Professional Cloud Security Engineer

Seção 1: configuração do acesso (aproximadamente 27% do exame)

1.1 Gerenciamento do Cloud Identity Inclui as seguintes considerações:

    ●  Configuração do Google Cloud Directory Sync e conectores de terceiros

    ●  Gerenciar uma conta de superadministrador

    ●  Automatizar o processo de gerenciamento do ciclo de vida do usuário

    ●  Como administrar grupos e contas de usuário de maneira programática

    ● Configurar a federação de identidade do funcionário

1.2 Gerenciar contas de serviço Inclui as seguintes considerações:

    ●  Preservar e proteger contas de serviço (incluindo contas padrão)

    ●  Como identificar cenários que exigem contas de serviço

    ●  Criar, desativar e autorizar contas de serviço

    ●  Proteger, auditar e mitigar o uso de chaves de contas de serviço

    ●  Como gerenciar e criar credenciais de curta duração

    ●  Como configurar a federação de identidade da carga de trabalho

    ●  Gerenciar a representação de uma conta de serviço

1.3 Gerenciar a autenticação. Inclui as seguintes considerações:

    ●  Criar uma senha e uma política de gerenciamento de sessão para contas de usuário

    ●  Configuração da Linguagem de marcação para autorização de segurança (SAML) e OAuth

    ●  Configurar e aplicar a verificação em duas etapas

1.4 Gerenciar e implementar controles de autorização. Inclui as seguintes considerações:

    ●  Gerenciar papéis privilegiados e separação de tarefas com papéis e permissões do gerenciamento de identidade e acesso (IAM);

    ●  Gerenciar permissões do IAM e da lista de controle de acesso (ACL);

    ●  Concessão de permissões a diferentes tipos de identidades, incluindo o uso de condições e políticas de negação do IAM

    ●  Como projetar papéis de identidade no nível da organização, da pasta, do projeto e do recurso

    ●  Como configurar o Access Context Manager

    ●  Como aplicar o Policy Intelligence para melhorar o gerenciamento de permissões

    ●  Como gerenciar de permissões por meio de grupos

1.5 Definir a hierarquia de recursos. As considerações incluem:

    ●  Criar e gerenciar organizações em escala

    ●  Gerenciar políticas da organização para pastas, projetos e recursos da organização

    ●  Como usar a hierarquia de recursos para controle de acesso e permissões legadas

Seção 2: proteger as comunicações e estabelecer a proteção de limites (cerca de 21% do exame)

2.1 Projetar e configurar a segurança do perímetro. Inclui as seguintes considerações:

    ●  Configurar controles de perímetro de rede (regras de firewall, políticas hierárquicas de firewall, Identity-Aware Proxy [IAP], balanceadores de carga e Certificate Authority Service);

    ●  Diferenciar entre endereçamento IP privado e público

    ●  Como configurar um firewall de aplicativos da Web (Google Cloud Armor)

    ●  Implantar um Proxy seguro da Web

    ●  Definir configurações de segurança do Cloud DNS;

    ●  Monitorar e restringir continuamente as APIs configuradas.

2.2 Configurar a segmentação de limites. As considerações incluem:

    ●  Propriedades de segurança de uma rede VPC, peering de VPC, VPC compartilhada e regras de firewall

    ●  Configurar isolamento de rede e encapsulamento de dados para aplicativos da camada N

    ●  Como configurar o VPC Service Controls

2.3 Estabelecer conectividade particular. As considerações incluem:

    ●  Projetar e configurar a conectividade privada entre redes VPC e projetos do Google Cloud (VPC compartilhada, peering de VPC e acesso privado do Google para hosts locais);

    ●  Projetar e configurar conectividade particular entre data centers e redes VPC (HA-VPN, IPsec, MACsec e Cloud Interconnect)

    ●  Como estabelecer conectividade particular entre a VPC e as APIs do Google (Acesso privado do Google, Acesso privado do Google para hosts no local, acesso restrito do Google, Private Service Connect)

