Bénéficiez d'un coupon de certification, d'un accès à toutes les formations à la demande et de 500 $ de crédits Google Cloud grâce au programme Innovators Plus. Découvrez tous les avantages.

Professional Cloud Security Engineer

Guide de l'examen de certification

Un Cloud Security Engineer permet aux entreprises de concevoir et d'implémenter des charges de travail et une infrastructure sécurisées sur Google Cloud. Grâce à ses connaissances des bonnes pratiques et des exigences liées à la sécurité dans le secteur, il conçoit, développe et gère une infrastructure sécurisée à l'aide des technologies de sécurité Google. Il doit maîtriser la gestion de l'authentification et des accès. Pour cela, il s'appuie sur : la définition de la structure et des règles organisationnelles de sécurité ; l'utilisation de technologies Google Cloud pour assurer la protection des données ; la configuration de défenses de sécurité du réseau ; l'application de contrôles réglementaires et la surveillance des environnements contre les menaces, pour assurer l'automatisation de la sécurité, ainsi que la sécurité de l'IA et de la chaîne d'approvisionnement logicielle.

S'inscrireS'inscrire

Section 1 : Configurer l'accès (environ 27 % de l'examen)

1.1 Gestion de Cloud Identity. Voici quelques points à prendre en compte :

    ●  Configuration de Google Cloud Directory Sync et de connecteurs tiers

    ●  Gestion d'un compte super-administrateur

    ●  Automatisation du processus de gestion du cycle de vie des utilisateurs

    ●  Administration automatisée des comptes utilisateur et des groupes

    ●  Configuration d'une fédération des identités des employés

1.2 Gérer les comptes de service. Voici quelques points à prendre en compte :

    ●  Sécurisation et protection des comptes de service (y compris les comptes de service par défaut)

    ●  Identification des scénarios nécessitant des comptes de service

    ●  Création, désactivation et autorisation des comptes de service

    ●  Sécurisation, audit et limitation de l'utilisation des clés de compte de service

    ●  Gestion et création des identifiants de courte durée

    ●  Configuration de la fédération d'identité de charge de travail

    ●  Gérer l'usurpation d'identité d'un compte de service

1.3 Gérer l'authentification. Voici quelques points à prendre en compte :

    ●  Création d'une règle de gestion des mots de passe et des sessions pour les comptes utilisateur

    ●  Configuration du langage SAML (Security Assertion Markup Language) et du protocole OAuth

    ●  Configuration et application de la validation en deux étapes

1.4 Gérer et implémenter des contrôles d'autorisation. Voici quelques points à prendre en compte :

    ●  Gestion des rôles avec accès privilégié et séparation des tâches avec les rôles et autorisations Identity and Access Management (IAM)

    ●  Gestion des autorisations IAM et des autorisations de la liste de contrôle d'accès (LCA)

    ●  Octroi d'autorisations à différents types d'identités, y compris à l'aide de conditions et de stratégies de refus IAM

    ●  Définition des rôles d'identité au niveau de l'organisation, du dossier, du projet et de la ressource

    ●  Configuration d'Access Context Manager

    ●  Application de Policy Intelligence pour une meilleure gestion des autorisations

    ●  Gestion des autorisations via des groupes

1.5 Définir la hiérarchie des ressources. Points abordés :

    ●  Création et gestion d'organisations à grande échelle

    ●  Gestion des règles d'administration des dossiers, projets et ressources de l'organisation

    ●  Utilisation de la hiérarchie des ressources pour le contrôle d'accès et l'héritage des autorisations

Section 2 : Sécuriser les communications et mettre en place une protection des limites (environ 21 % de l'examen)

2.1 Concevoir et configurer la sécurité du périmètre. Voici quelques points à prendre en compte :

    ●  Configuration des contrôles du périmètre réseau (règles de pare-feu, stratégies de pare-feu hiérarchiques, Identity-Aware Proxy [IAP], équilibreurs de charge et Certificate Authority Service)

    ●  Différenciation entre l'adressage IP privé et publique

    ●  Configuration du pare-feu d'application Web (Google Cloud Armor)

    ●  Déploiement d'un proxy Web sécurisé

    ●  Configuration des paramètres de sécurité Cloud DNS

    ●  Surveillance et restriction continues des API configurées

2.2 Configurer la segmentation des limites. Points abordés :

    ●  Configuration des propriétés de sécurité du réseau VPC, de l'appairage de VPC, du VPC partagé et des règles de pare-feu

    ●  Configuration de l'isolement du réseau et de l'encapsulation des données pour les applications à N niveaux

    ●  Configuration de VPC Service Controls

2.3 Établir une connectivité privée. Points abordés :

    ●  Conception et configuration d'une connectivité privée entre les réseaux VPC et les projets Google Cloud (VPC partagé, appairage de VPC et accès privé à Google pour les hôtes sur site)

