CCSP(Certified Cloud Security Professional) 国际注册云安全专家
2022年8月1日开始,在中国的北上广设置考点,需要考试的朋友不需要去国外考试了,相信伴随这个信息,国内将掀起学习云安全的热潮。
CCSP 考试内容
CCSP 考试范围
认证云安全专家 (CCSP) 考试涵盖以下领域
云概念、架构和设计 (17%)
云数据安全 (20%)
云平台和基础设施安全 (17%)
云应用安全 (17%)
云安全运营 (16%)
法律、风险和合规 (13%)
更多信息参考2022/8/1 CCSP认证考试大纲
领域1: 云概念、架构和设计
- 了解云计算概念
云计算定义
云计算角色和职责(例如,云服务客户、云服务供应商、云服务合作伙伴、云服务代理、监管机构)
云计算关键特性(例如,按需自助服务、广泛的网络访问、多租户、快速弹性和可伸缩性、资源池化、可度量服务)
构建块技术(例如,虚拟化、存储、联网、数据库、编排) - 描述云计算参考架构
- 了解与云计算相关的安全概念
- 了解安全云计算的设计原则
» 云安全数据生命周期
» 基于云的业务连续性 (BC) 和灾难恢复 (DR) 计划
» 业务影响分析 (BIA)(例如,成本效益分析、投资回报率 (ROI))
» 功能安全要求(例如,可移植性、互操作性、供应商锁定)
» 不同云类别的安全注意事项和责任(例如,软件即服务 (SaaS)、基础设施即服务 (IaaS)、平台即服务 (PaaS))
» 云设计模式(例如,SANS 安全原则、架构完善的框架、云安全联盟 (CSA) 企业架构)
» DevOps 安全 - 评估云服务供应商
» 根据标准进行验证(例如,国际标准组织/国际电子技术委员会 (ISO/IEC) 27017、支付卡行业数据安全标准 (PCI DSS))
» 系统/子系统产品认证(例如,通用标准 (CC)、联邦信息处理标准 (FIPS) 140-2)
领域2: 云数据安全
描述云数据概念
» 云数据生命周期阶段
» 数据分散
» 数据流
设计和实现云数据存储架构
» 存储类型(例如,长期、临时、原始存储)
» 对存储类型的威胁
设计和应用数据安全技术和策略
实现数据发现
» 结构化数据
» 非结构化数据
» 半结构化数据
» 数据位置
计划和实现数据分类
设计和实现信息权限管理 (IRM)
» 目标(例如,数据权限、访问、访问模型)
» 适当的工具(例如,颁发和撤销证书)
» 加密和密钥管理
» 散列
» 数据混淆(例如,屏蔽、匿名化)
» 令牌化
» 数据丢失防护 (DLP)
» 密钥、机密和证书管理
» 数据分类策略
» 数据映射
» 数据标记
规划和实施数据保留、删除和归档策略
» 数据保留策略
» 数据删除程序和机制
» 数据归档程序和机制
» 依法保留
设计和实施数据事件的可审计性、可追溯性和责任性
» 事件源的定义和事件属性的要求(例如,身份、互联网协议 (IP) 地址、地理位置)
» 数据事件的日志记录、存储和分析
» 监管链和不可抵赖性
更多信息参考2022/8/1 CCSP认证考试大纲
领域 3:云平台和基础架构安全
理解云基础架构和平台组件
» 物理环境
» 网络与通信
» 计算
» 虚拟化
» 存储
» 管理平面
设计安全的数据中心
» 逻辑设计(例如,租户分区、访问控制)
» 物理设计(例如,位置、购买或建造)
» 环境设计(例如,供暖、通风与空调 (HVAC)、多供应商通路连接)
» 设计弹性
分析与云基础架构和平台相关的风险
» 风险评估(例如,识别、分析)
» 云漏洞、威胁和攻击
» 风险缓解策略
计划和实现安全控制
» 物理和环境保护(例如,内部部署)
» 系统、存储和通信保护
» 云环境中的识别、认证和授权
» 审计机制(例如,日志收集、关联、数据包捕获)
计划业务连续性(BC)和灾难恢复(DR)
» 业务连续性 (BC) / 灾难恢复 (DR) 策略
» 业务需求(例如,恢复时间目标 (RTO)、恢复点目标 (RPO)、恢复服务级别)
» 计划的创建、实施和测试
领域4: 云应用安全
倡导应用程序安全性的培训和意识
» 云开发基础
» 常见陷阱
» 常见云漏洞(例如,开放网端应用安全项目 (OWASP) 10 大风险、SANS 前 25 个最危险的软件错误)
描述安全软件开发生命周期 (SDLC) 流程
» 业务需求
» 阶段和方法(例如,设计、编码、测试、维护、瀑布式与敏捷)
应用安全软件开发生命周期 (SDLC)
» 云特定风险
» 威胁建模(例如,欺骗、篡改、抵赖、信息泄露、拒绝服务和特权提升 (STRIDE);灾难、可重现性、可利用性、受影响用户与可发现性 (DREAD);架构、威胁、攻击面和缓解措施(ATASM);攻击模拟和威胁分析过程 (PASTA))
» 避免开发过程中的常见漏洞
» 安全编码(例如,开放web应用安全项目 (OWASP) 应用安全检验标准 (ASVS)、卓越代码软件保障论坛 (SAFECode))
» 软件配置管理和版本控制
应用云软件保障和验证
» 功能和非功能测试
» 安全测试方法(例如,黑盒、白盒、静态、动态、软件组成分析 (SCA)、交互式应用程序安全测试 (IAST))
» 质量保证 (QA)
» 滥用案例测试
使用经过验证的安全软件
» 保护应用编程接口 (API)
» 供应链管理(例如,供应商评估)
» 第三方软件管理(例如,许可)
» 经过验证的开源软件
了解云应用架构的细节
» 补充安全组件(例如,web应用防火墙 (WAF)、数据库活动监控 (DAM)、
可扩展标记语言 (XML) 防火墙、应用编程接口 (API) 网关)
» 密码学
» 沙盒
» 应用程序虚拟化和编排(例如,微服务、容器)
设计适当的身份和访问管理 (IAM) 解决方案
» 联合身份
» 身份提供商 (IdP)
» 单点登录 (SSO)
» 多因子验证 (MFA)
» 云访问安全代理 (CASB)
» 密钥/凭据管理
云安全运营
为云环境构建和实现物理和逻辑基础架构
» 硬件特定的安全配置要求(例如,硬件安全模块 (HSM) 和可信赖平台模块 (TPM))
» 管理工具的安装和配置
» 虚拟硬件特定的安全配置要求(例如,网络、存储、内存、中央处理器 (CPU)、Hypervisor 类型 1 和 2)
» 安装客户操作系统 (OS) 虚拟化工具集
运行和维护云环境的物理和逻辑基础架构
» 本地和远程访问的访问控制(例如,远程桌面协议 (RDP)、安全终端访问、安全外壳 (SSH)、基于控制台的访问机制、跳板机、虚拟客户端)
» 安全网络配置(例如,虚拟局域网 (VLAN)、传输层安全 (TLS)、动态主机配置协议 (DHCP)、域名系统安全扩展 (DNSSEC)、虚拟专用网络 (VPN))
» 网络安全控制(例如防火墙、入侵检测系统 (IDS)、入侵防御系统 (IPS)、蜜罐、漏洞评估、网络安全组、堡垒主机)
» 通过应用基线、监控和修复来强化操作系统 (OS)(例如 Windows、Linux、VMware)
» 补丁管理
» 基础设施即代码 (IaC) 策略
» 集群主机的可用性(如分布式资源调度、动态优化、存储集群、维护模式、高可用性(HA)
» 客户操作系统 (OS) 的可用性
» 性能和容量监控(例如,网络、计算、存储、响应时间)
» 硬件监控(例如,磁盘、中央处理器 (CPU)、风扇速度、温度)
» 主机和客户操作系统 (OS) 备份和恢复功能的配置
» 管理平面(例如,调度、编排、维护
实施运营控制和标准(例如,信息技术基础架构库 (ITIL)、国际标准组织/国际电子技术委员会
(ISO/IEC) 20000-1)
» 变更管理
» 连续性管理
» 信息安全管理
» 连续的服务改进管理
» 事故管理
» 问题管理
管理与相关方的沟通
» 供应商
» 客户
» 合作伙伴
» 监管机构
» 其他利益相关者
支持数字取证
» 取证数据收集方法
» 证据管理
» 收集、获取和保存数字证据
管理安全运营
» 安全运营中心 (SOC)
» 安全控制的智能监控(例如,防火墙、入侵检测系统 (IDS)、入侵防御系统 (IPS)、蜜罐、网络安全组、
人工智能 (AI))
» 日志捕获和分析(例如,安全信息和事件管理 (SIEM)、日志管理)
» 事故管理
» 漏洞评估
领域 6:法律、风险和合规
明确云环境中的法律要求和独特风险
» 国际法律冲突
» 云计算特有的法律风险评估
» 法律框架和准则
» eDiscovery(例如,国际标准组织/国际电子技术委员会 (ISO/IEC) 27050、云安全联盟 (CSA) 指引)
» 取证要求
了解云环境的审计流程、方法和必要的调整
» 内部和外部审计控制
» 审计要求的影响
» 确定虚拟化和云的保障挑战
» 审计报告的类型(例如,关于认证业务标准的声明 (SSAE)、服务组织控制 (SOC)、国际鉴证业务准则 (ISAE))
» 审计范围声明的限制(例如,关于认证业务标准的声明 (SSAE)、国际鉴证业务准则 (ISAE))
» 差距分析(例如,控制分析、基线)
» 审计计划
» 内部信息安全管理系统
» 内部信息安全控制系统
» 策略(例如,组织、功能、云计算)
» 相关利益相关者的识别和参与
» 受到严格监管行业的特殊合规要求(例如,北美电力可靠性公司/关键基础设施保护 (NERC / CIP)、健康保险便捷与责任法案 (HIPAA)、经济与临床医疗保健信息科技 (HITECH) 法案、支付卡行业 (PCI))
» 分布式信息技术 (IT) 模型的影响(例如,不同的地理位置和跨越法律管辖区)
了解外包和云合同设计
» 业务要求(例如,服务等级协议 (SLA)、主服务协议 (MSA)、工作陈述 (SOW))
» 供应商管理(例如,供应商评估、供应商锁定风险、供应商生存能力、托管)
» 合同管理(例如,审计权、指标、定义、终止、诉讼、保证、合规、访问云/数据、网络风险保险)
» 供应链管理(例如,国际标准组织/国际电子技术委员会 (ISO/IEC) 27036)
更多信息参考2022/8/1 CCSP认证考试大纲