CCSP(Certified Cloud Security Professional) 国际注册云安全专家
2022年8月1日开始,在中国的北上广设置考点,需要考试的朋友不需要去国外考试了,相信伴随这个信息,国内将掀起学习云安全的热潮。
CCSP 考试内容 CCSP 考试范围认证云安全专家 (CCSP) 考试涵盖以下领域 云概念、架构和设计 (17%) 云数据安全 (20%) 云平台和基础设施安全 (17%) 云应用安全 (17%) 云安全运营 (16%) 法律、风险和合规 (13%)
更多信息参考2022/8/1 CCSP认证考试大纲
领域1: 云概念、架构和设计- 了解云计算概念 云计算定义 云计算角色和职责(例如,云服务客户、云服务供应商、云服务合作伙伴、云服务代理、监管机构) 云计算关键特性(例如,按需自助服务、广泛的网络访问、多租户、快速弹性和可伸缩性、资源池化、可度量服务) 构建块技术(例如,虚拟化、存储、联网、数据库、编排)
- 描述云计算参考架构
- 了解与云计算相关的安全概念
- 了解安全云计算的设计原则 » 云安全数据生命周期 » 基于云的业务连续性 (BC) 和灾难恢复 (DR) 计划 » 业务影响分析 (BIA)(例如,成本效益分析、投资回报率 (ROI)) » 功能安全要求(例如,可移植性、互操作性、供应商锁定) » 不同云类别的安全注意事项和责任(例如,软件即服务 (SaaS)、基础设施即服务 (IaaS)、平台即服务 (PaaS)) » 云设计模式(例如,SANS 安全原则、架构完善的框架、云安全联盟 (CSA) 企业架构) » DevOps 安全
- 评估云服务供应商 » 根据标准进行验证(例如,国际标准组织/国际电子技术委员会 (ISO/IEC) 27017、支付卡行业数据安全标准 (PCI DSS)) » 系统/子系统产品认证(例如,通用标准 (CC)、联邦信息处理标准 (FIPS) 140-2)
» 云数据生命周期阶段 » 数据分散 » 数据流
设计和实现云数据存储架构» 存储类型(例如,长期、临时、原始存储) » 对存储类型的威胁
设计和应用数据安全技术和策略 实现数据发现» 结构化数据 » 非结构化数据 » 半结构化数据 » 数据位置
计划和实现数据分类 设计和实现信息权限管理 (IRM)» 目标(例如,数据权限、访问、访问模型) » 适当的工具(例如,颁发和撤销证书) » 加密和密钥管理 » 散列 » 数据混淆(例如,屏蔽、匿名化) » 令牌化 » 数据丢失防护 (DLP) » 密钥、机密和证书管理 » 数据分类策略 » 数据映射 » 数据标记
规划和实施数据保留、删除和归档策略» 数据保留策略 » 数据删除程序和机制 » 数据归档程序和机制 » 依法保留
设计和实施数据事件的可审计性、可追溯性和责任性» 事件源的定义和事件属性的要求(例如,身份、互联网协议 (IP) 地址、地理位置) » 数据事件的日志记录、存储和分析 » 监管链和不可抵赖性
更多信息参考2022/8/1 CCSP认证考试大纲
领域 3:云平台和基础架构安全 理解云基础架构和平台组件» 物理环境 » 网络与通信 » 计算 » 虚拟化 » 存储 » 管理平面
设计安全的数据中心» 逻辑设计(例如,租户分区、访问控制) » 物理设计(例如,位置、购买或建造) » 环境设计(例如,供暖、通风与空调 (HVAC)、多供应商通路连接) » 设计弹性
分析与云基础架构和平台相关的风险» 风险评估(例如,识别、分析) » 云漏洞、威胁和攻击 » 风险缓解策略
计划和实现安全控制» 物理和环境保护(例如,内部部署) » 系统、存储和通信保护 » 云环境中的识别、认证和授权 » 审计机制(例如,日志收集、关联、数据包捕获)
计划业务连续性(BC)和灾难恢复(DR)» 业务连续性 (BC) / 灾难恢复 (DR) 策略 » 业务需求(例如,恢复时间目标 (RTO)、恢复点目标 (RPO)、恢复服务级别) » 计划的创建、实施和测试
领域4: 云应用安全 倡导应用程序安全性的培训和意识» 云开发基础 » 常见陷阱 » 常见云漏洞(例如,开放网端应用安全项目 (OWASP) 10 大风险、SANS 前 25 个最危险的软件错误)
描述安全软件开发生命周期 (SDLC) 流程» 业务需求 » 阶段和方法(例如,设计、编码、测试、维护、瀑布式与敏捷)
应用安全软件开发生命周期 (SDLC)» 云特定风险 » 威胁建模(例如,欺骗、篡改、抵赖、信息泄露、拒绝服务和特权提升 (STRIDE);灾难、可重现性、可利用性、受影响用户与可发现性 (DREAD);架构、威胁、攻击面和缓解措施(ATASM);攻击模拟和威胁分析过程 (PASTA)) » 避免开发过程中的常见漏洞 » 安全编码(例如,开放web应用安全项目 (OWASP) 应用安全检验标准 (ASVS)、卓越代码软件保障论坛 (SAFECode)) » 软件配置管理和版本控制
