Certified Cloud Security Professional CCSP

مُخطط الدورة:

• المجال 1: مفاهيم السحابة والهندسة المعمارية والتصميم

• فهم مفاهيم الحوسبة السحابية

– تعاريف الحوسبة السحابية

– الأدوار والمسؤوليات في الحوسبة السحابية (على سبيل المثال، عميل خدمة السحابة، مقدم خدمة السحابة، شريك خدمة السحابة، وسيط خدمة السحابة، الهيئة التنظيمية)

– خصائص الحوسبة السحابية الرئيسية (على سبيل المثال، الخدمة الذاتية حسب الطلب، الوصول الواسع للشبكة، التعدد، المرونة السريعة والقابلية للتوسع، تجميع الموارد، الخدمة المقاسة)

– تقنيات البناء الأساسية (على سبيل المثال، الافتراض الظاهري، التخزين، الشبكات، قواعد البيانات، التنظيم)

• وصف هندسة السحابة المرجعية

– أنشطة الحوسبة السحابية

– قدرات خدمة السحابة (على سبيل المثال، أنواع قدرات التطبيق، أنواع قدرات البنية التحتية، أنواع قدرات المنصة)

– فئات خدمة السحابة (على سبيل المثال، البرمجيات كخدمة (SaaS)، البنية كخدمة (IaaS)، المنصة كخدمة (PaaS))

– نماذج نشر السحابة (على سبيل المثال، عامة، خاصة، هجينة، مجتمعية، متعددة السحب)

– الاعتبارات المشتركة للسحابة (على سبيل المثال، التشغيل التشغيل، القابلية للنقل، العكس، التوفر، الأمان، الخصوصية، المرونة، الأداء، الحوكمة، الصيانة والتحديث، مستويات الخدمة واتفاقيات مستوى الخدمة (SLA)، قابلية التدقيق، التنظيمية، التفويض)

– تأثير التقنيات ذات الصلة (على سبيل المثال، علوم البيانات، تعلم الآلة، الذكاء الاصطناعي (AI)، البلوكتشين، إنترنت الأشياء (IoT)، الحاويات، الحوسبة الكمومية، الحوسبة على الحافة، الحوسبة السرية، DevSecOps)

• فهم مفاهيم الأمان ذات الصلة بالحوسبة السحابية

– التشفير وإدارة المفاتيح

– الهوية ومراقبة الوصول (على سبيل المثال، وصول المستخدم، وصول الامتياز، وصول الخدمة)

– تطهير البيانات ووسائطها (على سبيل المثال، الكتابة فوق، المسح التشفيري)

– أمان الشبكة (على سبيل المثال، مجموعات أمان الشبكة، تفتيش حركة المرور، الجغرافية، الثقة الصفرية في الشبكة)

– أمان الافتراض الظاهري (على سبيل المثال، أمان محرك الأقراص الظاهري، أمان الحاوية، الحوسبة اللحظية، تقنية الخوادم بدون خوادم)

– التهديدات الشائعة

– النظافة الأمانية (على سبيل المثال، التصحيح، القا

عدة الأساسية)

• فهم مبادئ التصميم للحوسبة السحابية الآمنة

– دورة حياة البيانات الآمنة في السحابة

– خطة استمرارية الأعمال (BC) وخطة الاستعادة من الكوارث (DR) المستندة إلى السحابة

– تحليل تأثير الأعمال (BIA) (على سبيل المثال، تحليل تكلفة وفائدة، عائد الاستثمار (ROI))

– متطلبات الأمان الوظيفية (على سبيل المثال، التنقل، التفاعل، قفل البائع)

– الاعتبارات الأمانية والمسؤوليات لفئات السحابة المختلفة (على سبيل المثال، البرمجيات كخدمة (SaaS)، البنية كخدمة (IaaS)، المنصة كخدمة (PaaS))

– نماذج تصميم السحابة (على سبيل المثال، مبادئ أمان SANS، إطار الهندسة المعمارية الجيدة، Cloud Security Alliance (CSA) Enterprise Architecture)

– أمان DevOps

• تقييم مزودي خدمات السحابة

– التحقق من المعايير (على سبيل المثال، المنظمة الدولية للتوحيد/اللجنة الكهربائية الدولية (ISO/IEC) 27017، معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS))

– شهادات المنتج للنظام/النظام الفرعي (على سبيل المثال، Common Criteria (CC)، Federal Information Processing Standard (FIPS) 140-2)

• المجال 2: أمان بيانات السحابة**

• وصف مفاهيم بيانات السحابة

– مراحل دورة حياة بيانات السحابة

– تشتت البيانات

– تدفق البيانات

• تصميم وتنفيذ هندسة تخزين بيانات السحابة

– أنواع التخزين (على سبيل المثال، طويلة الأمد، لحظية، تخزين خام)

– تهديدات التخزين

• تصميم وتطبيق تقنيات واستراتيجيات أمان البيانات

– التشفير وإدارة المفاتيح

– الهاش “دالة إعادة الصياغة”

– تشويش البيانات (على سبيل المثال، تضمين، تجهيز غموض)

– التوكينة “ترميز الأصول رقميا”

– منع فقدان البيانات (DLP)

– إدارة المفاتيح والأسرار والشهادات

• تنفيذ اكتشاف البيانات

– البيانات المهيكلة

– البيانات غير المهيكلة

– البيانات شبه المهيكلة

– موقع البيانات

• تنفيذ تصنيف البيانات

– سياسات تصنيف البيانات

– رسم البيانات

– وسم البيانات

• تصميم وتنفيذ إدارة حقوق المعلومات (IRM)

– الأهداف (على سبيل المثال، حقوق البيانات، التوفر، نماذج الوصول)

– الأدوات المناسبة (على سبيل المثال، إصدار وإلغاء شهادات)

• التخطيط وتنفيذ سياسات الاحتفاظ بالبيانات وحذفها وأرشفتها

– سياسات الاحتفاظ بالبيانات

– إجراءات وآليات حذف البيانات

– إجراءات وآليات الأرشفة

– الاحتفاظ القانوني

• تصميم وتنفيذ إمكانية متابعة وتتبع ومساءلة أحداث البيانات

– تعريف مصادر الأحداث ومتطلبات الأحداث (على سبيل المثال، الهوية، عنوان بروتوكول الإنترنت (IP)، الموقع الجغرافي)

– تسجيل وتخزين وتحليل أحداث البيانات

– سلسلة سلطة الحفظ وعدم الإلغاء

• المجال 3: أمان منصة السحابة والبنية التحتية

• فهم مكونات البنية التحتية للسحابة:

• البيئة الفعلية

• الشبكة والاتصالات

• الحوسبة

• التجازؤ

• التخزين

• الطائرة الإدارية

• تصميم مركز بيانات آمن:

• التصميم المنطقي (على سبيل المثال، تقسيم المستأجر، التحكم في الوصول)

• التصميم الفعلي (على سبيل المثال، الموقع، الشراء أو البناء)

• التصميم البيئي (على سبيل المثال، التدفئة والتهوية وتكييف الهواء (HVAC)، الاتصال المتعدد الموردين)

• تصميم قائم

• تحليل المخاطر المرتبطة ببنية السحابة

• تقييم المخاطر (على سبيل المثال، التعرف، التحليل)

• ثغرات السحابة، التهديدات والهجمات

• استراتيجيات التخفيف من المخاطر

• تصميم وتخطيط لضوابط الأمان

• حماية الفيزيائية والبيئية (على سبيل المثال، في المواقع)

• حماية النظام والتخزين والاتصال

• التحقق من الهوية والمصادقة والتفويض في بيئات السحابة

• آليات التدقيق (على سبيل المثال، جمع السجلات، الترابط، التقاط الحزم)

• تخطيط لاستعادة الكوارث (DR) واستمرارية الأعمال (BC)

• استراتيجية استمرارية الأعمال (BC) / استعداد الكوارث (DR)

• متطلبات الأعمال (على سبيل المثال، Recovery Time Objective (RTO)، Recovery Point Objective (RPO)، مستوى الخدمة للاسترداد)

• إنشاء وتنفيذ واختبار الخطة

• المجال 4: أمان تطبيقات السحابة

• تعزيز التدريب والتوعية بأمان التطبيقات

• أساسيات تطوير السحابة

• الفخاخ الشائعة

• ثغرات السحابة الشائعة (على سبيل المثال، مشروع أمان تطبيقات الويب العالمي (OWASP) Top-10، قائمة SANS Top-25)

• وصف دورة حياة تطوير البرمجيات الآمنة (SDLC)

