Bài viết được sự cho phép bởi tác giả Lê Ngọc Hiếu
-
Foundational: AWS Certified Cloud Practitioner (CP)
-
Associate: AWS Certified Solutions Architect – Associate (SAA)
-
Professional: AWS Certified Solutions Architect – Professional (SAP)
-
Specialty: AWS Certified Security – Specialty (SCS)
I. AWS Certified Solutions Architect – Associate (SAA)
-
Thời gian ôn tập: 3 tháng
-
Mình bắt đầu ôn luyện chứng chỉ SAA trước, theo mình đây là chứng chỉ quan trọng nhất vì nó đánh dấu bước ngoặt đầu tiên với Cloud và khi có SAA các bạn sẽ có nền tảng tốt để đi lên các chứng chỉ cao hơn
-
Đầu tiên, mình tham gia khóa học huyền thoại của thầy Stephane Maarek trên Udemy-Fsoft, sau đó học các khóa giải đề. Học lý thuyết mất khoảng một tháng, sau đó mình dành ra 2 tháng để giải đề và làm Lab
II. AWS Certified Cloud Practitioner (CP)
-
Thời gian ôn tập: 3 ngày
-
CP là một bước khởi đầu tốt để làm quen với nền tảng AWS. Nhưng nếu bạn có kinh nghiệm làm việc nhiều với Cloud rồi thì có thể bỏ qua CP, hoặc thi SAA trước, nếu có thời gian thì lấy luôn CP
-
Đối với CP thì mình cũng lựa chọn khóa học của thầy Stephane Maarek sau đó giải đề cho tới khi kết quả trung bình 80-90% thì đăng ký thi
III. AWS Certified Solutions Architect – Professional (SAP)
-
Thời gian ôn tập: 5 tháng
-
Bản thân mình thấy kiến thức của AWS SAP rất rộng và đòi hiểu hiểu kĩ về các solution, có rất nhiều services, use cases hay và lạ nhưng lại khó có cơ hội được tiếp cận (ví dụ như các service về migration, hybrid cloud,…).
-
Các giá trị mang lại từ AWS SAP:
-
Có khả năng đưa ra hướng dẫn thực hành tốt nhất về thiết kế kiến trúc trên nhiều ứng dụng và dự án
-
Có khả năng vạch ra các mục tiêu đối với yêu cầu về ứng dụng, kiến trúc
-
Có khả năng đánh giá các yêu cầu của ứng dụng đám mây
-
Có khả năng thiết kế một kiến trúc kết hợp bằng các công nghệ chính của AWS
-
Đưa ra được khuyến nghị về kiến trúc cho khâu thực thi, triển khai và cung cấp ứng dụng trên AWS
Quá trình học:
-
Mình dành khoảng 5 tháng để ôn thi, ôn đều đặn mỗi ngày 2-3 tiếng từ thứ 2 tới thứ sáu, riêng thứ bảy chủ nhật mình dành mỗi ngày 4-8 tiếng để ôn luyện
-
Tháng đầu mình dành thời gian để xem các khóa học trên Udemy Fsoft video và đọc bài giảng, document…
-
Tháng tiếp theo mình tập trung làm Lab trên các diễn đàn Cloud, ôn lại kiến thức cũ và xem thêm các CheatSheet
-
3 tháng tiếp theo là giai đoạn giải đề và ghi chú lại những điểm chưa biết hoặc dễ nhầm lẫn. Hai tháng đầu của giai đoạn này khá khó khăn, lần đầu làm đề sẽ loanh quanh 50-65 %, mình cần giành thời gian để đọc lại tất cả đáp án, xem vì sao câu này lại đúng, vì sao câu kia sai, và làm cách nào để chỉnh lại các câu sai cho đúng… Trung bình làm và sửa một đề sẽ mất một tuần.
