Professional Cloud Security Engineer

Guide de l'examen de certification

Un Professional Cloud Security Engineer aide les entreprises à concevoir et à mettre en œuvre une infrastructure sécurisée sur Google Cloud. Grâce à sa compréhension des bonnes pratiques et des exigences en termes de sécurité dans le secteur, ce professionnel conçoit, développe et gère une infrastructure sûre à l'aide des technologies de sécurité de Google. Le Cloud Security Professional doit maîtriser tous les aspects de la sécurité du cloud, y compris la gestion de l'authentification et des accès, la définition de la structure et des règles organisationnelles, l'utilisation des technologies de Google pour la protection des données, la configuration des défenses de sécurité du réseau, la collecte et l'analyse des journaux Google Cloud, et la gestion des réponses aux incidents. Il doit aussi comprendre les problématiques liées à la réglementation.

1. Configurer les accès au sein d'un environnement de solution cloud

    1.1 Configurer Cloud Identity. Points à prendre en compte :

    • Gestion de Cloud Identity
    • Configuration de Google Cloud Directory Sync
    • Gestion d'un compte de super-administrateur

    1.2 Gérer les comptes utilisateur. Points à prendre en compte :

    • Définition des rôles d'identité au niveau du projet et de l'organisation
    • Automatisation du processus de gestion du cycle de vie des comptes utilisateur
    • Utilisation de l'API

    1.3 Gérer les comptes de service. Points à prendre en compte :

    • Audit des clés et des comptes de service
    • Automatisation de la rotation des clés de compte de service gérées par les utilisateurs
    • Identification des scénarios nécessitant des comptes de service
    • Création, autorisation et sécurisation des comptes de service
    • Gestion sécurisée de l'accès aux API

    1.4 Gérer l'authentification. Points à prendre en compte :

    • Création de règles relatives aux mots de passe pour les comptes utilisateur
    • Mise en place du langage SAML (Security Assertion Markup Language)
    • Configuration et application d'une authentification à deux facteurs

    1.5 Gérer et mettre en œuvre des contrôles d'autorisation. Points à prendre en compte :

    • Utilisation de la hiérarchie des ressources pour le contrôle des accès
    • Rôles privilégiés et séparation des tâches
    • Gestion des autorisations IAM avec des rôles de base, prédéfinis et personnalisés
    • Octroi d'autorisations à différents types d'identités
    • Compréhension de la différence entre les listes ACL et IAM dans Google Cloud Storage

    1.6 Définir la hiérarchie des ressources. Points à prendre en compte :

    • Création et gestion d'organisations
    • Structures de ressources (organisations, dossiers et projets)
    • Définition et gestion des contraintes d'organisation
    • Utilisation de la hiérarchie des ressources pour le contrôle d'accès et l'héritage des autorisations
    • Limites de confiance et de sécurité dans les projets Google Cloud

2. Configurer la sécurité du réseau

    2.1 Concevoir la sécurité du réseau. Points à prendre en compte :

    • Propriétés de sécurité d'un réseau VPC, appairage de VPC, VPC partagé et règles de pare-feu
    • Isolement du réseau et encapsulation des données pour la conception d'applications à N niveaux
    • Utilisation de DNSSEC
    • Adressage privé ou public
    • Règles de sécurité entre applications

    2.2 Configurer la segmentation du réseau. Points à prendre en compte :

    • Contrôles de périmètre réseau (règles de pare-feu, IAP)
    • Équilibrage de charge (équilibreurs de charge mondiaux, réseau, HTTP(S), proxy SSL et proxy TCP)

    2.3 Établir une connectivité privée. Points à prendre en compte :

    • Connectivité RFC1918 privée entre les réseaux VPC et les projets Google Cloud (VPC partagé, appairage de VPC)
    • Connectivité RFC1918 privée entre les centres de données et le réseau VPC (IPSEC et Cloud Interconnect)
    • Activation de la connectivité privée entre le VPC et les API Google (accès privé)

3. Assurer la protection des données

    3.1 Prévenir la perte de données avec l'API DLP. Points à prendre en compte :

    • Identification et masquage des informations personnelles
    • Configuration de la tokenisation
    • Configuration de la substitution avec préservation du format
    • Restriction de l'accès aux ensembles de données DLP

    3.2 Gérer le chiffrement au repos. Points à prendre en compte :

    • Compréhension des cas d'utilisation du chiffrement par défaut, des clés de chiffrement gérées par le client (CMEK) et des clés de chiffrement fournies par le client (CSEK)
    • Création et gestion de clés de chiffrement pour CMEK et CSEK
    • Gestion des codes secrets d'application
    • Règles relatives au cycle de vie des objets pour Cloud Storage
    • Calcul enclavé
    • Chiffrement encapsulé

4. Gérer les opérations dans un environnement de solution cloud

    4.1 Concevoir et déployer l'infrastructure. Points à prendre en compte :

    • Stratégie de sauvegarde et de perte de données
    • Création et automatisation d'un plan de gestion des incidents
    • Récepteurs de journaux, journaux d'audit et journaux d'accès aux données pour une surveillance en quasi-temps réel
    • Modèles de secours
    • Automatisation de l'analyse de sécurité pour les failles CVE courantes (Common Vulnerabilities and Exposures) via un pipeline CI/CD
    • Création, renforcement et maintenance des images de machines virtuelles
    • Création, renforcement, maintenance et gestion des correctifs pour les images de conteneurs

    4.2 Concevoir et déployer des applications. Points à prendre en compte :

    • Surveillance des journaux d'application en quasi-temps réel
    • Analyse du code statique
    • Automatisation de l'analyse de sécurité via un pipeline CI/CD

    4.3  Surveiller les événements de sécurité. Points à prendre en compte :

    • Journalisation, surveillance, test et alerte en cas d'incident de sécurité
    • Exportation des journaux vers des systèmes de sécurité externes
    • Analyse automatisée et manuelle des journaux d'accès
    • Compréhension des capacités de Forseti

5. Assurer la conformité

    5.1 Comprendre les problématiques liées à la réglementation. Points à prendre en compte :

    • Évaluation des préoccupations relatives au calcul, aux données et au réseau
    • Modèle de responsabilité partagée en matière de sécurité
    • Garanties de sécurité dans les environnements d'exécution cloud
    • Limitation des calculs et des données pour la conformité réglementaire

    5.2 Comprendre les problématiques liées aux environnements de calcul. Points à prendre en compte :

    • Garanties et contraintes de sécurité pour chaque environnement de calcul (Compute Engine, Google Kubernetes Engine, App Engine)
    • Détermination de l'environnement de calcul approprié en fonction des normes de conformité de l'entreprise