CCSP 雲端資安專家自修考試心得、準備方式與教材整理(Certified Cloud Security Professional)
雲端安全與新興科技是現今資安趨勢之一, ISC2 CCSP 是非特定廠商且權威、內容知識豐富的雲端資安管理證照!能夠讓雲端安全從業者學習到許多實用知識,身為 ISC2 Taiepi Chapter 的理監事成員,當然首選 CCSP 來研讀,也很開心在 2022 最後一天上班日能一次通過考試,最後也會簡單比較一下 CCSP 與 CCSK 的差異。
考試動機與 CCSP 介紹
業界最受推崇的兩個雲端安全證照是 (ISC)² CCSP 和雲安全聯盟 (CSA) 的 CCSK!
雲端服務與新興科技在這年頭很夯,特別是使用雲端服務時的安全,我也不例外地遇到了!公司的 RD 們主動來跟我們討論雲端上開發程式時候的資安議題,像是雲上資料保護、雲資料加密技術、雲組態安全、區塊鏈技術安全、容器安全、虛擬化安全、雲機房、雲架構設計與 GDPR 等,從雲管理到雲技術都問了我們一次,這時候我就認為需要一個系統化方式讓我去研讀全部的資安議題,雲端安全管理不是只有管理,還要了解基本的技術知識,如雲攻擊手法、雲端資安漏洞、虛擬化安全、雲事件調查、雲數位鑑識、雲資安設備、雲開發環境、雲架構設計與 API 安全等概念,涵蓋「前」、「中」、「後」才可以完整思考到各個問題,除了要有完整知識體系外,還要搭配豐富的雲端使用的實務經驗,才能提出最好的解決方案,市場上能結合雲管理與雲技術的資安專家/顧問真的很少,我還離這段好遙遠呢。
總合以上經驗,我默默的撿起 CCSP 這本雲資安大補帖來閱讀了,至少準備完可以知道我還缺乏什麼技能,認真準備開始算大概花了我一個多月的時間,先前已有許多管理與技術證照,讓我準備 CCSP 速度快很多!資安單位要善盡責任協助同仁解決問題,不要成為只會轉信的資安人!資訊與資安要互相合作,讓整體公司業務發展更加完善!
個人研讀 CCSP CBK 教材時感覺大多是觀念為主,但實際上場時候完全不覺得有這麼簡單,難度高於 CISSP 許多,不知道是我運氣不好還是知識不夠,我想是我能力不足,還有待持續學習,考 CISSP 時候覺得還蠻簡單的,而 CCSP 完全擁有全新感受,必須要有雲管理思維加上技術領域的概念。
也再聊一下,當過乙方四大的資安顧問也當過甲方資安人員,身為資安顧問/廠商有重大的使命,就是不要昧著良心說話,在這條路上,堅持做對的事情,說對的話,當個有良知能給合理建議的顧問 ,不懂不要裝懂 ; 同時甲方也要成為乙方的好戰友,該做的事情要自己做,不要把甲乙方變成上下關係拼命使喚,很多事情是甲方要自己學習並解決,有超過八成的資安管理問題不需要找外部顧問就能自己找到解答,期望甲乙方要同心協力互相成為對方的好夥伴!
每個人背景與感受不一樣,我的經驗和感想只能當參考,無法套在每個人身上,請自己調整
CCSP® 認證考試範圍(即為CCSP CBK 資訊安全通識體系六大領域):
CCSP®認證是二大安全組織-(ISC)2及 CSA (雲端安全聯盟)兩大國際原廠聯手打造的頂級雲端資安認證。透過此認證,主要用於表彰其持有者於資訊及雲端安全的專業與能力,藉此以協助組織維持重要雲端基礎設施的正常運作、免於危害。( source : uuu )
- Domain 1:Architectural Concepts & Design Requirements架構觀念與設計要求
- Domain 2:Cloud Data Security 雲端資料安全性
- Domain 3:Cloud Platform & Infrastructure Security 雲端平台與基礎設施安全性
- Domain 4:Cloud Application Security 雲端應用程式安全性
- Domain 5:Operations 作業
- Domain 6:Legal & Compliance 法律與遵循性
( 資料來源 : uuu )
ISC2 CCSP 統計人數(截止至 2022 / 7)
CCSP 考試大綱
與 CISSP 一樣,考試前請你務必看一下 Exam Outline ,確認自己對這些主題都有了解,考試體感上,如果僅有 CISSP 證照沒有技術背景,CCSP 準備的路途中可以多補充一些課外讀物,因為 CCSP 會結合管理與技術的風險,務必多閱讀不同教材,後面會提供參考資料。
我想把各種經驗寫出來做分享教學,希望把社群的分享風氣帶出來給大家。並期望之後有人也可以寫出不同的心得文,如果是自修同學對於申請考試和準備上有任何問題,可以透過 LinkedIn 交朋友與 Facebook 來聯絡我,能力範圍內盡量幫你解決(或是你想認識我出來喝杯咖啡也歡迎,我很喜歡多認識業界的朋友們交流,也真的不少人找我聊聊過了!)。
- 其他聯絡方式 : https://kuronetwork.me/contact/
- 所有文章: https://kuronetwork.me/posts/
- 關於我:https://kuronetwork.me/about/
- LinkedIn: https://www.linkedin.com/in/kurohuang/
- 我做的資安貼圖 :
剛入行新手想增加全面的資安核心觀念,建議念 ISC2 的 CC (Cybersecurity Certification)證照,大推
ISACA 考試延伸參考:
已取得(有付費的並持續更新)
- 2019.01 — Cisco Certified Network Associate : Routing and Switching (CCNA RS) (文化大學進修推廣部上課)
- 2019.11 — Network Security of Packet Analysis Course (NSPA)(重點整理)
- 2019.12 — EC-Council Certification Ethical Hacker (CEH) (心得)
- 2020.04 — Cisco Certified Network Professional: Enterprise (CCNP Enterprise)( Link )
- 2020.04 — VMware Certified Professional : Network Virtualization (VCP-NV)(心得點我)
- 2020.05 — Cisco Certified Network Professional : Security (CCNP Security )
- 2020.07 — Azure AZ-900 (心得點我)
- 2020.11 — EC-Council Certified Security Analyst (ECSA) & CPSA換證心得
2021 (心得連結在最後證照簡稱上)
- 2021.02 — Certified Threat Intelligence Analyst ( CTIA )
- 2021.04 — Certified Information Systems Auditor ( CISA )
- 2021.05 — EC-Council Certified SOC Analyst ( CSA )
- 2021.08 — Certified Information Systems Manager ( CISM )
- 2021.09 — Certified in Risk and Information Systems Control (CRISC)
- 2021.10 — Certified in the Governance of Enterprise IT (CGEIT)
2022 (心得連結在最後證照簡稱上)
- 2022.07 — Certified Information Systems Security Professional (CISSP)
- 2022.10 — Certified Data Privacy Solutions Engineer ( CDPSE )
- 2022.12.30 — Certified Cloud Security Professional ( CCSP)
- 2023.2 — Certified CyberSecurity Certification ( CC)
- 2023.04 — EC-Council Certified Incident Handler ( ECIH)
- 2023.08 — EC-Council Certified Ethical Hacker Practical / Master (CEHP)
2024 (心得連結在最後證照簡稱上)
- 2024.02 — AWS Certified Cloud Practitioner Certification (CCP)
- 2024.02 — AWS Certified Solutions Architect — Associate (SAA)
- 2024.03 — GCP Associate Cloud Engineer (GCP-ACE)
ISACA 證照學習組合包與教材總整理:
個人背景
- 現任 ISC2 Taipei Chapter / 台灣國際認證資安專家協會 監事
- 甲方科技製造業與金融業
- 乙方四大會計師事務所 x2 兼萬能工具人 — 資安顧問( 技術與管理都包)
- 資安評估、資安稽核、資安檢測、技術防護成熟度評估、解決方案規劃、APP安全檢測、國內外法規合規檢視、資安框架評估、縱深防禦架構評估、資訊安全機制評估與輔導、風險控制評估、雲端安全管理、新興科技
- 我什麼都有興趣,不挑技術與管理知識,也不挑領域,資安管理要懂很多,給出最適當的建議,不是 FYI 就把議題拋給其他單位!