-
Tháng cuối mình dành thời gian giải qua các bộ đề lần cuối, ở giai đoạn này mình làm đề trung bình trên 80, có nhiều đề được 90-100%
-
Mình đánh giá bộ đề của Dojo sát với đề thi thật nhất, đề của Stephane khó hơn một chút. Đề của Neal sẽ dàn trải theo từng chuyên đề (Network, Migrate, Computer…)
IV. AWS Certified Security – Specialty (SCS)
-
Thời gian ôn tập: 2 tháng
-
Về chứng chỉ SCS mình xin phép chia sẻ chi tiết hơn
1. Tổng quan
Bản thân mình thấy kiến thức của AWS Security Specialty đi sâu về mảng bảo mật, làm sao bảo vệ và ngăn chặn tấn công vào infrastructure, application, data, các phương pháp mã hóa data,… không quá nhiều service như AWS Solution Architect Professional nhưng đòi hỏi hiểu sâu về các security service (IAM, Guard Duty, WAF,…), có rất nhiều use cases hay và lạ và khó có cơ hội được tiếp cận thực tế (ví dụ như các kịch bản bảo mật cho Hybrid Cloud, phòng thủ và ngăn chặn tất công DDOS, TOP 10 OWASP,…). Những bạn đã hiểu và nắm chắc về các service security của AWS, hoặc đã có kinh nghiệm security sẽ có lợi thế.
Đề thi SCS gồm 65 câu với điểm pass là 750 điểm, tổng thời gian làm bài 3h30’ (Được cộng 30 phút theo chính sách của AWS), chi phí thi 300$. Lúc làm bài khá căng thẳng, nhất là những câu chọn nhiều đáp án (2 trong 5, 3 trong 6).
Có nhiều câu lạ và dài, kéo tới 2 màn hình vẫn chưa hết đề. Độ lắt léo đánh võng của đề cũng rất cao. Nhất là những câu hỏi Policy cần để ý kĩ từng dấu từng chữ trong đáp án.
2. Đăng ký & Địa điểm thi
Rút kinh nghiệm từ lần trước, sáng thứ 4 thi thì mình đăng ký từ thứ 2. Không đăng ký quá sớm để tránh lo lắng
Địa điểm thì vẫn chọn Công Ty TNHH Tín Bảo Lan, phòng ốc mát mẻ, yên tĩnh. Thủ tục check-in nhanh gọn, trong lúc thi có thể ra ngoài uống nước và đi vệ sinh. Có điều lần này 3 bạn thi cùng một phòng nên thỉnh thoảng mất tập trung vì… tiếng click chuột
3. Cách học
3.1. Quá trình học:
-
Mình dành 2 tháng để ôn thi, ôn đều đặn mỗi ngày 3-4 tiếng buổi tối từ thứ 2 tới thứ sáu, riêng thứ bảy chủ nhật mình dành mỗi ngày 4-8 tiếng để ôn luyện
-
Tháng đầu tập trung học các khóa học trên Udemy Fsoft và đọc bài giảng, document, và làm Lab
-
Tháng hai chuyển sang giai đoạn giải đề và ghi chú lại những điểm chưa biết hoặc dễ nhầm lẫn
-
Nửa tháng đầu tiên khá khó khăn, lần đầu làm đề sẽ loanh quanh 50-60%, sau khi giải đề sẽ đọc lại tất cả đáp án, xem vì đúng, vì sao sai, và làm sao sửa lại các câu sai cho đúng
-
Nửa tháng tiếp theo sẽ giải lại đề lần 2 lần 3,… cho tới khi nào đạt ít nhất 80%, có nhiều đề được 90-95%
-
Đối với các chứng chỉ khác như AWS SAA, AWS SAP thì đề của Dojo sát với đề thi thật nhất (so với đề của Stephane Marrek và Neal Davis), nhưng với đề AWS SCS thì đề của Stephane Maarek sẽ sát với đề thi thật (bám sát với mã đề mới SCS-C02). Đề của Dojo chưa được cập nhật nhiều, phù hợp với mã đề cũ hơn (SCS-C01). Đề của Neal Davis sẽ dàn trải theo từng chuyên đề (Threat Detection and Incident Response, Security Logging and Monitoring,…).
Tham khảo việc làm Cloud cao, hấp dẫn trên TopDev!
3.2. Cách học:
-
Cách học của mình là ” 3W-1H ” What-Why-When-How
-
Kết hợp với việc mindmap lại kiến thức với nhau
-
Sử dụng Document, Whitepaper, Blog, Re:Invent, FAQ để tìm hiểu các thông tin liên quan service, user-case,…
-
So sánh với các service khác để tìm sự khác nhau trong mỗi use-case
-
Mã hóa data chia làm 3 cách client side, mã hóa trên đường truyền (in-transit), server side (at-rest)
-
Client side mã hóa như nào,…. in-transit sử dụng SSL thì sử dụng ACM như nào hay private cert như nào,….. server side thì dùng S3 hay dùng KMS,…..
-
Note lại kiến thức cần ghi nhớ vào file README hoặc Notion
3.3. Tài liệu:
-
Theo mình khóa hay và đầy đủ nhất vẫn là của Stephane Maarek, trọn bộ lý thuyết theo từng chuyên đề (tuy nhiên hầu như không có Lab)
-
FAQ trên trang tài liệu của AWS
-
AWS Re:Invent là nguồn tài liệu rất rất tốt để hiểu sâu về 1 dịch vụ, cũng như case study nào đó,….
-
Whitepaper, Document của AWS
-
Skillbuilder cũng cung cấp learning path rất chi tiết cho việc luyện thi chứng chỉ này.
3.4. Hands-on lab:
-
Thực sự thì kiếm được Lab của Security khá khó bởi nó liên quan đến rất nhiều thiết bị, đến các team Redteam, Blue Team, riêng về phần giả lập tấn công DDOS thì khá nhạy cảm vì chính sách của AWS không cho phép DDOS. Dưới đây là một số bài Lab mình sưu tầm được
3.5. Refers
Tham gia vào Các Group lớn, theo dõi các câu hỏi, các bình luận. Vừa là để học hỏi, vừa là có thể giúp đỡ ai đó nếu mình biết.
- Viet-AWS (AWSUG | Ho Chi Minh Da Nang Hanoi) https://www.facebook.com/groups/866046214213349
- AWS Study Group (https://www.facebook.com/groups/660548818043427)
- Exam guide: (https://aws.amazon.com/certification/certification-prep/)
- Docs: (https://docs.aws.amazon.com/)
4. Review đề
Bên dưới là phần review mình tham khảo từ nhiều nguồn cũng như kinh nghiệm đi thi của bản thân
4.1 Domain 1 – Incident Response
-
GuardDuty: Multi-account, add trusted IP Least (Chú ý Public hay Private Route table)
-
Security Hub: Custom-action trigger Eventbridge để remediate
-
Detective: Xem “who” đã disabled Cloudtrail
-
Về Compromised có đủ 2 loại là EC2 & Credentials (Account): Hiểu rõ các steps cần xử lý.
-
Khi EC2 access keys bị exposed thì cần delete ở `~/.ssh/authorized_keys` chứ không phải EC2 key pairs ngoài EC2 console. (Nếu nhiều EC2 thì dùng SSM Run Command)
-
Connect EC2 Linux khi lost SSH key pair
-
Khi nhận “AWS Abuse Report” thì cần explains step-by-step và đưa ra solution để tránh in the future
4.2 Domain 2 – Logging and Monitoring (Khá nhiều questions)
-
Cấu hình hệ thống log tập trung, các giải pháp collect log tập trung, troubleshoot.
-
Flow enable WAF logs phải đi qua Kinesis Data Firehose thay vì Kinesis Data Stream rồi mới tới S3 được
-
SSM System Manager: Chủ yếu là the best secure way to connect to EC2 without SSH, và có thêm enable logging command for audit purpose
-
CW Agent: Troubleshooting khi instance đột nhiên ngừng push logs
-
CW Logs Metric Filter: Để monitor tới những api call nhiều lần mà bị fail, rồi notify về SNS
-
S3 enabled object logs kết hợp vs Athena và Quicksight to visualize lên dashboard (Bản thân Athena có 1 question riêng là thiếu permission cho Quicksight access tới S3 bucket result của Athena push qua)
-
Cloudtrail cho multi-region existing and future luôn.
-
VPC Traffic Mirroring: đề yêu cầu inspect đc cả pkg info (Nếu chỉ VPC Flow Logs chỉ là IP address info)
4.3 Domain 3 – Infrastructure security
-
Cấu hình security cho các giải pháp như ALB, Route53, CloudFront,…. giả định các case tấn công và biện pháp phòng thủ.
-
Có 1 câu liên quan tới Bastion Host: là cấu hình SG (Chú ý port in/out) cho flow ALB -> App Server -> DB và cần thêm Bastion Host để connect tới private App server cũng như là upgrade DB. (Chú ý diff giữa CIDR vs Company IP Address)
-
Cần cấu hình gì để connect EC2 ở PRIVATE subnets via SSM Session Manager (Lúc này cần đủ các VPC Interface Endpoints như ssm, ssmec2messages, etc..).
-
Chú ý về “Create new NACL” thì by default sẽ deny outbound rules nên cần allow Ephemeral Ports.
-
Cloudfront: đề muốn latency-sensitive và ngăn attack như SQL injection, XSS, … thì gắn thêm WAF
-
OAI thì cũ, không có work native với KMS mà cần tới Lambda@Edge, OAC mới hơn thì có native
-
Motitor các CW metric của Shield (Mình nhớ 1 số metric như DDoSDetected, DDoSAttackRequestsPerSecond) để biết đang có DDoss tấn công
-
Thêm 1 câu DDos mitigation dùng tới Shield & WAF (Thật ra service này chỉ giảm thiểu khi dùng tới Rate-limits rule để tránh multi request for the same IP in short time)
-
Route 53 – Enable DNSSEC: Mô tả các steps trước đó, giờ cần “Add thêm DS record vào PARENT host zone”
4.4 Domain 4 – Identity and Access Management
Liên quan đến cấu hình permission cho IAM, cho các federated, Policy, 3rd party
4.5 Domain 5 – Data Protection
Key concept ở đây là Encryption & Decryption. Yêu cầu hiểu được cách hoạt động của KMS, HSM, ACM, các loại mã hóa client/server side, mã hóa trên đường truyền
4.6 Domain 6 – Management and Security Governance
- Liên quan đến vấn đề bảo mật cho môi trường Multi-account, đánh giá bảo mật trên Cloud
-
Trong hành trình ôn thi chứng chỉ AWS, mình đã gặp nhiều khó khăn và thách thức, nhưng đó cũng là một quá trình học hỏi đầy giá trị. Hy vọng rằng những chia sẻ và kinh nghiệm của mình trong bài viết này có thể giúp các bạn tự tin hơn khi bước vào hành trình ôn thi chứng chỉ AWS
Hãy nhớ rằng, việc ôn thi AWS không chỉ giúp bạn nâng cao kiến thức và kỹ năng, mà còn mở ra cơ hội mới trong sự nghiệp của bạn. Hãy luôn duy trì sự kiên nhẫn và đam mê trong quá trình học tập. Hãy tự tin, học hỏi và chia sẻ kiến thức của bạn với cộng đồng AWS. Chúc các bạn thành công trong việc ôn thi và đạt được những chứng chỉ quý báu của AWS.
Bài viết gốc được đăng tải tại group GenZ làm IT
Xem thêm: