁和攻击，定义和选择边缘安全策略。

技能 3.1.2： 实施适当的网络边缘保护措施（例如，CloudFront 标头、AWS WAF、AWS IoT 策略、防御 OWASP 十大威胁、Amazon S3 跨源资源共享 [CORS]、Shield Advanced）。

技能 3.1.3： 根据要求（例如，地理位置、定位、速率限制、客户端指纹识别），设计和实施 AWS 边缘控制措施和规则。

技能 3.1.4： 配置与 AWS 边缘服务和第三方服务的集成（例如，以 Open Cybersecurity Schema Framework [OCSF] 格式摄取数据，使用第三方 WAF 规则等）。

技能 3.2.1： 设计和实施强化的 Amazon EC2 AMI 和容器映像，用于保护计算工作负载并嵌入安全控制措施（例如，Systems Manager、EC2 Image Builder）。

技能 3.2.2： 正确地应用实例配置文件、服务角色和执行角色，用于授权计算工作负载。

技能 3.2.3： 扫描计算资源中是否存在已知漏洞（例如，使用 Amazon Inspector 扫描容器映像和 Lambda 函数，使用 GuardDuty 监控计算运行时）。

技能 3.2.4： 实施自动更新流程并集成持续验证方法（例如，Systems Manager 补丁管理器、Amazon Inspector），来跨计算资源部署补丁，确保环境安全且合规。

技能 3.2.5： 配置对计算资源进行安全的管理访问（例如，Systems Manager Session Manager、EC2 Instance Connect）。

技能 3.2.6： 配置安全工具，发现和修复管道中的漏洞（例如，Amazon Q Developer、Amazon CodeGuru 安全防御工具）。

技能 3.2.7： 为生成式人工智能应用程序实施保护和防护机制（例如，根据 OWASP 生成式人工智能十大安全风险，保护大型语言模型应用程序）。

技能 3.3.1： 设计相应的网络控制措施，根据需要允许或阻止网络流量，以及进行故障排除（例如，安全组、网络 ACL、AWS Network Firewall）。

技能 3.3.2： 设计混合环境和多云网络之间的安全连接（例如 AWS Site-to-Site VPN、AWS Direct Connect、MAC Security [MACsec]）。

技能 3.3.3： 针对混合环境与 AWS 之间的通信，确定并配置安全工作负载要求（例如，使用 AWS Verified Access）。

技能 3.3.4： 根据安全要求设计网络分段（例如，北/南流量和东/西流量保护、隔离子网）。

技能 3.3.5： 识别不必要的网络访问（例如，AWS Verified Access、Network Access Analyzer、Amazon Inspector Network Reachability 发现）。