Dapatkan voucher sertifikasi, akses ke semua pelatihan on-demand, dan kredit Google Cloud senilai $500 melalui Innovators Plus. Pelajari semua manfaat.

Professional Cloud Security Engineer

Panduan ujian sertifikasi

Cloud Security Engineer memungkinkan organisasi merancang dan mengimplementasikan workload dan infrastruktur yang aman di Google Cloud. Melalui pemahaman tentang praktik terbaik keamanan dan persyaratan keamanan industri, engineer ini merancang, mengembangkan, dan mengelola solusi yang aman menggunakan teknologi keamanan Google. Cloud Security Engineer harus mahir dalam semua aspek keamanan cloud. Hal ini mencakup pengelolaan akses dan identitas, menentukan struktur dan kebijakan organisasi, menggunakan teknologi Google Cloud untuk memberikan perlindungan data, mengonfigurasi pertahanan keamanan jaringan, memantau lingkungan untuk mendeteksi ancaman dan merespons insiden, kebijakan keamanan sebagai kode, siklus proses pengembangan software yang aman, dan menegakkan kontrol terkait peraturan.


Bagian 1: Mengonfigurasi akses dalam lingkungan solusi cloud

1.1 Mengelola Cloud Identity. Pertimbangan ini meliputi:

    ●  Mengonfigurasi Google Cloud Directory Sync dan konektor pihak ketiga

    ●  Mengelola akun administrator super

    ●  Mengotomatisasi proses pengelolaan siklus proses pengguna

    ●  Mengelola akun pengguna dan grup secara terprogram

1.2 Mengelola akun layanan. Pertimbangan ini meliputi:

    ●  Melindungi dan mengaudit akun dan kunci layanan

    ●  Mengotomatisasi rotasi kunci akun layanan yang dikelola pengguna

    ●  Mengidentifikasi skenario yang memerlukan akun layanan

    ●  Membuat, menonaktifkan, memberi otorisasi, dan mengamankan akun layanan

    ●  Mengelola dan membuat kredensial berumur pendek

    ●  Mengonfigurasi workload identity federation

    ●  Mengamankan akun layanan default

    ●  Mengelola peniruan akun layanan

1.3 Mengelola autentikasi. Pertimbangan ini meliputi:

    ●  Membuat kebijakan pengelolaan sandi dan sesi untuk akun pengguna

    ●  Menyiapkan Security Assertion Markup Language (SAML) dan OAuth

    ●  Mengonfigurasi dan menerapkan autentikasi dua faktor

1.4 Mengelola dan menerapkan kontrol otorisasi. Pertimbangan ini meliputi:

    ●  Mengelola peran istimewa dan pemisahan tugas dengan peran dan izin Identity and Access Management (IAM)

    ●  Memberikan izin untuk berbagai jenis identitas

    ●  Mengelola izin IAM dan daftar kontrol akses (ACL).

    ●  Merancang peran identitas di tingkat organisasi, folder, project, dan resource

    ●  Mengonfigurasi Access Context Manager

    ●  Menerapkan Kecerdasan Kebijakan untuk pengelolaaan izin yang lebih baik

    ●  Mengelola izin melalui grup

1.5 Mendefinisikan hierarki resource. Pertimbangan ini meliputi:

    ●  Membuat dan mengelola organisasi

    ●  Mengelola kebijakan organisasi untuk folder, project, dan resource organisasi

    ●  Menggunakan hierarki resource untuk kontrol akses dan pewarisan izin

Bagian 2: Mengonfigurasi keamanan perimeter dan batas

2.1 Merancang keamanan perimeter. Pertimbangan ini meliputi:

    ●  Mengonfigurasi kontrol perimeter jaringan (aturan firewall, firewall hierarkis, Identity-Aware Proxy [IAP], load balancer, dan Certificate Authority Service)

    ●  Mengidentifikasi perbedaan antara pengalamatan pribadi dan publik

    ●  Mengonfigurasi firewall aplikasi web (Google Cloud Armor)

    ●  Mengonfigurasi setelan keamanan Cloud DNS

2.2 Mengonfigurasi segmentasi batas. Pertimbangan ini meliputi:

    ●  Mengonfigurasi properti keamanan jaringan VPC, peering VPC, VPC Bersama, dan aturan firewall

    ●  Mengonfigurasi isolasi jaringan dan enkapsulasi data untuk desain aplikasi tingkat-N

    ●  Mengonfigurasi Kontrol Layanan VPC

2.3 Membangun konektivitas pribadi. Pertimbangan ini meliputi:

    ●  Merancang dan mengonfigurasi konektivitas pribadi antara jaringan VPC dan project Google Cloud (VPC Bersama, peering VPC, dan Akses Google Pribadi untuk host lokal)

    ●  Merancang dan mengonfigurasi konektivitas pribadi antara pusat data dan jaringan VPC (IPsec dan Cloud Interconnect)

    ●  Membangun konektivitas pribadi antara VPC dan Google API (Akses Google Pribadi, akses Google terbatas, Akses Google Pribadi untuk host lokal, Private Service Connect)

    ●  Menggunakan Cloud NAT untuk mengaktifkan traffic keluar

Bagian 3: Memastikan perlindungan data

3.1 Melindungi data sensitif dan mencegah hilangnya data. Pertimbangan ini meliputi:

    ●  Memeriksa dan menyamarkan informasi identitas pribadi (PII)

    ●  Mengonfigurasi pseudonimisasi

    ●  Mengonfigurasi substitusi dengan mempertahankan format

    ●  Membatasi akses ke datastore BigQuery, Cloud Storage, dan Cloud SQL

    ●  Mengamankan secret dengan Secret Manager

    ●  Melindungi dan mengelola metadata instance komputasi

3.2 Mengelola enkripsi dalam penyimpanan, dalam pengiriman, dan dalam penggunaan. Pertimbangan ini meliputi:

    ●  Memahami kasus penggunaan enkripsi default Google, kunci enkripsi yang dikelola pelanggan (CMEK), kunci enkripsi yang disediakan pelanggan (CSEK), Cloud External Key Manager (EKM), dan Cloud HSM

    ●  Membuat dan mengelola kunci enkripsi untuk CMEK, CSEK, dan EKM

    ●  Menerapkan pendekatan enkripsi Google pada kasus penggunaan

    ●  Mengonfigurasi kebijakan siklus proses objek untuk Cloud Storage

    ●  Mengaktifkan Confidential Computing

    ●  Enkripsi dalam pengiriman

Bagian 4: Mengelola operasi dalam lingkungan solusi cloud

4.1 Membangun dan men-deploy infrastruktur dan aplikasi yang aman. Pertimbangan ini meliputi:

    ●  Mengotomatisasi pemindaian keamanan untuk Kerentanan dan Eksposur Umum (CVE) melalui pipeline continuous integration dan continuous delivery (CI/CD)

    ●  Mengotomatisasi pengelolaan patch, pemeliharaan, hardening, dan pembuatan image virtual machine

    ●  Mengotomatisasi pengelolaan patch, pemeliharaan, hardening, verifikasi, dan pembuatan image container

    ●  Mengotomatisasi kebijakan sebagai kode dan deteksi penyimpangan

4.2 Mengonfigurasi logging, pemantauan, dan deteksi. Pertimbangan ini meliputi:

    ●  Mengonfigurasi dan menganalisis log jaringan (log aturan firewall, log aliran VPC, duplikasi paket, Cloud Intrusion Detection System [Cloud IDS])

    ●  Merancang strategi logging yang efektif

    ●  Melakukan logging, memantau, merespons, dan memulihkan insiden keamanan

    ●  Mengekspor log ke sistem keamanan eksternal

    ●  Mengonfigurasi dan menganalisis log akses data dan log audit Google Cloud

    ●  Mengonfigurasi ekspor log (sink log dan sink agregat)

    ●  Mengonfigurasi dan memantau Security Command Center (Security Health Analytics, Deteksi Ancaman Peristiwa, Deteksi Ancaman Container, Web Security Scanner)

Bagian 5: Mendukung persyaratan kepatuhan

5.1 Menentukan persyaratan peraturan untuk cloud. Pertimbangan ini meliputi:

    ●  Menentukan hal-hal yang perlu diperhatikan terkait komputasi, data, dan jaringan

    ●  Mengevaluasi model tanggung jawab bersama untuk keamanan (Transparansi Akses)

    ●  Mengonfigurasi kontrol keamanan dalam lingkungan cloud (regionalisasi data dan layanan)

    ●  Membatasi komputasi dan data untuk kepatuhan terhadap peraturan

    ●  Menentukan lingkungan Google Cloud dalam cakupan kepatuhan terhadap peraturan