Привет! На связи Влад Павловский, DevSecOps инженер компании Swordfish Security. В данной заметке хотел бы поделиться с вами опытом прохождения сертификации Yandex Cloud Security Speciality, который был запущен в октябре и так получилось, что у меня получилось пройти пилотный экзамен по приглашению команды сертификации Yandex Cloud и получить сертификат одним из первых, так что, надеюсь, мой отзыв будет полезен тем, кто рассматривает возможность записаться на прохождение сертификации или тем, кто уже записался и хотел бы узнать больше о том, что ожидает при сдаче. Поехали!

Что за экзамен и зачем нужен

Начиная с этого года, Yandex Cloud начал проводить сертификации специалистов для своей системы по аналогии с международными облачными сервисами, такими, как AWS, GCP и Microsoft Azure. Весной была запущена программа Certified Engineer Associate, а, начиная с октября, есть возможность записаться и сдать экзамен Certified Security Specialist, о котором идёт речь в данной статье.
Если инженерный экзамен можно считать входной точкой по подтверждению компетенций в работе с Yandex Cloud, то экзамен Security Specialist смещает свой фокус в сторону вопросов по информационной безопасности.

Сам Яндекс заявляет о сертификации как о способе подтвердить компетенции пользователей Yandex Cloud, которые выполняют задачи по обеспечению информационной безопасности и защите облачных систем. С точки зрения сдающего, ценность сдачи экзамена может отличаться. Для кого-то подготовка к прохождению сертификации может оказаться не самым плохим ориентиром ознакомиться с концепциями безопасности облачных сервисов, который имеет конечную фиксированную цель. Для кого-то будет полезно иметь дополнительную строчку в резюме. Мне лично было интересно освежить и подтвердить навыки и понимание принципов работы в облачных сервисах. В этом плане Яндекс предоставляет замечательную возможность в условиях, когда оплата и сдача экзаменов "большой тройки" может быть как минимум проблематичной, а с другой стороны, под рукой есть официальные сертификации от известной компании с устоявшимся облачным сервисом, который в своих концепциях (и периодически реализациях вплоть до совместимости SDK) схож с Amazon Web Services. Тем более цена достаточно демократична: до конца года есть возможность записаться на экзамен со скидкой за 5000 рублей плюс по примеру первой сертификации есть шанс попасть на вебинар или другое связанное с сертификацией мероприятие и получить более выгодный промокод. В моём случае ситуация оказалась ещё проще, и приглашение на пилотный экзамен требовало только заполнение формы регистрации ?

По формату экзамен представляет собой тест с ответами на вопросы, где нужно выбрать один правильный ответ из четырёх или несколько правильных ответов из большего количества вариантов. Иногда могут появляться вопросы, в которых нужно правильно составить цепочку из нескольких вариантов ответа (например, последовательность шагов для выполнения настройки или запуска сервиса), а также сопоставление корректных пар из вариантов ответа (например, сопоставить название сервиса и характерное для него свойство). Достаточно часто говорят о том, что такой вариант экзамена не является оптимальным для проверки компетенций, но на экзамене могут проскакивать вопросы, близкие к практической работе, которые будут требовать как минимум догадываться о логике работы с облаком (а лучше, конечно, иметь понимание и минимальный опыт работы), поэтому не думаю, что формат сам по себе можно назвать провальным, тем более, что экзамены по зарубежным облачным сервисам уже долгое время работают по аналогичному принципу и не вызывают чрезмерного количества нареканий, давая в вопросах такие детальные сценарии, что без понимания работы сервисов наугад пройти экзамен будет нетривиальной задачей.

Тематика и подготовка

Если инженерный экзамен во многом основывается на курсе Инженер облачных сервисов, то для сертификации Certified Security Specialist в качестве основного ориентира предлагается Стандарт по защите облачной инфраструктуры Yandex Cloud, который в большей степени представляет собой бенчмарк для проверки корректности настроек в конкретном облаке. Документ достаточно объёмный, но, на мой взгляд, как материал для подготовки является чересчур прямолинейным руководством к действию, который не объясняет принципы работы сервисов и механизмов для обеспечения информационной безопасности. Скорее, это может быть ориентиром, на какие сервисы можно обратить более пристальное внимание.

Но по ощущениям могу сказать, что упомянутый ранее курс "Инженер облачных сервисов" (и, возможно, последующая сдача экзамена Certified Engineer Associate) может оказаться более удачным первым шагом к подготовке, так как даёт достаточно много подробной информации о типах сервисов и практиках, которые могут использоваться в облаке (в том числе и для настройки в ключе безопасности), добавляя к теории практические задачи, которые можно выполнить в своём облаке (если такого под рукой нет, можно пройти регистрацию со своей учётной записи Яндекса и получить приветственный грант - его хватит на все практические задания). Бонусом за прохождение можно получить дополнительный грант до 10 000 рублей на дальнейшие работы в облачном сервисе.