• متطلبات الأعمال

• مراحل ومنهجيات (على سبيل المثال، التصميم، الشيفرة، الاختبار، الصيانة، نموذج الشلال مقابل السريع)

• تطبيق دورة حياة تطوير البرمجيات الآمنة (SDLC)

• مخاطر السحابة الخاصة

• نمذجة التهديد (على سبيل المثال، التزييف، التلاعب، الرفض، كشف المعلومات، إنكار الخدمة، وتسلق الامتياز (STRIDE)، الكارثة، قابلية التكرار، الاستغلال، المتضررين، والعثور (DREAD)، الهندسة المعمارية، التهديدات، أسطح الهجوم، والتخفيف (ATASM)، العملية لتحليل المحاكاة وتحليل التهديدات (PASTA))

• تجنب الثغرات الشائعة أثناء التطوير

• البرمجة الآمنة (على سبيل المثال، مشروع أمان تطبيقات الويب العالمي (OWASP) Application Security Verification Standard (ASVS)، منتدى ضمان التألق في الشيفرة (SAFECode))

• إدارة تكوين البرمجيات والإصدارات

• تطبيق ضمان البرمجيات والتحقق منها في السحابة

• اختبار الوظائف وغير الوظائف

• منهجيات اختبار الأمان (على سبيل المثال، الصندوق الأسود، الصندوق الأبيض، الثابت، الدينامي، تحليل البرمجيات المكونة (SCA)، اختبار الأمان التفاعلي للتطبيقات (IAST))

• ضمان الجودة (QA)

• اختبار حالات السوء

• استخدام برامج البرمجيات الآمنة المتحقق منها

• تأمين واجهات برمجة التطبيقات (API)

• إدارة سلسلة التوريد (على سبيل المثال، تقييم البائع)

• إدارة البرمجيات من الأطراف الثالثة (على سبيل المثال، الترخيص)

• برمجيات مفتوحة المصدر المتحقق منها

• فهم تفاصيل هندسة تطبيقات السحابة

• مكونات الأمان الإضافية (على سبيل المثال، جدار الحماية لتطبيقات الويب (WAF)، مراقبة نشاط قاعدة البيانات (DAM)، جدران النصوص القابلة للتوسيع (XML)، بوابة واجهة برمجة التطبيقات (API))

• التشفير

• عزل البرامج

• التجازؤ والتنظيم التطبيقي (على سبيل المثال، الخدمات الدقيقة، الحاويات)

• تصميم حلا مناسبًا لإدارة الهوية والوصول (IAM)

• الهوية الموحدة

• مقدمو الهوية (IdP)

• تسجيل الدخول الفردي (SSO)

• المصادقة متعددة العوامل (MFA)

• وسيط أمان الوصول إلى السحابة (CASB)

• إدارة الأسرار

• المجال 5: عمليات أمان السحابة

• بناء وتنفيذ البنية التحتية الفعلية والمنطقية لبيئة السحابة

• متطلبات تكوين الأمان الخاصة بالأجهزة (على سبيل المثال، وحدة الأمان الأجهزة (HSM) ووحدة المنصة الموثوقة (TPM))

• تثبيت وتكوين أدوات الإدارة

• متطلبات تكوين الأمان الخاصة بالأجهزة الافتراضية (على سبيل المثال، الشبكة، التخزين، الذاكرة، وحدة المعالجة المركزية (CPU)، Hypervisor type 1 و 2)

• تثبيت أدوات تجازؤ نظام التشغيل الضيف

• تشغيل وصيانة البنية التحتية الفعلية والمنطقية لبيئة السحابة

• ضوابط الوصول للوصول المحلي وعن بُعد (على سبيل المثال، بروتوكول سطح المكتب عن بُعد (RDP)، الوصول الآمن إلى المحطة، الشل المحمي (SSH)، آليات الوصول بناءً على وحدات التحكم عن بُعد، صناديق القفز الظاهري)

• تكوين الشبكة الآمن (على سبيل المثال، الشبكات المحلية الظاهرية (VLAN)، أمان طبقة النقل (TLS)، بروتوكول تكوين العناوين الدينامي (DHCP)، امتدادات أمان نظام أسماء النطاق (DNSSEC)، شبكة افتراضية خاصة (VPN))

• ضوابط أمان الشبكة (على سبيل المثال، جدران الحماية، أنظمة اكتشاف التسلل (IDS)، أنظمة منع التسلل (IPS)، ألعاب الفخاخ، تقييم الثغرات، مجموعات أمان الشبكة، المضيف الباستيون)

• تشديد نظام التشغيل (OS) من خلال تطبيق الخطوط الأساسية، والرصد والتحسين (على سبيل المثال، Windows، Linux، VMware)

• إدارة التصحيحات

• استراتيجية تكوين البنية ككود (IaC)

• توفر الضيوف المتجمعين (على سبيل المثال، جدولة الموارد الموزعة، الأمان الديناميكي، مجموعات التخزين، وضع الصيانة، التوفر العالي (HA))

• توفر نظام التشغيل للضيف (OS)

• مراقبة الأداء والقدرة (على سبيل المثال، الشبكة، الحوسبة، التخزين، ووقت الاستجابة)

• مراقبة الأجهزة (على سبيل المثال، القرص، وحدة المعالجة المركزية (CPU)، سرعة المروحة، درجة الحرارة)

• تكوين وظائف نسخ الاحتياط واستعادة النظام التشغيل للضيف والمضيف

• طائرة الإدارة (على سبيل المثال، الجدولة، التنظيم، الصيانة)

• تنفيذ ضوابط ومعايير التشغيل (على سبيل المثال، مكتبة البنية التحتية لتكنولوجيا المعلومات (ITIL)، المنظمة الدولية للتوحيد/اللجنة الكهروتقنية الدولية (ISO/IEC) 20000-1)

• إدارة الحوادث

• إدارة المشاكل

• إدارة الإصدار

• إدارة النشر

• إدارة التكوين

• إدارة مستوى الخدمة

• إدارة التوفر

• إدارة القدرة

• دعم الأدلة الرقمية

• منهجيات جمع البيانات الجنائية

• إدارة الأدلة

• جمع، استحصال، والحفاظ على الأدلة الرقمية

• إدارة التواصل مع الأطراف ذات الصلة

• البائعين

• العملاء

• الشركاء

• الجهات التنظيمية

• الأطراف الأخرى

• إدارة عمليات الأمان

• منهجيات جمع البيانات الجنائية

• إدارة الأدلة

• جمع، استحصال، والحفاظ على الأدلة الرقمية

• مركز عمليات الأمان (SOC)

• المراقبة الذكية لضوابط الأمان (على سبيل المثال، جدران الحماية، أنظمة اكتشاف التسلل (IDS)، أنظمة منع التسلل (IPS)، مصائد العسل، مجموعات أمان الشبكة، الذكاء الاصطناعي (AI))

• التقاط وتحليل السجلات (على سبيل المثال، نظام إدارة المعلومات والأحداث الأمنية (SIEM)، إدارة السجلات)

• إدارة الحوادث

• تقييم الضعف

• المجال 6: القانون، والمخاطر، والامتثال

• توضيح المتطلبات القانونية والمخاطر الفريدة داخل بيئة السحابة

– تشير إلى التشريعات الدولية المتعارضة

– تقييم المخاطر القانونية المحددة لحوسبة السحاب

– الإطار القانوني والإرشادات

– الاكتشاف القانوني (على سبيل المثال، منظمة الايزو/اللجنة الكهروتقنية الدولية (ISO/IEC) 27050، توجيه ائتلاف أمان السحابة (CSA))

– متطلبات الأدلة الجنائية

• فهم قضايا الخصوصية

• الفارق بين البيانات الخاصة التعاقدية والمنظمة (على سبيل المثال، معلومات الصحة المحمية (PHI)، معلومات الهوية الشخصية (PII))

– التشريعات الخاصة بالبيانات الخاصة في كل دولة (على سبيل المثال، معلومات الصحة المحمية (PHI)، معلومات الهوية الشخصية (PII))

– الفروق القانونية في خصوصية البيانات

– متطلبات الخصوصية القياسية (على سبيل المثال، المنظمة الدولية للتوحيد/اللجنة الكهروتقنية الدولية (ISO/IEC) 27018، مبادئ الخصوصية المقبولة عموما (GAPP)، اللائحة العامة لحماية البيانات (GDPR))

– تقييم تأثير الخصوصية (PIA)

