# 内容领域 3： 基础设施安全性
<a name="security-specialty-03-domain3"></a>

**Topics**
+ [任务 3.1： 针对网络边缘服务，设计、实施安全控制措施，以及进行故障排除](#security-specialty-03-domain3-task1)
+ [任务 3.2： 针对计算工作负载，设计、实施安全控制措施，以及进行故障排除](#security-specialty-03-domain3-task2)
+ [任务 3.3： 设计网络安全控制措施，以及进行故障排除](#security-specialty-03-domain3-task3)

## 任务 3.1： 针对网络边缘服务，设计、实施安全控制措施，以及进行故障排除
<a name="security-specialty-03-domain3-task1"></a>

具备以下技能：
+ 技能 3.1.1： 根据预计的威胁和攻击，定义和选择边缘安全策略。
+ 技能 3.1.2： 实施适当的网络边缘保护措施（例如，CloudFront 标头、AWS WAF、AWS IoT 策略、防御 OWASP 十大威胁、Amazon S3 跨源资源共享 [CORS]、Shield Advanced）。
+ 技能 3.1.3： 根据要求（例如，地理位置、定位、速率限制、客户端指纹识别），设计和实施 AWS 边缘控制措施和规则。
+ 技能 3.1.4： 配置与 AWS 边缘服务和第三方服务的集成（例如，以 Open Cybersecurity Schema Framework [OCSF] 格式摄取数据，使用第三方 WAF 规则等）。

## 任务 3.2： 针对计算工作负载，设计、实施安全控制措施，以及进行故障排除
<a name="security-specialty-03-domain3-task2"></a>

具备以下技能：
+ 技能 3.2.1： 设计和实施强化的 Amazon EC2 AMI 和容器映像，用于保护计算工作负载并嵌入安全控制措施（例如，Systems Manager、EC2 Image Builder）。
+ 技能 3.2.2： 正确地应用实例配置文件、服务角色和执行角色，用于授权计算工作负载。
+ 技能 3.2.3： 扫描计算资源中是否存在已知漏洞（例如，使用 Amazon Inspector 扫描容器映像和 Lambda 函数，使用 GuardDuty 监控计算运行时）。
+ 技能 3.2.4： 实施自动更新流程并集成持续验证方法（例如，Systems Manager 补丁管理器、Amazon Inspector），来跨计算资源部署补丁，确保环境安全且合规。
+ 技能 3.2.5： 配置对计算资源进行安全的管理访问（例如，Systems Manager Session Manager、EC2 Instance Connect）。
+ 技能 3.2.6： 配置安全工具，发现和修复管道中的漏洞（例如，Amazon Q Developer、Amazon CodeGuru 安全防御工具）。
+ 技能 3.2.7： 为生成式人工智能应用程序实施保护和防护机制（例如，根据 OWASP 生成式人工智能十大安全风险，保护大型语言模型应用程序）。

## 任务 3.3： 设计网络安全控制措施，以及进行故障排除
<a name="security-specialty-03-domain3-task3"></a>

具备以下技能：
+ 技能 3.3.1： 设计相应的网络控制措施，根据需要允许或阻止网络流量，以及进行故障排除（例如，安全组、网络 ACL、AWS Network Firewall）。
+ 技能 3.3.2： 设计混合环境和多云网络之间的安全连接（例如 AWS Site-to-Site VPN、AWS Direct Connect、MAC Security [MACsec]）。
+ 技能 3.3.3： 针对混合环境与 AWS 之间的通信，确定并配置安全工作负载要求（例如，使用 AWS Verified Access）。
+ 技能 3.3.4： 根据安全要求设计网络分段（例如，北/南流量和东/西流量保护、隔离子网）。
+ 技能 3.3.5： 识别不必要的网络访问（例如，AWS Verified Access、Network Access Analyzer、Amazon Inspector Network Reachability 发现）。