Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.
Obtén un cupón de certificación de Google Cloud cuando comiences una suscripción anual. Explora los beneficios de la suscripción.

Professional Cloud Security Engineer

Guía para el examen de certificación

Un Cloud Security Engineer permite a las organizaciones diseñar e implementar infraestructura y cargas de trabajo seguras en Google Cloud. Gracias a su comprensión de las prácticas recomendadas y los requisitos de seguridad de la industria, esta persona aprovecha las tecnologías de seguridad de Google para diseñar, desarrollar y administrar una infraestructura segura. El Cloud Security Engineer debe ser competente en todos los aspectos de la seguridad en la nube, incluida la administración de identidades y accesos, la definición de la estructura organizativa y las políticas, el uso de tecnologías de Google para proporcionar protección de datos, la configuración de las defensas de seguridad de la red, la recopilación y el análisis de los registros de Google Cloud, la administración de respuestas a incidentes y la demostración de la comprensión de la aplicación de consideraciones de reglamentos dinámicas.


Sección 1: Configuración del acceso dentro del entorno de una solución en la nube

1.1 Configuración de Cloud Identity. Se incluyen las siguientes consideraciones:

    ●  Administración de Cloud Identity

    ●  Configuración de Google Cloud Directory Sync

    ●  Gestionar la cuenta de administrador avanzado

    ●  Automatizar el proceso de administración del ciclo de vida de los usuarios

    ●  Administrar cuentas de usuario y grupos de manera programática

1.2 Administración de cuentas de servicio. Se incluyen las siguientes consideraciones:

    ●  Proteger y auditar las claves y cuentas de servicio

    ●  Automatizar la rotación de claves de cuentas de servicio administradas por el usuario

    ●  Identificar situaciones que requieren cuentas de servicio

    ●  Crear, autorizar y proteger las cuentas de servicio

    ●  Gestionar de forma segura la administración del acceso a la API

    ●  Administrar y crear credenciales de corta duración

1.3 Administración de la autenticación. Se incluyen las siguientes consideraciones:

    ●  Crear una política de contraseñas para las cuentas de usuario

    ●  Establecer el Lenguaje de marcado para confirmación de seguridad (SAML)

    ●  Configurar y aplicar la autenticación de dos factores

1.4 Implementación y administración de los controles de autorización. Se incluyen las siguientes consideraciones:

    ●  Administrar las funciones con privilegios y separación de obligaciones

    ●  Administrar los permisos de IAM con funciones básicas, predefinidas y personalizadas

    ●  Otorgar permisos a distintos tipos de identidades

    ●  Comprender la diferencia entre la IAM y las LCA de Cloud Storage

    ●  Diseñar funciones de identidad a nivel de la organización, la carpeta, el proyecto y los recursos

    ●  Configurar Access Context Manager

1.5 Definición de jerarquías de recursos. Se incluyen las siguientes consideraciones:

    ●  Crear y administrar organizaciones

    ●  Diseñar políticas de recursos para organizaciones, carpetas, proyectos y recursos

    ●  Administrar las limitaciones de la organización

    ●  Usar la jerarquía de recursos para el control de acceso y la herencia de permisos

    ●  Diseñar y administrar los límites de confianza y seguridad dentro de los proyectos de Google Cloud

Sección 2: Configuración de la seguridad de red

2.1 Diseño de la seguridad de la red. Se incluyen las siguientes consideraciones:

    ●  Configurar los controles del perímetro de la red (reglas de firewall; Identity-Aware Proxy [IAP])

    ●  Configurar el balanceo de cargas (balanceadores de cargas globales, de red, HTTP(S) y de proxy SSL o TCP)

    ●  Identificar las extensiones de seguridad del sistema de nombres de dominio (DNSSEC)

    ●  Identificar las diferencias entre las direcciones públicas y las privadas

    ●  Configurar el firewall de aplicación web (Google Cloud Armor)

