Professional Cloud Security Engineer

Guia do exame de certificação

Professional Cloud Security Engineer

Descrição da função

Um Professional Cloud Security Engineer ajuda empresas a criar e implementar uma infraestrutura segura no Google Cloud Platform. Por meio de uma compreensão das práticas recomendadas de segurança e dos requisitos de segurança do setor, esse profissional projeta, desenvolve e gerencia uma infraestrutura segura que aproveita as tecnologias de segurança do Google. O Cloud Security Professional deve ser proficiente em todos os aspectos do Cloud Security, incluindo gerenciamento de identidade e acesso, definição de estrutura e políticas organizacionais, uso de tecnologias do Google para proteção de dados, configuração de defesas de segurança de rede, coleta e análise de registros do Google Cloud Platform, gerenciamento de respostas a incidentes e compreensão das questões regulatórias.

Guia do exame de certificação

Seção 1: configurar o acesso em um ambiente de solução de nuvem

1.1 Configurar o Cloud Identity. Incluindo:

  • Gerenciar o Cloud Identity
  • Configurar o Google Cloud Directory Sync
  • Gerenciamento da conta de superadministrador

1.2 Gerenciar contas de usuário. Incluindo:

  • Projetar papéis de identidade no nível do projeto e da organização
  • Automação do processo de gerenciamento do ciclo de vida do usuário
  • Uso da API

1.3 Gerenciar contas de serviço. Incluindo:

  • Auditar contas de serviço e chaves
  • Automatizar a rotação de chaves de contas de serviço gerenciadas pelo usuário
  • Identificar cenários que exigem contas de serviço
  • Criar, autorizar e proteger contas de serviço
  • Gerenciar o acesso à API com segurança

1.4 Gerenciar a autenticação. Incluindo:

  • Criar uma política de senha para contas de usuário
  • Estabelecer a SAML (Linguagem de marcação para autorização de segurança)
  • Configurar e aplicar a autenticação de dois fatores

1.5 Gerenciar e implementar controles de autorização. Incluindo:

  • Usar hierarquia de recursos para controle de acesso
  • Papéis privilegiados e separação de funções
  • Gerenciar permissões do IAM com funções primitivas, predefinidas e personalizadas
  • Conceder permissões para diferentes tipos de identidades
  • Compreender a diferença entre o IAM do Google Cloud Storage e as ACLs

1.6 Definir a hierarquia de recursos. Incluindo:

  • Criar e gerenciar organizações
  • Estruturas de recursos (organizações, pastas e projetos)
  • Definir e gerenciar restrições da organização
  • Usar a hierarquia de recursos para controle de acesso e herança de permissões
  • Confiança e limites de segurança nos projetos do GCP

Seção 2: configurar a segurança da rede

2.1 Projetar a segurança de rede. Incluindo:

  • Propriedades de segurança de uma rede VPC, peering de VPC, VPC compartilhada e regras de firewall
  • Isolamento de rede e encapsulamento de dados para o design de aplicativos da camada N
  • Uso de DNSSEC
  • Endereçamento particular vs. público
  • Política de segurança de aplicativo a aplicativo

2.2 Configurar a segmentação de rede. Incluindo:

  • Controles de perímetro de rede (regras de firewall, IAP)
  • Balanceamento de carga (global, rede, HTTP(S), proxy SSL e balanceadores de carga TCP Proxy)

2.3 Estabelecer conectividade particular. Incluindo:

  • Conectividade particular RFC1918 entre redes VPC e projetos do GCP (VPC compartilhado, peering VPC)
  • Conectividade RFC1918 particular entre data centers e redes VPC (IPSEC e Cloud Interconnect).
  • Ativar a conectividade particular entre a VPC e as APIs do Google (acesso privado)

Seção 3: garantir a proteção dos dados

3.1 Prevenir a perda de dados com a API DLP. Incluindo:

  • Identificar e editar PII
  • Configurar a tokenização
  • Configurar a substituição de preservação de formato
  • Restringir o acesso a conjuntos de dados DLP

3.2 Gerenciar a criptografia em repouso. Incluindo:

  • Compreender os casos de uso para criptografia padrão, chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês) e chaves de criptografia fornecidas pelo cliente (CSEK, na sigla em inglês)
  • Criar e gerenciar chaves de criptografia para CMEK e CSEK
  • Gerenciar senhas de aplicativos
  • Políticas de ciclo de vida do objeto para o Cloud Storage
  • Computação de enclave
  • Criptografia de envelope

Seção 4: gerenciar operações em um ambiente de solução em nuvem

4.1 Criar e implementar a infraestrutura. Incluindo:

  • Estratégia de backup e perda de dados
  • Criação e automatização de um plano de resposta a incidentes
  • Coletores de registros, registros de auditoria e registros de acesso a dados para monitoramento quase em tempo real
  • Modelos em espera
  • Automatização da verificação de segurança para vulnerabilidades e ataques de exploração comuns (CVEs, na sigla em inglês) por meio de um pipeline de CI/CD
  • Criação, aumento da proteção e manutenção de imagens de máquinas virtuais
  • Criação de imagens, aumento da proteção, manutenção e gerenciamento de patches de contêiner

4.2 Criar e implementar aplicativos. Incluindo:

  • Monitoramento quase em tempo real do registro de aplicativos
  • Análise de código estático
  • Automatização da verificação de segurança por meio de um pipeline de CI/CD

4.3 Monitoramento de eventos de segurança. Incluindo:

  • Registro, monitoramento, testes e alerta de incidentes de segurança
  • Exportação de registros para sistemas de segurança externos
  • Análise automatizada e manual de registros de acesso
  • Compreensão dos recursos do Cloud Security Scanner e do Forseti

Seção 5: garantir a conformidade

5.1 Compreensão das questões regulatórias. Incluindo:

  • Avaliação de questões relativas a computação, dados e rede
  • Modelo de responsabilidade compartilhada de segurança
  • Garantias de segurança em ambientes de execução em nuvem
  • Limitação de computação e dados para conformidade regulatória

5.2 Compreensão das preocupações com o ambiente de computação. Incluindo:

  • Garantias de segurança e restrições para cada ambiente de computação (Compute Engine, Kubernetes Engine, App Engine)
  • Identificação do ambiente de computação adequado com base nos padrões de conformidade da empresa