    ●  Colmo usar o Cloud NAT para ativar o tráfego de saída

Seção 3: garantir a proteção de dados (cerca de 20% do exame)

3.1 Proteger dados confidenciais e impedir a perda de dados. Inclui as seguintes considerações:

    ●  Como inspecionar e editar informações de identificação pessoal (PII)

    ●  Garantir a descoberta contínua de dados confidenciais (estruturados e não estruturados)

    ●  Como configurar a pseudonimização

    ●  Configurar criptografia com preservação de formato

    ●  Restrição do acesso aos armazenamentos de dados do BigQuery, Cloud Storage e Cloud SQL

    ●  Como proteger secrets com o Gerenciador de secrets

    ●  Como proteger e gerenciar metadados da instância de computação

3.2 Gerenciar a criptografia em repouso, em trânsito e em uso. Inclui as seguintes considerações:

    ●  Identificar casos de uso para criptografia padrão do Google, chaves de criptografia gerenciadas pelo cliente (CMEK), Cloud External Key Manager (EKM) e Cloud HSM

    ●  Criação e gerenciamento de chaves de criptografia para CMEK e CSEK

    ●  Como aplicar a abordagem de criptografia do Google aos casos de uso

    ●  Como configurar políticas de ciclo de vida de objetos para o Cloud Storage

    ●  Como ativar a computação confidencial

3.3 Planejar a segurança e a privacidade na IA. Inclui as seguintes considerações:

    ●  Implementar controles de segurança para sistemas de IA/ML (por exemplo, proteção contra exploração não intencional de dados ou modelos);

    ●  Determinar requisitos de segurança para modelos de treinamento hospedados em IaaS e PaaS

Seção 4: gerenciamento de operações (aproximadamente 22% do exame)

4.1 Automatizar a segurança da infraestrutura e do aplicativo. Inclui as seguintes considerações:

    ●  Automatizar a verificação de segurança para vulnerabilidades e exposições comuns (CVEs, na sigla em inglês) por meio de um pipeline de integração e entrega contínuas (CI/CD).

    ●  Configurar autorização binária para proteger clusters do GKE ou o Cloud Run

    ●  Automação da criação, aumento da proteção, manutenção e gerenciamento de patches de imagens de máquinas virtuais

    ●  Como automatizar a criação, a verificação, o aumento da proteção, a manutenção e o gerenciamento de patches de imagens de contêiner

    ●  Gerenciamento de políticas e detecção de desvio em escala (políticas da organização e módulos personalizados para a Análise de integridade da segurança)

4.2 Configurar a geração de registros, o monitoramento e a detecção. Inclui as seguintes considerações:

    ●  Configurar e analisar registros de rede (geração de registros de regras de firewall, registros de fluxo de VPC, Espelhamento de pacotes, sistema de detecção de intrusões do Cloud [Cloud IDS], Análise de registros)

    ●  Como projetar uma estratégia de geração de registros eficaz

    ●  Como gerar registros, monitorar, responder a e corrigir incidentes de segurança

    ●  Projetar acesso seguro a registros

    ●  Exportação de registros para sistemas de segurança externos

    ●  Como configurar e analisar os registros de auditoria e de acesso a dados do Google Cloud

    ●  Configurar exportações de registros (coletores de registros e coletores agregados);

    ●  Configuração e monitoramento do Security Command Center

Seção 5: atender aos requisitos de conformidade (aproximadamente 10% do exame)

5.1 Determinar os requisitos regulamentares para a nuvem. Inclui as seguintes considerações:

    ●  Determinar problemas relacionados a computação, dados, rede e armazenamento

    ●  Avaliar o modelo de responsabilidade compartilhada

    ●  Configurar controles de segurança em ambientes de nuvem para atender aos requisitos de conformidade (regionalização de dados e serviços)

    ●  Restringir computação e dados para conformidade regulatória (Assured Workloads, políticas organizacionais, transparência no acesso, Access Approval)

    ●  Como determinar o ambiente do Google Cloud no escopo da conformidade regulatória