    ●  Configurar Cloud DNS

2.2 Configuración de la segmentación de red. Se incluyen las siguientes consideraciones:

    ●  Configurar las propiedades de seguridad de las redes de VPC, el intercambio de tráfico de VPC, las VPC compartidas y las reglas de firewall

    ●  Configurar el aislamiento de red y el encapsulamiento de datos para el diseño de aplicaciones de nivel N

    ●  Configurar la política de seguridad de aplicación a aplicación

2.3 Establecimiento de la conectividad privada. Se incluyen las siguientes consideraciones:

    ●  Diseñar y configurar la conectividad privada RFC1918 entre redes de VPC y proyectos de Google Cloud (VPC compartida o intercambio de tráfico de VPC)

    ●  Diseñar y configurar la conectividad RFC1918 privada entre los centros de datos y la red de VPC (IPsec y Cloud Interconnect)

    ●  Establecer la conectividad privada entre VPC y las API de Google (Acceso privado a Google, Acceso privado a Google para hosts localesy Private Service Connect)

    ●  Configurar Cloud NAT

Sección 3: Aseguramiento de la protección de los datos

3.1 Protección de los datos sensibles. Se incluyen las siguientes consideraciones:

    ●  Inspeccionar y ocultar la información de identificación personal (PII)

    ●  Configurar la seudonimización

    ●  Configurar la sustitución para preservar el formato

    ●  Restringir el acceso a los conjuntos de datos de BigQuery

    ●  Configurar los Controles del servicio de VPC

    ●  Proteger Secrets con Secret Manager

    ●  Proteger y administrar los metadatos de instancias de procesamiento

3.2 Administración de la encriptación en reposo. Se incluyen las siguientes consideraciones:

    ●  Comprender los casos de uso de la encriptación predeterminada de Google, las claves de encriptación administradas por el cliente (CMEK), las claves de encriptación proporcionadas por el cliente (CSEK), Cloud External Key Manager (EKM) y Cloud HSM

    ●  Crear y administrar claves de encriptación para CMEK, CSEK y EKM

    ●  Aplicar el enfoque de encriptación de Google en los casos de uso

    ●  Configurar las políticas de ciclo de vida de objetos para Cloud Storage

    ●  Habilitar Confidential Computing

Sección 4: Gestión de operaciones en un entorno de nube

4.1 Creación e implementación de infraestructura y aplicaciones seguras. Se incluyen las siguientes consideraciones:

    ●  Automatizar los análisis de seguridad en busca de vulnerabilidades y exposiciones comunes (CVE) mediante una canalización de CI/CD

    ●  Automatizar la creación, el endurecimiento y el mantenimiento de imágenes de máquinas virtuales

    ●  Automatizar la creación, la verificación, el endurecimiento, el mantenimiento y la administración de parches de imágenes de contenedores

4.2 Configuración de registro, supervisión y detección. Se incluyen las siguientes consideraciones:

    ●  Configurar y analizar los registros de red (registros de reglas de firewall, registros de flujo de VPC, duplicación de paquetes)

    ●  Diseñar una estrategia de registro eficaz

    ●  Registrar y supervisar los incidentes de seguridad, así como responder a ellos y solucionarlos

    ●  Exportar registros a sistemas de seguridad externos

    ●  Configurar y analizar los registros de auditoría y los registros de acceso a datos de Google Cloud

    ●  Configurar las exportaciones de registros (receptores de registros, receptores agregados, enrutador de registros)

    ●  Configurar y supervisar Security Command Center (Security Health Analytics, Event Threat Detection, Container Threat Detection y Web Security Scanner)

Sección 5: Garantía de cumplimiento

5.1 Determinación de los requisitos reglamentarios para la nube. Se incluyen las siguientes consideraciones:

    ●  Determinar las inquietudes relativas al procesamiento, los datos y la red

    ●  Evaluar el modelo de responsabilidad compartida de la seguridad

    ●  Configurar los controles de seguridad en entornos de nube

    ●  Restringir el procesamiento y los datos para el cumplimiento de las normativas

    ●  Determinar el entorno de Google Cloud en el alcance del cumplimiento de reglamentos