前言
準備 CCSP 之前,建議先具有 CISSP (心得與概念點我)的知識,而且最好對 CISSP 內容還有印象時候去考試,依照 Exam outline 來看,其實有一部分主題是重複的,當然主題重複不代表思考面向相同,這張是專攻於雲端安全管理,同時也帶有技術知識在裡面,做雲端管理不能不懂一些技術,例如虛擬化與容器漏洞、API 安全等,這些都是雲安全的基礎。
CISSP / CCSP 的內容並不會艱深難懂,是非常實用且工作上一定都會遇到的主題,絕非高手才能考的證照,我個人很推廣 CISSP 成為資安管理的一張基本認證!
如果你具有 ISO 27001 / ISO 27017 / ISO 27018 的上課經驗,個人認為對於考 CISSP 和 CCSP 幫助滿有限的,離管理所需的知識還有一段落差,如果有 CISSP 、CCSP、CCAK (雲端稽核),對於雲稽核與管理會有更大的幫助!
CCSP 雲端安全專家自修書籍
CCSP (ISC)2 Certified Cloud Security Professional Official Study Guide,2e (雲安全 CCSP 認證官方指南2/e,最新為第三版,我看第二版中文版)
ISC2 的考試大家都會先考慮看 OSG ,我個人只有把 OSG 看過一次之後就換看其他本了,只透過 OSG 掃過不認識的名詞和知識點,至於為什麼我主力放在其他本書,後面會做說明。
CCSP For Dummies with Online Practice ( Link )
準備 CCSP 時候不外乎就是參考美國 Reddit 論壇的準備心得,基本上就是 AIO 與 CCSP for Dummies 為主,有時間可以讀 CBK,這本書推薦當起手式閱讀,寫的淺顯易懂又不會像 CBK 一樣冗長,內容又比 OSG 完整很多,適合新手閱讀。順帶一提,論壇上考 CCSP 的外國人們對於考試本身還蠻崩潰的,因為大家都認為 CCSP 和 CISSP 差很多,CCSP 非常刁鑽…
The Official (ISC)2 CCSP CBK Reference ( Link )
官方 CBK 是我認為能一次通過 CCSP 的關鍵之一,CCSP 個人體感不像是 CISSP 考觀念與精神,而是注重原理與細節,所以研讀 CBK 的知識並記住 CBK 觀點是提高一次考過的機會!!
CCSP All in One ( Link )
我買了第二版的中文版,但最新版是第三版英文版,但因為我準備的時間太少,幾乎把所有時間都花在寫 CCSP CBK 的研讀筆記,這本書買了後我連拆封沒拆,果斷放棄,所以對於這本書沒有任何看法,準備 CISSP 時我有把 All in One 當工具書翻,我想 CCSP 應該也很適用吧
CCSP 練習題
(ISC)2 CCSP Official Study Guide 練習題庫
CCSP Practice Tests 3E 練習題庫
BOSON CCSP 練習題
BOSON 有夠難,但時間關係最後我只練完 300 題(兩個題組),但這難度習慣後考 CCSP 時候就會比較適應一點,雖然 BOSON 有時候題目解析太深入,但或多或少對思考都有點幫助的!
CCSP 筆記
寫筆記!!!!
我大多把時間花在研讀 CBK 的知識點,所以我把 CBK 的內容整理成中文版筆記,方便搜尋關鍵字與複習用,這花掉我超級多時間,回想起來真的很辛苦,提醒一下我的 CBK 並不是最新版,請記得買到最新版的 CBK 效果更佳!
國外 CCSP 筆記
Cloud Security Alliance Guidance
這位網友的筆記將各個主題的子項目都列出來了,可以透過這個列表去看看自己對於哪一些主題不了解。
簡略地將一些重點列出,但不足以讓你通過考試,仍須熟讀官方教材
CCSP Exam Cram (Full Training Course — All 6 Domains)
https://www.youtube.com/watch?app=desktop&v=kFZWMZIy5LM
補充資料
這些資料可以幫助你了解雲端安全相關議題的威脅與手法,考前必讀。
- OWASP Cloud-Native Application Security Top 10 | OWASP Foundation
- OWASP API Security Project | OWASP Foundation
- 解析 OWASP API Security Top 10 (gss.com.tw)
- OWASP Docker Top 10 | OWASP Foundation
延伸閱讀,證照跟證明的差別,你的資安證照真的是證照嗎?
教材與考題準備流程
- 快速掃完 CCSP OSG 課本
- 練習 CCSP OSG 習題一次
- 閱讀 CCSP for Dummies (寫筆記)
- 閱讀 CCSP CBK ( 補充細節到筆記)
- 寫 CCSP OPT 習題一次
- 寫 BOSON CCSP 習題一次
- 把錯誤的題目重練一次,觀念和知識點比較重要,刷題刷到背起來沒太多用處
- 考前複習自我筆記 與 國外網友筆記
- 有雲端經驗更佳,可參考以下兩篇我學習 AWS 的文章,三大雲首推 AWS入門:
Summary
- 雲端安全管理不是只有管理,新興科技要了解基本的技術概念才可以解決問題。
- CISSP 基礎很重要,要撿起來複習
- 比起 CISSP ,CCSP 你要了解更多主題的細節,並非看看概念而已。
- 比起 CISSP ,CCSP 的課外資料都要去閱讀,特別是虛擬化安全 、OWASP Cloud-Native Application Security Top 10、OWASP API Security Top 10 等,還要了解防護方式。
- 理解課本觀點和邏輯思考(所以要熟讀課本),搭配正確的管理觀念,想通過絕對沒問題。
- 技術也要讀,基本的技術知識是管理顧問/資安管理的基本功,不懂技術的用途會造成溝通上有差距,也難以判斷很多事情的真偽。
- 有 CISSP 搭配 AWS / Azure 的雲端證照會來的很有幫助,我自己有使用過 Azure 的服務,畢竟如果都沒操作過雲端服務就來聊資安的話會被侷限住,專有名詞和基本架構都是雲端安全的基礎,所以號稱自己懂雲安全的管理顧問要慎選…市場濫竽充數的顧問很多。
每個人背景與感受不一樣,我的經驗和感想只能當參考,無法套在每個人身上,請自己調整
CCSK 與 CCSP
CCSK 是 Certificate ,CCSP 是 Certification, CCSK 非常適合剛入門雲端資安從業者學習,同樣的 CCSP 也可以透過 CCSK 抵免所需換證的年資!
以下是 ISC2 在比較 CCSP (雲端安全專家) & CCSK (雲端安全知識認證計畫)的說明:
- CCSK沒有經驗要求。該測試要求參與者展示三個關鍵文檔的知識:CSA 指南、CSA 雲控制矩陣和 ENISA 報告。
- 要獲得CCSP的資格,您必須在資訊技術方面具有至少5年的累積帶薪工作經驗,其中3年必須是資訊安全,1年必須在CCSP CBK的6個領域中的1個或多個領域。
Comparing the CCSP and CCSK Cloud Security Credentials (isc2.org)
最後,證照過期代表沒有證照,你可以不在乎天長地久,只在乎曾經擁有
若您喜歡我的文章,歡迎按下「拍手」與Liker按讚給我支持並轉發給你的朋友們(可以多拍幾下手喔),或是「Follow」我,讓我提供文章給您。
