Professional Cloud Security Engineer
Prüfungsleitfaden
Mit einem Cloud Security Engineer können Unternehmen sichere Arbeitslasten und eine sichere Infrastruktur in Google Cloud entwerfen und implementieren. Anhand seiner Kenntnisse der Best Practices und Branchenanforderungen entwirft, entwickelt und verwaltet er sichere Lösungen mithilfe von Google-Sicherheitstechnologien. Ein Cloud Security Engineer ist Experte in der Identitäts- und Zugriffsverwaltung. Er kennt sich aus mit der Definition von organisatorischen Sicherheitsstrukturen und -richtlinien, der Verwendung von Google Cloud-Technologien zum Datenschutz, der Konfiguration der Netzwerksicherheit, dem Monitoring von Umgebungen auf Bedrohungen, der Sicherheitsautomatisierung, KI-Sicherheit, der sicheren Softwarelieferkette und der Durchsetzung gesetzlicher Kontrollen.
Abschnitt 1: Zugriff konfigurieren (ca. 27 % der Prüfung)
1.1 Cloud Identity verwalten Folgende Punkte gehören dazu:
● Google Cloud Directory Sync und Connectors von Drittanbietern konfigurieren
● Super Admin-Konto verwalten
● Verwaltung des Nutzerlebenszyklus automatisieren
● Nutzerkonten und -gruppen programmatisch verwalten
● Workforce Identity-Föderation konfigurieren
1.2 Dienstkonten verwalten. Folgende Punkte gehören dazu:
● Dienstkonten (einschließlich Standarddienstkonten) sichern und schützen
● Szenarien ermitteln, für die Dienstkonten erforderlich sind
● Dienstkonten erstellen, deaktivieren und autorisieren
● Nutzung von Dienstkontoschlüsseln sichern, prüfen und minimieren
● Kurzlebige Anmeldedaten verwalten und erstellen
● Workload Identity-Föderation konfigurieren
● Identitätswechsel für Dienstkonten verwalten
1.3 Authentifizierung verwalten. Folgende Punkte gehören dazu:
● Richtlinie zur Passwort- und Sitzungsverwaltung für Nutzerkonten erstellen
● Security Assertion Markup Language (SAML) und OAuth einrichten
● Bestätigung in zwei Schritten konfigurieren und erzwingen
1.4 Autorisierungskontrollen verwalten und implementieren. Folgende Punkte gehören dazu:
● Privilegierte Rollen und Aufgabentrennung mit IAM-Rollen und -Berechtigungen verwalten
● Berechtigungen für IAM und Access Control List (ACL) verwalten
● Unterschiedlichen Arten von Identitäten Berechtigungen gewähren, einschließlich der Verwendung von IAM-Bedingungen und IAM-Ablehnungsrichtlinien
● Identitätsrollen auf Organisations-, Ordner-, Projekt- und Ressourcenebene entwerfen
● Access Context Manager konfigurieren
● Anwendung von Policy Intelligence für eine bessere Berechtigungsverwaltung
● Berechtigungen über Gruppen verwalten
1.5 Ressourcenhierarchie definieren. Folgende Punkte gehören dazu:
● Organisationen in großem Umfang erstellen und verwalten
● Verwaltung von Organisationsrichtlinien für Organisationsordner, -projekte und -ressourcen
● Ressourcenhierarchie für die Zugriffssteuerung und Übernahme von Berechtigungen verwenden
Abschnitt 2: Kommunikation sichern und Absicherung der Grenzen festlegen (ca. 21 % der Prüfung)
2.1 Perimetersicherheit entwerfen und konfigurieren. Folgende Punkte gehören dazu:
● Netzwerk-Perimeterkontrollen konfigurieren (Firewallregeln, hierarchische Firewallrichtlinien, Identity-Aware Proxy [IAP], Load Balancer und Certificate Authority Service)
● Unterscheidung zwischen privater und öffentlicher IP-Adressierung
● Firewall für Webanwendung konfigurieren (Google Cloud Armor)
● Secure Web Proxy bereitstellen
● Cloud DNS-Sicherheitseinstellungen konfigurieren
● Kontinuierliches Monitoring und Einschränken konfigurierter APIs
2.2 Grenzensegmentierung konfigurieren. Folgende Punkte gehören dazu:
● CSicherheitsattribute eines VPC-Netzwerks, VPC-Peering, freigegebener VPC und Firewallregeln konfigurieren
● Netzwerkisolation und Datenkapselung für n-stufige Anwendungen konfigurieren
● VPC Service Controls konfigurieren
2.3 Private Verbindung herstellen. Folgende Punkte gehören dazu:
● Entwerfen und Konfigurieren der privaten Verbindung zwischen VPC-Netzwerken und Google Cloud-Projekten (freigegebene VPC, VPC-Peering und privater Google-Zugriff für lokale Hosts)
● Private Verbindungen zwischen Rechenzentren und einem VPC-Netzwerk (HA-VPN, IPsec, MACsec und Cloud Interconnect) entwerfen und konfigurieren
● Private Verbindung zwischen VPC und Google APIs herstellen (privater Google-Zugriff, privater Google-Zugriff für lokale Hosts, eingeschränkter Google-Zugriff, Private Service Connect)
● Ausgehenden Traffic mit Cloud NAT aktivieren
Abschnitt 3: Datenschutz gewährleisten (ca. 20 % der Prüfung)
3.1 Sensible Daten schützen und Datenverluste verhindern. Folgende Punkte gehören dazu:
● Personenidentifizierbare Informationen prüfen und entfernen
● Kontinuierliche Erkennung sensibler Daten (strukturiert und unstrukturiert) sicherstellen
● Pseudonymisierung konfigurieren
● Formaterhaltende Verschlüsselung konfigurieren
● Zugriff auf BigQuery-, Cloud Storage- und Cloud SQL-Datenspeicher beschränken
● Secrets mit Secret Manager sichern
● Metadaten von Compute-Instanzen schützen und verwalten
3.2 Verschlüsselung ruhender Daten bei der Übertragung und bei der Verwendung. Folgende Punkte gehören dazu:
● Identifizieren von Anwendungsfällen für die Standardverschlüsselung von Google, vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK), Cloud External Key Manager (EKM) und Cloud HSM
● Verschlüsselungsschlüssel für CMEK und CSEK erstellen und verwalten
● Verschlüsselungskonzept von Google auf Anwendungsfälle anwenden
● Richtlinien für den Objektlebenszyklus für Cloud Storage konfigurieren
● Confidential Computing aktivieren
3.3 Sicherheit und Datenschutz in KI planen. Folgende Punkte gehören dazu:
● Implementierung von Sicherheitskontrollen für KI/ML-Systeme (z. B. Schutz vor unbeabsichtigter Ausnutzung von Daten oder Modellen)
● Sicherheitsanforderungen für von IaaS gehostete und PaaS-gehostete Trainingsmodelle bestimmen
Abschnitt 4: Betriebsabläufe verwalten (ca. 22 % der Prüfung)
4.1 Infrastruktur- und Anwendungssicherheit automatisieren. Folgende Punkte gehören dazu:
● Automatisiertes Sicherheitsscans für Common Vulnerabilities and Exposures (CVEs) über eine Continuous Integration- und Continuous Delivery-Pipeline (CI/CD)
● Binärautorisierung zum Sichern von GKE-Clustern oder Cloud Run konfigurieren
● Automatisierte Erstellung, Härtung, Wartung und Patchverwaltung von virtuellen Maschinen-Images
● Container-Image-Erstellung, -Überprüfung, -Härtung, -Wartung und -Patchverwaltung automatisieren
● Richtlinien- und Drifterkennung in großem Maßstab verwalten (benutzerdefinierte Organisationsrichtlinien und benutzerdefinierte Module für Security Health Analytics)
4.2 Logging, Monitoring und Erkennung konfigurieren. Folgende Punkte gehören dazu:
● Netzwerklogs konfigurieren und analysieren (Logging von Firewallregeln, VPC-Flusslogs, Paketspiegelung, Cloud Intrusion Detection System [Cloud IDS], Loganalysen)
● Entwicklung einer effektiven Logging-Strategie
● Sicherheitsvorfälle protokollieren, beobachten, darauf reagieren und beheben
● Sicheren Zugriff auf Logs entwerfen
● Logs in externe Sicherheitssysteme exportieren
● Google Cloud-Audit-Logs und Datenzugriffslogs konfigurieren und analysieren
● Konfigurieren von Logexporten (Logsenken und Senken)
● Security Command Center konfigurieren und überwachen
Abschnitt 5: Compliance-Anforderungen einhalten (ca. 10 % der Prüfung)
5.1 Gesetzliche Anforderungen für die Cloud ermitteln. Folgende Punkte gehören dazu:
● Bedenken in Bezug auf Computing, Daten, Netzwerk und Speicher abklären
● Bewertung des Modells der geteilten Verantwortung
● Sicherheitskontrollen in Cloud-Umgebungen konfigurieren, um Compliance-Anforderungen zu erfüllen (Regionalisierung von Daten und Diensten)
● Einschränkung von Computing und Daten zur Einhaltung gesetzlicher Vorschriften (Assured Workloads, Organisationsrichtlinien, Access Transparency, Zugriffsgenehmigung)
● Google Cloud-Umgebung im Rahmen der Einhaltung gesetzlicher Vorschriften festlegen