IT認證

Palo Alto Networks 認證網絡安全架構師認證考試:NetSec-Architect介紹

Palo Alto Networks Network Security Architect Exam:NetSec-Architect
Palo Alto Networks 認證網絡安全架構師認證考試:NetSec-Architect
NetSec-Architect認證旨在驗證經驗豐富的網路安全架構師在理解技術和業務需求、建立安全、高可用且可擴展的系統方面所具備的技能和能力,並能運用網路安全解決方案組合和相關的第三方整合來實現這些目標。此認證不僅檢視技術知識,更旨在確認候選人能夠運用符合合規性要求和業務目標的產業框架,設計、開發和監督複雜的安全藍圖。

NetSec-Architect認證是針對網路安全架構師和安全專家,旨在幫助他們理解基於 Palo Alto Networks 的安全解決方案和整合在雲端和本地環境中的業務需求,並運用行業標準框架和實踐進行規劃和設計。此認證適用於擁有 5 年以上網路安全平台零信任架構設計經驗,以及 2 年以上 Palo Alto Networks 實際操作經驗的人員。

考試詳情:

  • 考試時間:90 分鐘
  • 考試形式:選擇題(Multiple-choice questions)
  • 考試語言:英文
  • 考試費用:300 美元(USD)*
  • 考試由 Pearson Vue 提供與監考

Palo Alto Networks 認證考試大綱

1. 零信任企業(Zero Trust Enterprise)— 8%

1.1 設計 User-ID、裝置健康狀態、HIP(Host Information Profile)與安全態勢(Security Posture),以及基於 Device-ID 的最小權限存取安全政策控制

1.2 設計並區分:

  • 網路分段(Network Segmentation)
  • 微分段(Microsegmentation)

1.3 區分對特定應用程式的存取方式

1.4 實作對允許流量的持續安全掃描,以阻止惡意軟體與漏洞利用

1.5 實作零信任環境的持續監控與分析

2. AI 安全(AI Security)— 11%

2.1 區分並說明組成 Prisma AI Runtime Security(AIRS)與 AI Access 的 Palo Alto Networks 產品

2.1.1 Prisma AIRS

  • AI 紅隊測試(AI Red Teaming)
  • AI 模型掃描(AI Model Scanning)
  • AI 執行階段安全(AI Runtime Security)
  • AI 安全
  • AI Agents

2.1.2 Prisma AIRS

  • Kubernetes 整合
  • 微分段(Microsegmentation)

2.1.3 AI Access

  • App-ID Cloud Engine
  • Advanced Threat Prevention
  • Advanced URL Filtering
  • Enterprise DLP

2.2 判斷 AI 安全的建議標準架構

2.2.1 解決特定 AI 架構的 AI 產品

2.2.2 AIRS 部署形式(Form Factors)

2.2.3 AI 安全內容與資料安全

2.3 識別並說明 AI 應用程式的分類與屬性,並套用安全控制

2.3.1 應用程式核准(Sanctioning)與已核准應用程式控制,包括:

  • 資料外洩防護(DLP)

2.3.2 AI 應用程式與安全框架

例如:

  • GDPR
  • NIST
  • EU Data Act
  • PCI DSS
  • HIPAA

3. 集中式管理與 IAM(Centralized Management and IAM)— 13%

3.1 架構設計 Panorama 與 Log Collectors

3.1.1 Panorama 高可用性(HA)

3.1.2 日誌收集的韌性與備援

3.2 架構設計:

  • Strata Cloud Manager(SCM)
  • Strata Logging Service
  • Cloud Identity Engine

3.3 建議 Cloud Identity Engine 的目錄同步選項

3.3.1 本地代理(On-premises Agent)

3.3.2 Cloud Directory / SAML 2.0

包括:

  • Entra ID
  • Okta

3.4 建議 Strata Logging Service 日誌轉送方法與整合方式

例如:

  • Syslog over TLS
  • HTTP
  • Email

3.5 建議使用者識別與驗證方法

例如:

  • Cloud Identity Engine
  • CAS for SAML

3.6 評估 Cloud Identity Engine 使用案例

3.6.1 NGFW

3.6.2 Prisma Access

3.6.3 Prisma SD-WAN

4. SSE 私有應用程式存取(SSE Private Application Access)— 11%

4.1 架構設計 Prisma Access 的區域與全球部署

4.2 區分 On-ramp 與 Off-ramp 架構

4.2.1 Service Connection 路由模式與故障轉移模式

  • Default
  • Hot-potato Routing

4.2.2 ZTNA Connectors

例如:

  • FQDN
  • Wildcard
  • IP Subnet
  • Connector IP Blocks
  • CSP 擴展性

4.2.3 Colo-Connect 與 Google Cloud Network Connectivity Center(NCC)

4.3 判斷透過 Prisma Browser 的私有應用程式存取方式

5. 行動使用者安全(Mobile User Security)— 7%

5.1 評估以下產品的使用情境:

  • Prisma Browser
  • Prisma Access Agent
  • Explicit Proxy
  • GlobalProtect

5.2 架構設計 GlobalProtect 連線方式

  • On-demand
  • User-logon(Always On)
  • Pre-logon(Always On)

5.3 架構設計 Prisma Access Mobile Users

5.4 設計 AI 驅動的自主數位體驗管理(ADEM)

6. 現代化分支機構(Modernizing Branches)— 11%

6.1 比較並設計 SASE 安全與 HA 分支架構

6.1.1 Prisma Access Remote Networks

6.1.2 Prisma SD-WAN

6.1.3 PAN-OS SD-WAN

6.1.4 ADEM

6.1.5 第三方 Edge / SD-WAN

6.2 評估 Prisma SD-WAN 的進階安全功能

6.2.1

  • App-ID
  • Device-ID
  • User-ID

6.2.2

  • Threat
  • URL
  • DNS

7. 資料安全(Data Security)— 7%

7.1 區分 SaaS Security Inline 與 SaaS API Security

7.1.1 傳輸中(In-motion / Inline)

7.1.2 靜態資料(At-rest / API)

7.1.3 SaaS Security Posture Management(SSPM)

7.1.4 Enterprise DLP 與進階網頁過濾

7.2 判斷 SaaS 應用程式使用控制的最佳安全方法

7.3 分析並架構設計 Enterprise DLP 功能

7.3.1 Classifiers

7.3.2 Traditional / Regex

7.3.3

  • Exact Data Matching(EDM)
  • Indexed Document Matching(IDM)
  • OCR(光學字元辨識)

7.3.4 機器學習(ML)分類

7.3.5 Endpoint DLP

7.3.6 Policy-based DLP

8. IoT 環境安全(Securing IoT Environments)— 11%

8.1 架構設計 Device Security

8.1.1 可視性 / 發現與風險評估

8.1.2 強制執行(Enforcement)

8.2 區分 IoT Sensor 的部署位置選項

8.3 說明可視性功能

例如:

  • NGFW
  • Virtual Metadata Collector
  • Prisma SD-WAN
  • PAN-OS SD-WAN

8.4 評估並設計 Device-ID 功能

8.5 確認並設計 Device Security 功能

9. 公有雲(Public Cloud)— 11%

9.1 說明 NGFW 與以下雲平台的標準整合:

  • AWS
  • Azure
  • GCP
  • OCI

9.2 設計 CSP 環境中的維護與安全

9.2.1 維護與 OS 升級流程

9.2.2 VPN 終止

9.2.3 SSL 解密

9.2.4 集中式 / 分散式架構

9.3 設計 AWS NGFW 標準

9.3.1 插入選項

  • AWS Gateway Load Balancer(GWLB)
  • Transit Gateway Connect

9.3.2 高可用與高韌性

9.3.3 NGFW 子介面(Subinterfaces)

9.4 設計 Azure NGFW 標準

9.4.1 插入選項與 Load Balancer

9.4.2 高可用與高韌性

9.5 設計 GCP NGFW 標準

9.5.1 插入選項與 Load Balancer

9.5.2 高可用與高韌性

9.6 說明 VM-Series 與 Cloud NGFW 解決方案的適用性

9.6.1 Cloud NGFW 使用案例

9.6.2 VM-Series 使用案例

10. 私有雲(Private Cloud:PA-Series、VM-Series、Hypervisors)— 10%

10.1 評估私有雲範圍與容量需求

10.1.1 Edge

10.1.2 Core

10.1.3 East-west uSeg

10.2 設計跨 Hypervisor 的 VM-Series 部署

例如:

  • AHV
  • KVM
  • ESXi

10.2.1 各 Hypervisor 類型的資源分配策略

10.2.2 加密流量的硬體卸載與擴展

10.2.3

  • vCPU sizing
  • Hyperthreading
  • NUMA placement

10.2.4

  • DPDK
  • SR-IOV

10.3 評估 SSL 解密與效能間的取捨

10.4 架構設計私有雲 HA 部署

10.4.1 HA 選項

  • Active/Passive
  • Active/Active

10.4.2 硬體防火牆叢集

(第 4 代 vs 第 5 代晶片)

10.4.3 軟體防火牆 Hyperscale Security Fabric(HSF)

10.4.4 UDP 與 TCP 應用程式快速故障轉移指南

10.5 說明 Layer 3 部署的路由考量

10.5.1 Redistribution

例如:

  • ECMP
  • Static Routing
  • BGP
  • OSPF Dynamic Routing

10.5.2 Routing Design

10.6 評估系統管理選項與考量

10.7 評估新硬體部署趨勢與容量規劃

10.8 評估 SSL 檢查容量需求

Posted

in

by

admin

Tags:

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *