Professional Cloud Security Engineer

Prüfungsleitfaden

Ein Professional Cloud Security Engineer unterstützt Organisationen dabei, eine sichere Infrastruktur auf der Google Cloud Platform zu entwerfen und zu implementieren. Anhand seiner Kenntnisse der Best Practices und Branchenanforderungen im Sicherheitsbereich entwirft, entwickelt und verwaltet er sichere Infrastrukturen mithilfe von Google-Sicherheitstechnologien. Ein Professional Cloud Security Engineer sollte mit allen Aspekten der Cloud-Sicherheit vertraut sein. Hierzu gehören die Identitäts- und Zugriffsverwaltung, das Definieren von Organisationsstrukturen und -richtlinien, der Einsatz von Google-Technologien für den Datenschutz, die Konfiguration der Netzwerksicherheit, das Erfassen und Analysieren von Google Cloud Platform-Logs, Reaktionen auf Vorfälle sowie Kenntnisse über rechtliche Vorschriften.

1. Zugriff in einer Cloud-Lösungsumgebung konfigurieren

    1.1 Cloud Identity konfigurieren. Folgendes sollte dabei berücksichtigt werden:

    • Cloud Identity verwalten
    • Google Cloud Directory Sync konfigurieren
    • Super Admin-Konto verwalten

    1.2 Nutzerkonten verwalten. Folgendes sollte dabei berücksichtigt werden:

    • Identitätsrollen auf Projekt- und Organisationsebene entwerfen
    • Verwaltung des Nutzerlebenszyklus automatisieren
    • API-Nutzung

    1.3 Dienstkonten verwalten. Folgendes sollte dabei berücksichtigt werden:

    • Dienstkonten und Schlüssel prüfen
    • Rotation von Dienstkontoschlüsseln automatisieren, die von Nutzern verwaltet werden
    • Szenarien ermitteln, in denen Dienstkonten benötigt werden
    • Dienstkonten erstellen, autorisieren und schützen
    • Sichere Zugriffsverwaltung verwalteter APIs

    1.4 Authentifizierung verwalten. Folgendes sollte dabei berücksichtigt werden:

    • Passwortrichtlinie für Nutzerkonten erstellen
    • Security Assertion Markup Language (SAML) festlegen
    • Bestätigung in zwei Schritten konfigurieren und erzwingen

    1.5 Autorisierungskontrollen verwalten und implementieren. Folgendes sollte dabei berücksichtigt werden:

    • Ressourcenhierarchie für Zugriffssteuerung verwenden
    • Privilegierte Rollen und Aufgabentrennung
    • IAM-Berechtigungen über einfache, vordefinierte und benutzerdefinierte Rollen verwalten
    • Unterschiedlichen Arten von Identitäten Berechtigungen gewähren
    • Unterschiede zwischen IAM und ACLs für Google Cloud Storage kennen

    1.6 Ressourcenhierarchie definieren. Folgendes sollte dabei berücksichtigt werden:

    • Organisationen erstellen und verwalten
    • Ressourcenstrukturen (Organisationen, Ordner und Projekte)
    • Organisationseinschränkungen definieren und verwalten
    • Ressourcenhierarchie für die Zugriffssteuerung und Übernahme von Berechtigungen verwenden
    • Vertrauens- und Sicherheitsgrenzen in GCP-Projekten

2. Netzwerksicherheit konfigurieren

    2.1 Netzwerksicherheit gestalten. Folgendes sollte dabei berücksichtigt werden:

    • Sicherheitseigenschaften eines VPC-Netzwerks, VPC-Peering, freigegebene VPC und Firewallregeln
    • Netzwerkisolation und Datenkapselung für ein n-stufiges Anwendungsdesign
    • Einsatz von DNSSEC
    • Private und öffentliche Adressierung im Vergleich
    • Anwendungsübergreifende Sicherheitsrichtlinie

    2.2 Netzwerksegmentierung konfigurieren. Folgendes sollte dabei berücksichtigt werden:

    • Netzwerk-Perimeterkontrollen (Firewallregeln; IAP)
    • Load-Balancing (globale, Netzwerk-, HTTP(S)-, SSL-Proxy- und TCP-Proxy-Load-Balancer)

    2.3 Private Verbindungen herstellen. Folgendes sollte dabei berücksichtigt werden:

    • Private Verbindungen gemäß RFC1918 zwischen VPC-Netzwerken und GCP-Projekten (freigegebene VPC, VPC-Peering)
    • Private Verbindungen gemäß RFC1918 zwischen Rechenzentren und einem VPC-Netzwerk (IPSEC und Cloud Interconnect)
    • Private Verbindungen zwischen VPC und Google APIs herstellen (privater Zugriff)

3. Datenschutz sicherstellen

    3.1 Datenverlust mit der DLP API verhindern. Folgendes sollte dabei berücksichtigt werden:

    • Personenidentifizierbare Informationen erkennen und entfernen
    • Tokenisierung konfigurieren
    • Formaterhaltende Substitution konfigurieren
    • Zugriff auf DLP-Datasets einschränken

    3.2 Verschlüsselung inaktiver Daten verwalten. Folgendes sollte dabei berücksichtigt werden:

    • Wissen, in welchen Fällen die Standardverschlüsselung, von Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) oder von Kunden bereitgestellte Verschlüsselungsschlüssel (Customer-Supplied Encryption Keys, CSEK) eingesetzt werden sollen
    • Verschlüsselungsschlüssel für CMEK und CSEK erstellen und verwalten
    • Anwendungs-Secrets verwalten
    • Richtlinien für den Objektlebenszyklus bei Cloud Storage
    • Enclave-Computing
    • Envelope-Verschlüsselung

4. Vorgänge in einer Cloud-Lösungsumgebung verwalten

    4.1 Infrastruktur erstellen und bereitstellen. Folgendes sollte dabei berücksichtigt werden:

    • Strategie für Sicherung und Datenverlust
    • Reaktionsplan für Vorfälle erstellen und automatisieren
    • Logsenken, Audit-Logs und Datenzugriffslogs für echtzeitnahes Monitoring
    • Standby-Modelle
    • Sicherheitsscans auf häufige Sicherheitslücken (Common Vulnerabilities and Exposures, CVEs) über eine CI/CD-Pipeline automatisieren
    • VM-Images erstellen, härten und pflegen
    • Container-Images erstellen, härten, pflegen und Patches dafür verwalten

    4.2 Anwendungen erstellen und bereitstellen. Folgendes sollte dabei berücksichtigt werden:

    • Echtzeitnahes Monitoring von Anwendungslogs
    • Analyse von statischem Code
    • Sicherheitsscans über eine CI/CD-Pipeline automatisieren

    4.3 Monitoring von Sicherheitshinweisen. Folgendes sollte dabei berücksichtigt werden:

    • Logging, Monitoring, Tests und Benachrichtigungen bei Sicherheitsvorfällen
    • Logs in externe Sicherheitssysteme exportieren
    • Automatische und manuelle Analyse von Zugriffslogs
    • Funktionen von Forseti kennen

5. Compliance sicherstellen

    5.1 Kenntnisse über rechtliche Vorschriften. Folgendes sollte dabei berücksichtigt werden:

    • Mögliche Probleme in Bezug auf Computing, Daten und Netzwerke evaluieren
    • Modell der geteilten Verantwortung für die Sicherheit
    • Sicherheitsgarantien innerhalb cloudbasierter Ausführungsumgebungen
    • Zwecks Einhaltung gesetzlicher Vorschriften Computing und Daten beschränken

    5.2 Kenntnisse über Aspekte der Computing-Umgebung. Folgendes sollte dabei berücksichtigt werden:

    • Sicherheitsgarantien und -einschränkungen für die einzelnen Computing-Umgebungen (Compute Engine, Kubernetes Engine, App Engine)
    • Geeignete Computing-Umgebung anhand der Compliance-Standards des Unternehmens ermitteln