    ●  Conception et configuration d'une connectivité privée entre les centres de données et le réseau VPC (HA-VPN, IPsec, MACsec et Cloud Interconnect)

    ●  Établissement d'une connectivité privée entre le VPC et les API Google (accès privé à Google, accès privé à Google pour les hôtes sur site, accès restreint à Google, Private Service Connect)

    ●  Utilisation de Cloud NAT pour activer le trafic sortant

Section 3 : Assurer la protection des données (environ 20 % de l'examen)

3.1 Protéger les données sensibles et empêcher la perte de données. Voici quelques points à prendre en compte :

    ●  Inspection et masquage des informations permettant d'identifier personnellement l'utilisateur

    ●  Détection continue de données sensibles (structurées et non structurées)

    ●  Configuration de la pseudonymisation

    ●  Configuration du chiffrement préservant le format

    ●  Restriction de l'accès aux datastores BigQuery, Cloud Storage et Cloud SQL

    ●  Sécurisation des secrets avec Secret Manager

    ●  Protection et gestion des métadonnées des instances de calcul

3.2 Gérer le chiffrement au repos, en transit et en cours d'utilisation. Voici quelques points à prendre en compte :

    ●  Identification des cas d'utilisation du chiffrement par défaut de Google, des clés de chiffrement gérées par le client (CMEK), de Cloud External Key Manager (EKM) et de Cloud HSM

    ●  Création et gestion de clés de chiffrement pour CMEK et EKM

    ●  Application de l'approche de chiffrement de Google aux cas d'utilisation

    ●  Configuration des stratégies de cycle de vie des objets pour Cloud Storage

    ●  Activation de l'informatique confidentielle

3.3 Planifier la sécurité et la confidentialité dans le domaine de l'IA. Voici quelques points à prendre en compte :

    ●  Mise en œuvre de contrôles de sécurité pour les systèmes d'IA/de ML (par exemple, protection contre l'exploitation involontaire des données ou des modèles)

    ●  Identification des exigences de sécurité pour les modèles d'entraînement hébergés par IaaS et PaaS

Section 4 : Gérer les opérations (environ 22 % de l'examen)

4.1 Automatiser la sécurité de l'infrastructure et des applications. Voici quelques points à prendre en compte :

    ●  Automatisation de l'analyse de sécurité pour les failles CVE (Common Vulnerabilities and Exposures) via un pipeline d'intégration et de livraison continues (CI/CD)

    ●  Configuration de l'autorisation binaire pour sécuriser des clusters GKE ou Cloud Run

    ●  Automatisation de la création, du renforcement, de la maintenance et de la gestion des correctifs des images de machine virtuelle

    ●  Automatisation de la création, de la validation, du renforcement, de la maintenance et de la gestion des correctifs d'images de conteneur

    ●  Gestion de la détection des règles et des dérives à grande échelle (règles d'administration et modules personnalisés pour Security Health Analytics)

4.2 Configurer la journalisation, la surveillance et la détection. Voici quelques points à prendre en compte :

    ●  Configuration et analyse des journaux réseau (journaux des règles de pare-feu, journaux de flux VPC, mise en miroir de paquets, Cloud Intrusion Detection System [Cloud IDS], Analyse de journaux)

    ●  Conception d'une stratégie de journalisation efficace

    ●  Journalisation, surveillance, réponse et résolution des incidents de sécurité

    ●  Conception d'un accès sécurisé aux journaux

    ●  Exportation des journaux vers des systèmes de sécurité externes

    ●  Configuration et analyse des journaux d'audit et des journaux d'accès aux données Google Cloud

    ●  Configuration des exportations de journaux (récepteurs de journaux et récepteurs agrégés)

    ●  Configuration et surveillance de Security Command Center

Section 5 : Répondre aux exigences de conformité (environ 10 % de l'examen)

5.1 Identifier les exigences réglementaires pour le cloud. Voici quelques points à prendre en compte :

    ●  Identification des préoccupations liées au calcul, aux données, au réseau et au stockage

    ●  Évaluation du modèle de responsabilité partagée

    ●  Configuration des contrôles de sécurité dans les environnements cloud pour répondre aux exigences de conformité (régionalisation des données et des services)

    ●  Limitation des calculs et des données à des fins de conformité réglementaire (Assured Workloads, règles d'administration, Access Transparency, Access Approval)

    ●  Identification de l'environnement Google Cloud conforme aux exigences réglementaires

Passez à l'étape suivante

Présentez-nous votre objectif. Un de nos experts Google Cloud vous aidera à trouver la solution la plus adaptée.

Contacter le service commercial

Passez à l'étape suivante

Présentez-nous votre objectif. Un de nos experts Google Cloud vous aidera à trouver la solution la plus adaptée.

Contacter le service commercial