Je commence par remercier Zeal Vora pour son cours sur Udemy, un grand respect pour ce professeur et son implication pour donner le maximum d’informations durant ses cours. Je remercie aussi Ryan Kroonenburg sur Cloudguru avec qui j’ai préparé les cinqs certificats AWS en 2017 et 2018. Je remercie aussi toutes les personnes qui publient des vidéos deep dive sur AWS (re:Invent, re:Inforce, community…).
La sécurité n’est jamais facile, que ça soit dans le cloud ou d’une manière générale. Ce certificat vous plonge dans la partie intime d'AWS. Personnellement, je trouve que AWS ont fait un travail remarquable sur la sécurité avec des patterns qui couvrent presque tous les aspects de la sécurité, dans l’objectif de rassurer les clients et de s’affranchir de l’idée d’avoir peur d’utiliser le cloud pour des raisons de sécurité.
Malheureusement, la sécurité n’est pas le premier chantier qu’on aborde quand on migre vers le cloud ou on quand on débute dans le cloud from scratch. C’est un peu normal, parce que les patterns de sécurité vont parfois à l’encontre de l’avancement des équipes de développement et production. Et quand on veut aller dans le cloud, on essaye de prouver le modèle avec une migration ‘left and shift‘ par exemple en mettant la sécurité de côté. Cela peut parfaitement se comprendre, mais à un moment donné, il faut aborder la sécurité, et même si ça va à l’encontre de l’avancement des projets, déjà pour pérenniser l’existant avant d’ajouter une dette sur une dette.
On remarque aussi que le plus souvent, on aborde la sécurité après des attaques ou des fuites de données.
Je pense que c’est un mal pour un bien, parce que la nature humaine fonctionne toujours avec la priorisation et le principe de ‘ça n’arrive qu’aux autres’.
Les services AWS pour implémenter la sécurité sont parfois compliqués.
Si on prend par exemple le service KMS ; personnellement, je le trouve un peu compliqué et il peut faire peur quand il doit être activé automatiquement par les clients. Peut-être qu’il y a encore un peu de travail de simplification et vulgarisation à faire à ce niveau-là.
Pour préparer ce certificat, je conseille d’avoir au minimum les deux certificats :
Architect Associate + Architect Professional
ou Architect Associate + SysOps Administrator Associate
Par contre, quelqu’un avec un profil sécurité On promise peu aborder ce certificat différemment, parce qu’il va juste associer les patterns de sécurité On promise aux patterns proposés par AWS.
Donc, si vous n’avez pas un profil sécurité comme moi, vous devez récompenser l’effort avec la bonne maîtrise des services AWS en ayant par exemple ces deux certificats AWS.
Chacun sa méthode d’apprentissage ; moi je vais vous exposer la mienne et quelques astuces pour bien préparer ce certificat.
Très peu de retour d’expériences de francophones existe sur AWS pourtant les témoignages des anciens aident beaucoup pour aborder un tel sujet et donc, je me suis engagé avec moi-même de partager mon expérience en français à mon tour si ça peut aider d'autres personnes :
- La préparation de ce certificat ou les autres certificats pro va vous demander beaucoup d’effort. Vous devez tout d’abord bien connaitre votre rythme d’apprentissage. Mais s’il y’a une chose à retenir c’est la consistance, ça sera la clé de votre réussite (dans tout domaine d’ailleurs) surtout les deux ou trois semaines avant le passage de l’examen final, bloquez un minimum de 2h par jour de révision. Il faut aussi aborder cet examen sur les trois volets :
-Cours théorique, le support principal qui structure votre apprentissage et vous guide sur les services demandés par l’examen.
- Les travaux pratiques directement dans la console ou les API AWS ; n’hésitez pas à créer plusieurs comptes AWS, pour simuler les scénarios : IAM, ‘cross Account’, ‘Billing’, ‘Organization’...
- Les quizzs pour se mettre dans la situation de l’examen final.
- Utilisez un seul support de cours principal qui va structurer vos idées et l'avoir en tête pour se rappeler d'un schéma par exemple. Personnellement, mon support principal, vous l’avez bien compris, est Udemy avec Zeal Vora, même si j'ai aussi utilisé LinuxAcademy et Cloudguru à 60 % ou 70 % pour les chapitres que j’ai voulu approfondir avec d’autre explication.
- Regardez le cours au moins 3 ou 4 fois, surtout les chapitres que vous trouvez compliqués, par exemple les différents scénarios IAM, KMS ... Quand on a travaillé longtemps sur AWS, on passe 80 % de notre temps à utiliser 5 à 15 % des services Alors que dans ce type de certificats, on va vous interroger sur beaucoup de services et scénarios AWS que vous n’avez jamais eu l’occasion de pratiquer ou même entendu parler. Une chose est sûre, quelqu’un qui travaille tous les jours sur AWS connait déjà par cœur les services et scénarios basiques avec VPC, ACM, S3, SG, ALB, CLOUD FRONT, ROUTE 53, parce que ce sont des services de base et qui sont utilisés par toute organisation qui a un compte AWS. Donc, pour ces services, vous allez fournir très peu d’efforts, mais ne partez pas trop confiant et ne négligez aucun service. Il y a par exemple des scénarios sur les certificats ACM que vous n'avez jamais rencontrer, alors que le service est simple à première vue.
- Utilisez la vitesse 1.5x ou 2x à partir de la deuxième ou troisième lecture, sans le son, pour ne pas fatiguer vos neurones, ça vous permettra de faire des résumés ou prendre des notes et retenir que les schémas et les scénarios .
- Appliquez sur la console et l’Api AWS les scénarios des services que vous n’avez jamais eu l’occasion de manipuler, par exemple KMS, IAM Federation , IAM Cross-Account, Athena, AWS Config ...
- IAM et KMS: je ne vais pas entrer dans le détail de ces deux services, il faut prendre son temps de bien les maîtriser et les faire tourner dans tous les sens, par exemple:
1. IAM: Rôles, policies, priorité avec ‘Deny’, Permissions Boundaries , STS, Cross Account, Federation, SAML ...
2. KMS: Policies, key material, key rotation, Envelope encryption ...
Les deux services IAM et KMS sont la clé de votre réussite à l’examen, ce qui est normal, parce qu’un responsable de sécurité AWS doit être à l’aise au minimum avec ces deux services ; c’est le socle de la sécurité dans AWS ou ailleurs.
Je vous conseille aussi de regarder les DeepDives sur ces deux services, beaucoup de vidéos sont disponible sur YouTube, car les cours udemy ou Cloud Guru ne suffisent pas pour approfondir vos connaissances sur ces deux services.
- Vous devez développer des images mentales des cas d’utilisations pour les services suivants : Cloudwatch (logs, event, metrics…), CloudTrail, Guard Duty, Trusted Advisor, Inspector, Config, Macie, Artifact. Parfois, ils semblent répondre au même cas d’utilisation, mais avec des coûts ou efforts différents. Dans ce cas, il y a toujours une meilleure approche.
- J’insiste sur la création d'une image mentale des services de la sécurité sur AWS, pour cette raison, il faut prendre son temps avant de passer l'examen, comme vous le savez, vous n’avez pas accès ni à la documentation AWS ni à Internet pendant l’examen ; vous ne devez compter que sur de votre cerveau. Donc, essayez de retenir quand il faut. Avec la répétition ou avec des fiches par exemple; chacun sa méthode d’apprentissage. Après les examens, vous aurez seulement besoin de garder des pointeurs et en deux clics sur la documentation ou Google vous retrouverez l’information recherchée.
- Étudiez les scénarios de remédiation avec Cloudwatch Event, AWS config, lambda, SNS...
- Associez des services (Inspector, Artifact , cloudtrail…) à tout ce qui est ‘Compliance in AWS’, par exemple : FIPS 140-2, PCI DSS, ISO 27001...
- Étudiez des scénarios avec ‘AWS Systems Manager’, ‘AWS Systems Manager’.
- La sécurité en transit : ALB, NLB, WAF, Shield, CloudFront, TLS, security policy, legacy protocol, ACM.
- Étudiez les scénarios d’isolation et de remédiation d’une EC2, EBS victime d’une attaque.
- IDS, IPS : bien faire la différence entre ‘VPC Flow logs’ et des solutions dans la ‘Marketplace’.
- Avoir une vision Marco sur le Networking avec les services : VPC, Peering, SG, Route, NACL, NAT Gateway, Internet Gateway, DMZ, VPN, DX. Mais quand on a travaillé sur AWS et avec au moins un certificat AWS associate, on a déjà des connaissances basiques sur ces services que vous devez peut-être un peu approfondir.
- Essayez d’acquérir des patterns ou associations avec des mots clés comme meilleurs combinaisons; par exemple le mot ‘organization’ dans une question avec du cross-account est souvent une meilleure réponse. L’utilisation du rôle IAM + Assume Role est souvent une meilleure réponse…
- Les questions sont parfois longues, ne perdez pas le sens de la question. Parfois, ça vous fatigue et vous perdez le sens de la question avant d’arriver aux propositions de réponses. Essayez de repérer les services AWS qui vont dans le sens de la question. Parfois, le service est déjà abordé dans la question, et dans ce cas vous pouvez chercher les mots clés qui vont vous aider dans la réponse, en générale les questions sont quand même bien posées, vous ne pouvez donc pas dire que la question est mal posée ou qu’il y a un piège.
- Pour des questions à choix multiples, il vaut mieux éliminer les mauvaises réponses, on les repère très facilement, à condition que vous soyez bien préparé et bien connaitre les services.
- Vous allez trouver beaucoup de quiz qui circule sur internet. Faites le max de quizs, c’est comme les maths; plus on fait des exercices plus on s’améliore Mais il faut faire attention : parfois, il y a des réponses fausses dans les réponses à ces quizs, une chose est sûr, l’examen reste plus difficile que ces quizs. Essayez d’avoir au minimum 85 % ou idéalement 90 % dans les différents quizs que vous allez pratiquer, en revenant sur le cours ou la console pour vérifier les réponses, parce qu’il ne faut pas oublier que le score de passage à l’examen est de 75 %.