• فهم عملية التدقيق ومنهجياتها، والتكيف المطلوب لبيئة السحابة

– الضوابط الداخلية والخارجية لعمليات التدقيق

– تأثير متطلبات التدقيق

– التعرف على تحديات ضمان الافتراض في الظاهر والسحابة

– أنواع تقارير التدقيق (على سبيل المثال، بيان حول المعايير لعمليات الضمان، ومراقبة منظمات الخدمة (SOC)، معيار الضمان الدولي لعمليات الضمان (ISAE))

– قيود بيانات نطاق التدقيق (على سبيل المثال، بيان حول المعايير لعمليات الضمان (SSAE)، معيار الضمان الدولي لعمليات الضمان (ISAE))

– تحليل الفجوة (على سبيل المثال، تحليل التحكم، القواعد الأساسية)

– تخطيط التدقيق

– النظام الداخلي لإدارة أمان المعلومات

– نظام الضوابط الداخلي لأمان المعلومات

– السياسات (على سبيل المثال، الهيكل التنظيمي، وظائف، حوسبة السحابة)

– تحديد وإشراك الأطراف ذات الصلة

– متطلبات الامتثال المتخصصة للصناعات المنظمة بشكل كبير (على سبيل المثال، الهيئة الشمالية الأمريكية للموثوقية الكهربائية / حماية البنية التحتية الحيوية (NERC / CIP)، قانون التأمين الصحي لنقل المحمولية والمساءلة (HIPAA)، قانون تكنولوجيا المعلومات الصحية للتنمية الاقتصادية والسريرية (HITECH)، صناعة بطاقات الدفع (PCI))

– تأثير النموذج الموزع لتكنولوجيا المعلومات (IT) (على سبيل المثال، المواقع الجغرافية المتنوعة وتعدد الاختصاصات القانونية)

• فهم آثار السحابة على إدارة مخاطر المؤسسة

– تقييم برامج إدارة مخاطر مقدمي الخدمة (على سبيل المثال، الضوابط، والمنهجيات، والسياسات، وملف الخطر، والميول للخطر)

– الفارق بين مالك/مراقب البيانات والحارس/معالج البيانات

– متطلبات الشفافية التنظيمية (على سبيل المثال، إخطار الانتهاك، قانون سارب

انز-أوكسلي (SOX)، اللائحة العامة لحماية البيانات (GDPR))

– معالجة المخاطر (أي تجنب، تخفيف، نقل، مشاركة، قبول)

– أطُر المخاطر المختلفة

– مقاييس إدارة المخاطر

– تقييم بيئة المخاطر (على سبيل المثال، الخدمة، والبائع، والبنية التحتية، والأعمال)

• فهم تصميم العقد للتعهد بالخدمات والسحابة

– متطلبات الأعمال (على سبيل المثال، اتفاقية مستوى الخدمة (SLA)، اتفاقية خدمة رئيسية (MSA)، بيان العمل (SOW))

– إدارة البائع (على سبيل المثال، تقييم البائع، مخاطر الانغلاق مع البائع، قدرة البائع على الصمود، الإيداع الضماني)

– إدارة العقود (على سبيل المثال، الحق في التدقيق، المقاييس، التعريفات، الإنهاء، التحكيم، الضمان، الامتثال، الوصول إلى السحابة/البيانات، تأمين المخاطر السيبرانية)

– إدارة سلسلة التوريد (على سبيل المثال، المنظمة الدولية للتوحيد/اللجنة الكهروتقنية الدولية (ISO/IEC) 27036)

– فهم شامل لجوانب أمان السحابة في المؤسسة.

– تصميم وإدارة وتأمين البيانات على منصات السحابة.

– المهارات اللازمة لتصبح محترفًا معتمدًا في CCSP.

– فهم متعمق لجميع المجالات الست المحددة في معرف الممارسة المشتركة (CBK) لـ ISC2 CCSP.

– نماذج تقديم الخدمة المختلفة التي تشمل PaaS و SaaS و IaaS وغيرها لهندسة السحابة.

– أفضل ممارسات هندسة أمان السحابة، وتصميمها، وعملياتها، وتنظيم خدمتها بشكل عام.

– استشاريو الأمان.

– مهندسو الأمان.

– مهندسون في هندسة البنية التحتية للسحابة.

– محترفو تكنولوجيا المعلومات في مجال السحابة.

– مديرو الأمان.

– مهندسو الأنظمة.

– مهندسو الشبكات.

– مسؤولو الأمان.

– معماريو الأمان.

– مهندسو الأنظمة.