Obtén un cupón de certificación, acceso a todas las capacitaciones on demand y USD 500 en créditos de Google Cloud a través de Innovators Plus. Explora todos los beneficios.

Professional Cloud Security Engineer

Guía para el examen de certificación

Un Cloud Security Engineer permite a las organizaciones diseñar e implementar infraestructura y cargas de trabajo seguras en Google Cloud. Gracias a su comprensión de las prácticas recomendadas y los requisitos de seguridad de la industria, esta persona usa las tecnologías de seguridad de Google para diseñar, desarrollar y administrar una solución segura. Un Cloud Security Engineer es un experto en la administración de identidades y accesos, ya que define la estructura y las políticas de seguridad de la organización; usa las tecnologías de Google Cloud para proporcionar protección de datos; configura defensas de seguridad de red; supervisa entornos para encontrar amenazas y aplicar automatización de la seguridad, seguridad de la IA y cadena de suministro de software segura, y aplica controles regulatorios.

Registrarse ahora Registrarse ahora

Sección 1: Configuración del acceso (aprox. el 27% del examen)

1.1 Administrar Cloud Identity Se incluyen las siguientes consideraciones:

    ●  Configuración de Google Cloud Directory Sync y conectores de terceros

    ●  Administrar una cuenta de administrador avanzado

    ●  Automatización del proceso de administración del ciclo de vida de los usuarios

    ●  Administrar cuentas de usuario y grupos de manera programática

    ● Configuración de la federación de identidades del personal

1.2 Administración de cuentas de servicio. Se incluyen las siguientes consideraciones:

    ●  Protección y seguridad de las cuentas de servicio (incluidas las cuentas de servicio predeterminadas)

    ●  Identificar situaciones que requieren cuentas de servicio

    ●  Creación, inhabilitación y autorización de cuentas de servicio

    ●  Protección, auditoría y mitigación del uso de claves de cuentas de servicio

    ●  Administrar y crear credenciales de corta duración

    ●  Configuración de la federación de identidades para cargas de trabajo

    ●  Administrar la suplantación de identidad de cuentas de servicio

1.3 Administración de la autenticación. Se incluyen las siguientes consideraciones:

    ●  Creación de una política de administración de contraseñas y sesiones para las cuentas de usuario

    ●  Configuración del lenguaje de marcado para confirmaciones de seguridad (SAML) y OAuth

    ●  Configuración y aplicación de la verificación en dos pasos

1.4 Implementación y administración de los controles de autorización. Se incluyen las siguientes consideraciones:

    ●  Administración de funciones con privilegios y separación de obligaciones con roles y permisos de Identity and Access Management (IAM)

    ●  Administrar permisos de IAM y lista de control de acceso (LCA)

    ●  Otorgamiento de permisos a distintos tipos de identidades, incluido el uso de las condiciones de IAM y las políticas de denegación de IAM

    ●  Diseñar funciones de identidad a nivel de la organización, la carpeta, el proyecto y los recursos

    ●  Configurar Access Context Manager

    ●  Aplicar Policy Intelligence para una mejor administración de permisos

    ●  Administración de permisos mediante grupos

1.5 Definición de jerarquías de recursos. Se incluyen las siguientes consideraciones:

    ●  Creación y administración de organizaciones a gran escala

    ●  Administración de políticas de la organización para carpetas, proyectos y recursos de la organización

    ●  Usar la jerarquía de recursos para el control de acceso y la herencia de permisos

Sección 2: Protección de las comunicaciones y establecimiento de la protección de los límites (aprox. el 21% del examen)

2.1 Diseño y configuración de la seguridad perimetral. Se incluyen las siguientes consideraciones:

    ●  Configuración de controles del perímetro de red (reglas de firewall, políticas jerárquicas de firewall, Identity-Aware Proxy [IAP], balanceadores de cargas y Certificate Authority Service)

    ●  Diferenciación entre direccionamiento IP público y privado

    ●  Configuración del firewall de aplicación web (Google Cloud Armor)

    ●  Implementación de proxy web seguro

    ●  Configuración de la seguridad de Cloud DNS

    ●  Supervisión y restricción continuas de las APIs configuradas

2.2 Configuración de la segmentación de límites. Se incluyen las siguientes consideraciones:

    ●  Configurar las propiedades de seguridad de las redes de VPC, el intercambio de tráfico de VPC, las VPC compartidas y las reglas de firewall

    ●  Configuración del aislamiento de red y el encapsulamiento de datos para aplicaciones de nivel N

    ●  Configurar los Controles del servicio de VPC

2.3 Establecimiento de la conectividad privada. Se incluyen las siguientes consideraciones:

    ●  Diseño y configuración de la conectividad privada entre redes de VPC y proyectos de Google Cloud (VPC compartida, intercambio de tráfico entre VPC y acceso privado a Google para hosts locales)

    ●  Diseño y configuración de conectividad privada entre centros de datos y la red de VPC (VPN con alta disponibilidad, IPsec, MACsec y Cloud Interconnect)

    ●  Establecimiento de la conectividad privada entre VPC y las APIs de Google (Acceso privado a Google, Acceso privado a Google para hosts locales, Acceso restringido a Google y Private Service Connect)

    ●  Uso de Cloud NAT para habilitar el tráfico saliente

Sección 3: Garantizar la protección de los datos (aprox. el 20% del examen)

3.1 Protección de los datos sensibles y prevención de su pérdida. Se incluyen las siguientes consideraciones:

    ●  Inspeccionar y ocultar la información de identificación personal (PII)

    ●  Garantía del descubrimiento continuo de los datos sensibles (estructurados y no estructurados)

    ●  Configurar la seudonimización

    ●  Configuración de la encriptación de preservación de formato

    ●  Restricción del acceso a BigQuery, Cloud Storage y los almacenes de datos de Cloud SQL

    ●  Proteger Secrets con Secret Manager

    ●  Proteger y administrar los metadatos de instancias de procesamiento

3.2 Administración de la encriptación en reposo, en tránsito y en uso. Se incluyen las siguientes consideraciones:

    ●  Identificación de los casos de uso de la encriptación predeterminada de Google, las claves de encriptación administradas por el cliente (CMEK), Cloud External Key Manager (EKM) y Cloud HSM

    ●  Creación y administración de las claves de encriptación para CMEK y EKM

    ●  Aplicar el enfoque de encriptación de Google en los casos de uso

    ●  Configurar las políticas de ciclo de vida de objetos para Cloud Storage

    ●  Habilitar Confidential Computing

3.3 Planificación para la seguridad y la privacidad de la IA. Se incluyen las siguientes consideraciones:

    ●  Implementación de controles de seguridad para sistemas de IA y AA (p.ej., protección contra la explotación no intencional de datos o modelos)

    ●  Determinación de los requisitos de seguridad para los modelos de entrenamiento alojados en IaaS y PaaS

Sección 4: Administración de operaciones (aprox. el 22% del examen)

4.1 Automatización de la seguridad de la infraestructura y las aplicaciones. Se incluyen las siguientes consideraciones:

    ●  Automatización de los análisis de seguridad en busca de riesgos y vulnerabilidades comunes (CVE) mediante canalización de integración y entrega continuas (CI/CD)

    ●  Configuración de la Autorización binaria para proteger clústeres de GKE o Cloud Run

    ●  Automatizar la creación, el endurecimiento, el mantenimiento y la administración de parches de imágenes de máquinas virtuales

    ●  Automatizar la creación, la verificación, el endurecimiento, el mantenimiento y la administración de parches de imágenes de contenedores

    ●  Administración de la detección de desvíos y políticas a gran escala (políticas de la organización personalizadas y módulos personalizados para Security Health Analytics)

4.2 Configuración de registro, supervisión y detección. Se incluyen las siguientes consideraciones:

    ●  Configuración y análisis de registros de red (registros de reglas de firewall, registros de flujo de VPC, Duplicación de paquetes, Sistema de detección de intrusiones de Cloud [IDS de Cloud], Análisis de registros)

    ●  Diseñar una estrategia de registro eficaz

    ●  Registrar y supervisar los incidentes de seguridad, así como responder a ellos y solucionarlos

    ●  Diseño de acceso seguro a los registros

    ●  Exportar registros a sistemas de seguridad externos

    ●  Configurar y analizar los registros de auditoría y los registros de acceso a datos de Google Cloud

    ●  Configurar la exportación de registros (receptores de registros y receptores agregados)

    ●  Configuración y supervisión de Security Command Center

Sección 5: Apoyo a los requisitos de cumplimiento (aprox. el 10% del examen)

5.1 Determinación de los requisitos reglamentarios para la nube. Se incluyen las siguientes consideraciones:

    ●  Determinación de las inquietudes relativas al procesamiento, los datos, la red y el almacenamiento

    ●  Evaluación del modelo de responsabilidad compartida

    ●  Configuración de controles de seguridad dentro de los entornos de nube para respaldar los requisitos de cumplimiento (regionalización de datos y servicios)

    ●  Restricción del procesamiento y los datos para el cumplimiento de las normativas (Assured Workloads, políticas de la organización, Transparencia de acceso y aprobación de acceso)

    ●  Determinación del entorno de Google Cloud en el alcance del cumplimiento de reglamentaciones

Da el siguiente paso

Dinos en qué estás trabajando. Un experto de Google Cloud te ayudará a encontrar la mejor solución.

Comunicarse con Ventas

Da el siguiente paso

Dinos en qué estás trabajando. Un experto de Google Cloud te ayudará a encontrar la mejor solución.

Comunicarse con Ventas