应用云软件保障和验证» 功能和非功能测试 » 安全测试方法(例如,黑盒、白盒、静态、动态、软件组成分析 (SCA)、交互式应用程序安全测试 (IAST)) » 质量保证 (QA) » 滥用案例测试
使用经过验证的安全软件» 保护应用编程接口 (API) » 供应链管理(例如,供应商评估) » 第三方软件管理(例如,许可) » 经过验证的开源软件
了解云应用架构的细节» 补充安全组件(例如,web应用防火墙 (WAF)、数据库活动监控 (DAM)、 可扩展标记语言 (XML) 防火墙、应用编程接口 (API) 网关) » 密码学 » 沙盒 » 应用程序虚拟化和编排(例如,微服务、容器)
设计适当的身份和访问管理 (IAM) 解决方案» 联合身份 » 身份提供商 (IdP) » 单点登录 (SSO) » 多因子验证 (MFA) » 云访问安全代理 (CASB) » 密钥/凭据管理
云安全运营 为云环境构建和实现物理和逻辑基础架构» 硬件特定的安全配置要求(例如,硬件安全模块 (HSM) 和可信赖平台模块 (TPM)) » 管理工具的安装和配置 » 虚拟硬件特定的安全配置要求(例如,网络、存储、内存、中央处理器 (CPU)、Hypervisor 类型 1 和 2) » 安装客户操作系统 (OS) 虚拟化工具集
运行和维护云环境的物理和逻辑基础架构» 本地和远程访问的访问控制(例如,远程桌面协议 (RDP)、安全终端访问、安全外壳 (SSH)、基于控制台的访问机制、跳板机、虚拟客户端) » 安全网络配置(例如,虚拟局域网 (VLAN)、传输层安全 (TLS)、动态主机配置协议 (DHCP)、域名系统安全扩展 (DNSSEC)、虚拟专用网络 (VPN)) » 网络安全控制(例如防火墙、入侵检测系统 (IDS)、入侵防御系统 (IPS)、蜜罐、漏洞评估、网络安全组、堡垒主机) » 通过应用基线、监控和修复来强化操作系统 (OS)(例如 Windows、Linux、VMware) » 补丁管理 » 基础设施即代码 (IaC) 策略 » 集群主机的可用性(如分布式资源调度、动态优化、存储集群、维护模式、高可用性(HA) » 客户操作系统 (OS) 的可用性 » 性能和容量监控(例如,网络、计算、存储、响应时间) » 硬件监控(例如,磁盘、中央处理器 (CPU)、风扇速度、温度) » 主机和客户操作系统 (OS) 备份和恢复功能的配置 » 管理平面(例如,调度、编排、维护
实施运营控制和标准(例如,信息技术基础架构库 (ITIL)、国际标准组织/国际电子技术委员会(ISO/IEC) 20000-1) » 变更管理 » 连续性管理 » 信息安全管理 » 连续的服务改进管理 » 事故管理 » 问题管理
管理与相关方的沟通» 供应商 » 客户 » 合作伙伴 » 监管机构 » 其他利益相关者
支持数字取证» 取证数据收集方法 » 证据管理 » 收集、获取和保存数字证据
管理安全运营» 安全运营中心 (SOC) » 安全控制的智能监控(例如,防火墙、入侵检测系统 (IDS)、入侵防御系统 (IPS)、蜜罐、网络安全组、 人工智能 (AI)) » 日志捕获和分析(例如,安全信息和事件管理 (SIEM)、日志管理) » 事故管理 » 漏洞评估
领域 6:法律、风险和合规 明确云环境中的法律要求和独特风险» 国际法律冲突 » 云计算特有的法律风险评估 » 法律框架和准则 » eDiscovery(例如,国际标准组织/国际电子技术委员会 (ISO/IEC) 27050、云安全联盟 (CSA) 指引) » 取证要求
了解云环境的审计流程、方法和必要的调整» 内部和外部审计控制 » 审计要求的影响 » 确定虚拟化和云的保障挑战 » 审计报告的类型(例如,关于认证业务标准的声明 (SSAE)、服务组织控制 (SOC)、国际鉴证业务准则 (ISAE)) » 审计范围声明的限制(例如,关于认证业务标准的声明 (SSAE)、国际鉴证业务准则 (ISAE)) » 差距分析(例如,控制分析、基线) » 审计计划 » 内部信息安全管理系统
» 内部信息安全控制系统 » 策略(例如,组织、功能、云计算) » 相关利益相关者的识别和参与 » 受到严格监管行业的特殊合规要求(例如,北美电力可靠性公司/关键基础设施保护 (NERC / CIP)、健康保险便捷与责任法案 (HIPAA)、经济与临床医疗保健信息科技 (HITECH) 法案、支付卡行业 (PCI)) » 分布式信息技术 (IT) 模型的影响(例如,不同的地理位置和跨越法律管辖区)
了解外包和云合同设计» 业务要求(例如,服务等级协议 (SLA)、主服务协议 (MSA)、工作陈述 (SOW)) » 供应商管理(例如,供应商评估、供应商锁定风险、供应商生存能力、托管) » 合同管理(例如,审计权、指标、定义、终止、诉讼、保证、合规、访问云/数据、网络风险保险) » 供应链管理(例如,国际标准组织/国际电子技术委员会 (ISO/IEC) 27036)
更多信息参考2022/8/1 CCSP认证考试大纲