В остальном, для подготовки экзамена можно использовать документацию Yandex Cloud с упором на следующие материалы:

• Безопасность в Yandex Cloud

  • Здесь важно понимать принцип разделения ответственности и просмотреть страницу Соответствие требованиям, потому что вопросы по регуляторике обязательно будут

• Virtual Private Cloud

  • С упором на Группы безопасности и принципами работы NAT-инстанса и NAT-шлюза

• Сервисы безопасности

  • В особенности IAM, Cloud Trails и KMS

Список далеко не исчерпывающий, на экзамене могут быть вопросы и про резервные копии, и про политики доступа к S3-бакетами, и корректная настройка Load Balancer'ов (в том числе в контексте управления SSL-сертификатами) и даже общие вопросы про концепции информационной безопасности и в этом ключе дополнительные официальные материалы из перечня могут оказаться хорошим подспорьем во время подготовки

Сдача экзамена и детали про прокторинг

Экзамен проходит через систему StartExam, при регистрации на экзамене будет возможность через веб-интерфейс достаточно удобно зайти и выбрать день экзамена с возможностью впоследствии перенести дату записи. В этом плане единственное неудобство заключается в том, что записаться и начать экзамен можно строго в рабочие часы (на момент сдачи экзамена Engineer Associate можно было выбрать только будний день и часы сдачи регламентированы с 10 до 18 часов по Московскому времени).

Для запуска экзамена потребуется загрузить и запустить на компьютере программу, которая потребует оставить один работающий дисплей (как для любых экзаменов, хорошо, если это будет отдельный стационарный монитор удобного размера), проверит камеру, микрофон и выключит любые программы, которые недопустимо держать запущенными во время экзамена. Кроме того, для дополнительного прокторинга понадобится поставить сбоку смартфон, который будет работать дополнительной камерой, снимающей монитор и руки на клавиатуре.

И, на самом деле, такой формат прокторинга мне кажется невероятно удобным по сравнению с системами PSI или PearsonVUE, при сдаче через которые есть живой проктор, который заставит пройтись с камерой по всей комнате (обязательно заглянув под стол), заподозрит в вентиляторе печатное устройство, откажется начать экзамен, пока на рабочем столе не окажется только монитор, мышь и клавиатура и будет написывать в чат каждый раз, когда сдающему захочется беззвучно проговорить вопрос губами. Здесь же система автоматизирована, поэтому начать экзамен можно в любой удобный момент времени (но всё ещё в течение рабочего дня!), не разбирая все вещи с рабочего стола (но, безусловно, всю не участвующую в процессе экзамена электронику и бумажные материалы нужно убрать). Хотя, безусловно, свои нюансы есть и при такой сдаче: если про постоянные назойливые уведомления об отводе взгляда уже рассказывали в статье про сдачу первой сертификации, то от себя могу добавить, что на телефоне важно выключить все возможные уведомления и предупредить близких о том, что звонить в ближайшие полтора часа может быть не лучшей идеей, потому что даже для отбивки звонка придётся отвести руку и на секунду посмотреть в сторону, получив заслуженное предупреждение об отводе взгляда. Впрочем, по итогу проблем из-за этих предупреждений не было.

Касательно содержания экзамена особенных неожиданностей не было, вопросы соответствовали заявленным доменам и, ожидаемо, делали большой упор на работу с сервисами Yandex Cloud. С одной стороны, формат ответа на вопросы позволяет вольности вида "не знать правильный ответ на вопрос, но попробовать угадать из двух наиболее близких вариантов", с другой стороны, попадались откровенно душные вопросы формата "какое слово используется в конкретной команде - delete, remove или purge" (пример взят из головы и никак не соотносится с реальным вопросом экзамена). Пара вопросов на экзамене могут касаться общей терминологии или концепций информационной безопасности, в такой ситуации нужно, чтобы ваши ход мысли и понимание сферы ИБ совпадало с таковыми у составителей вопросов, потому что как минимум на один вопрос такого рода найти правильный ответ в документации или текстовых блогах Яндекса мне не удалось, до сих пор гадаю, правильно на него ответил или не очень. Но большинство вопросов имели смысл, и знание и понимание основных сервисов Yandex Cloud и облачных технологий в целом давали возможность ответить на вопрос правильно.

Получение результатов

По завершению тестирования вы получаете окно с подтверждением факта, что тест действительно завершён, а на почту приходит оповещение о том, что результаты экзамена находятся в обработке, а о результате будет сообщено в течение 14 дней. В случае с пилотным экзаменом такой нотификации нет, а ещё при приглашении команда сертификации предупреждает о том, что сбор данных и подведение итогов может занять до 6-8 недель, но по итогу сообщение об успешной сдаче я получил как раз через 2 недели после прохождения экзамена. Спустя ещё небольшое время документ появился в личном кабинете StarExam. Сертификат действителен в течение 2 лет со дня получения, потом понадобится пересдать экзамен с учётом всех обновлений, произошедших в сервисах за прошедшее время.

Итоги

Каких-то конкретных выводов о том, рекомендовать этот экзамен к сдаче конкретному человеку, не вижу большого смысла. Сложно сказать, что сертификация от Яндекса чем-то очень ярко выделяется и даёт подтверждение каких-либо уникальных навыков, которые нельзя наработать просто опытом работы с облаком по профилю информационной безопасности. С другой стороны, не самая высокая цена (например, аналогичная сертификация для Google Cloud Platform стоит в 2 раза больше даже без учёта акционного периода в Яндексе) и возможность подтвердить свои навыки документально могут оказаться не самыми плохими поводами заняться подготовкой к экзамену, а во время изучения достаточно подробной документации и занимательных дополнительных материалов есть возможность собрать отдельные фрагменты знаний в более систематизированный формат и закрыть отдельные пробелы, что может вылиться в не самое бесполезное времяпрепровождение.
И на этом на сегодня всё. До новых встреч!