Professional Cloud Security Engineer

Guía para el examen de certificación

Un Professional Cloud Security Engineer ayuda a las organizaciones a diseñar e implementar una infraestructura segura en Google Cloud. Gracias a su comprensión de las prácticas recomendadas y los requisitos de seguridad de la industria, esta persona aprovecha las tecnologías de seguridad de Google para diseñar, desarrollar y administrar una infraestructura segura. Un Cloud Security Professional debe dominar todos los aspectos de seguridad de Cloud, como la administración de identidades y accesos, la definición de políticas y estructuras organizativas, el uso de las tecnologías de Google para proteger los datos, la configuración de las defensas de seguridad de la red, la recopilación y el análisis de los registros de Google Cloud, la administración de las respuestas a los incidentes, y la comprensión de las inquietudes relacionadas con las normativas.

1. Configura el acceso dentro del entorno de una solución en la nube

    1.1 Configura Cloud Identity. Se incluyen las siguientes consideraciones:

    • Administración de Cloud Identity
    • Configuración de Google Cloud Directory Sync
    • Administración de la cuenta de administrador avanzado

    1.2 Administra las cuentas de usuario. Se incluyen las siguientes consideraciones:

    • Diseño de funciones de identidad a nivel del proyecto y la organización
    • Automatización del proceso de administración del ciclo de vida de los usuarios
    • Uso de la API

    1.3 Administra las cuentas de servicio. Se incluyen las siguientes consideraciones:

    • Auditoría de cuentas de servicio y claves
    • Automatización de la rotación de claves de cuentas de servicio administradas por el usuario
    • Identificación de las situaciones en las que se necesitan cuentas de servicio
    • Creación, autorización y protección de las cuentas de servicio
    • Administración segura del acceso a la API

    1.4 Administra la autenticación. Se incluyen las siguientes consideraciones:

    • Creación de una política de contraseñas para las cuentas de usuario
    • Establecimiento del lenguaje de marcado para confirmaciones de seguridad (SAML)
    • Configuración y aplicación de la autenticación de dos factores

    1.5 Implementa y administra los controles de autorización. Se incluyen las siguientes consideraciones:

    • Uso de la jerarquía de recursos para el control de acceso
    • Funciones con privilegios y separación de obligaciones
    • Administración de los permisos de IAM con funciones básicas, predefinidas y personalizadas
    • Otorgamiento de permisos a distintos tipos de identidades
    • Comprensión de la diferencia entre la IAM y las LCA de Google Cloud Storage

    1.6 Define las jerarquías de recursos. Se incluyen las siguientes consideraciones:

    • Creación y administración de organizaciones
    • Estructuras de recursos (organizaciones, carpetas y proyectos)
    • Definición y administración de restricciones de la organización
    • Uso de la jerarquía de recursos para el control de acceso y la herencia de permisos
    • Límites de confianza y seguridad de los proyectos de Google Cloud

2. Configura la seguridad de la red

    2.1 Diseña la seguridad de la red. Se incluyen las siguientes consideraciones:

    • Propiedades de seguridad de las redes de VPC, los intercambios de tráfico de VPC, las VPC compartidas y las reglas de firewall
    • Aislamiento de red y encapsulamiento de datos para el diseño de aplicaciones de nivel N
    • Uso de DNSSEC
    • Direccionamiento público o privado
    • Política de seguridad entre apps

    2.2 Configura la segmentación de red. Se incluyen las siguientes consideraciones:

    • Controles del perímetro de red (IAP y reglas de firewall)
    • Balanceo de cargas (balanceadores de cargas globales, de red, HTTP(S) y de proxy SSL o TCP)

    2.3 Establece la conectividad privada. Se incluyen las siguientes consideraciones:

    • Conectividad RFC1918 privada entre redes de VPC y proyectos de Google Cloud (intercambio de tráfico de VPC y VPC compartida)
    • Conectividad RFC1918 privada entre centros de datos y redes de VPC (IPSEC y Cloud Interconnect)
    • Habilitación de la conectividad privada entre VPC y las API de Google (acceso privado)

3. Garantiza la protección de datos

    3.1 Prevén la pérdida de datos con la API de DLP. Se incluyen las siguientes consideraciones:

    • Identificación y ocultamiento de PII
    • Configuración de la asignación de token
    • Configuración de la sustitución con preservación de formato
    • Restricción del acceso a los conjuntos de datos de DLP

    3.2 Administra la encriptación en reposo. Se incluyen las siguientes consideraciones:

    • Comprensión de los casos prácticos de encriptación predeterminada y las claves de encriptación administradas por el cliente (CMEK) y proporcionadas por él (CSEK)
    • Creación y administración de las claves de encriptación de las CMEK y CSEK
    • Administración de los secretos de la aplicación
    • Políticas del ciclo de vida del objeto para Cloud Storage
    • Computación en enclaves
    • Encriptación de sobre

4. Administra las operaciones dentro del entorno de una solución en la nube

    4.1 Compila e implementa la infraestructura. Se incluyen las siguientes consideraciones:

    • Estrategia de copia de seguridad y pérdida de datos
    • Creación y automatización de un plan de respuesta ante incidentes
    • Receptores de registros, registros de auditoría y de acceso a los datos para la supervisión casi en tiempo real
    • Modelos en espera
    • Automatización de los análisis de seguridad en busca de riesgos y vulnerabilidades comunes (CVE) mediante una canalización de CI/CD
    • Creación, endurecimiento y mantenimiento de imágenes de máquinas virtuales
    • Creación, endurecimiento, mantenimiento y administración de parches de imágenes de contenedores

    4.2 Compila e implementa aplicaciones. Se incluyen las siguientes consideraciones:

    • Supervisión casi en tiempo real de los registros de aplicación
    • Análisis de código estático
    • Automatización de los análisis de seguridad mediante una canalización de IC/EC

    4.3 Supervisa eventos de seguridad. Se incluyen las siguientes consideraciones:

    • Registro, supervisión, pruebas y alertas de incidentes de seguridad
    • Exportación de registros a sistemas de seguridad externos
    • Análisis automático y manual de los registros de acceso
    • Información sobre las capacidades de Forseti

5. Garantiza el cumplimiento

    5.1 Comprende las inquietudes relacionadas con las normativas. Se incluyen las siguientes consideraciones:

    • Evaluación de las inquietudes relacionadas con el procesamiento, los datos y la red
    • Modelo de responsabilidad compartida de la seguridad
    • Garantías de seguridad de los entornos de ejecución en la nube
    • Restricción del procesamiento y los datos para el cumplimiento de las normativas

    5.2 Comprende las inquietudes relacionadas con los entornos de procesamiento. Se incluyen las siguientes consideraciones:

    • Garantías y restricciones de seguridad para cada entorno de procesamiento (Compute Engine, Google Kubernetes Engine y App Engine)
    • Determinación del entorno de procesamiento que se adecua mejor a los estándares de cumplimiento de la empresa