Receba um cupom de certificação, acesso todo o treinamento sob demanda e US$ 500 em créditos do Google Cloud por meio do Innovators Plus. Conheça todos os benefícios.

Professional Cloud Security Engineer

Guia do exame de certificação

Um Cloud Security Engineer permite que as organizações criem e implementem cargas de trabalho e infraestrutura seguras no Google Cloud. Por meio da compreensão das práticas recomendadas de segurança e dos requisitos do setor, essa pessoa projeta, desenvolve e gerencia uma solução segura usando as tecnologias de segurança do Google. Um Cloud Security Engineer é proficiente em gerenciamento de identidade e acesso, definindo políticas e estrutura de segurança organizacional, usando tecnologias do Google Cloud para proteger dados, configurando defesas de segurança de rede e monitoramento de ambientes, proteção contra ameaças, automação da segurança, segurança de IA, cadeia de suprimentos de software segura e aplicação de controles regulatórios.


Seção 1: configuração do acesso (aproximadamente 27% do exame)

1.1 Gerenciamento do Cloud Identity As considerações incluem:

    ●  Configuração do Google Cloud Directory Sync e conectores de terceiros

    ●  Gerenciar uma conta de superadministrador

    ●  Automatizar o processo de gerenciamento do ciclo de vida do usuário

    ●  Como administrar grupos e contas de usuário de maneira programática

    ● Configurar a federação de identidade do funcionário

1.2 Gerenciar contas de serviço As considerações incluem:

    ●  Preservar e proteger contas de serviço (incluindo contas padrão)

    ●  Como identificar cenários que exigem contas de serviço

    ●  Criar, desativar e autorizar contas de serviço

    ●  Proteger, auditar e mitigar o uso de chaves de contas de serviço

    ●  Como gerenciar e criar credenciais de curta duração

    ●  Como configurar a federação de identidade da carga de trabalho

    ●  Gerenciar a representação de uma conta de serviço

1.3 Gerenciar a autenticação. As considerações incluem:

    ●  Criar uma senha e uma política de gerenciamento de sessão para contas de usuário

    ●  Configuração da Linguagem de marcação para autorização de segurança (SAML) e OAuth

    ●  Configurar e aplicar a verificação em duas etapas

1.4 Gerenciar e implementar controles de autorização. As considerações incluem:

    ●  Gerenciar papéis privilegiados e separação de tarefas com papéis e permissões do gerenciamento de identidade e acesso (IAM);

    ●  Gerenciar permissões do IAM e da lista de controle de acesso (ACL);

    ●  Concessão de permissões a diferentes tipos de identidades, incluindo o uso de condições e políticas de negação do IAM

    ●  Como projetar papéis de identidade no nível da organização, da pasta, do projeto e do recurso

    ●  Como configurar o Access Context Manager

    ●  Como aplicar o Policy Intelligence para melhorar o gerenciamento de permissões

    ●  Como gerenciar de permissões por meio de grupos

1.5 Definir a hierarquia de recursos. As considerações incluem:

    ●  Criar e gerenciar organizações em escala

    ●  Gerenciar políticas da organização para pastas, projetos e recursos da organização

    ●  Como usar a hierarquia de recursos para controle de acesso e permissões legadas

Seção 2: proteger as comunicações e estabelecer a proteção de limites (cerca de 21% do exame)

2.1 Projetar e configurar a segurança do perímetro. As considerações incluem:

    ●  Configurar controles de perímetro de rede (regras de firewall, políticas hierárquicas de firewall, Identity-Aware Proxy [IAP], balanceadores de carga e Certificate Authority Service);

    ●  Diferenciar entre endereçamento IP privado e público

    ●  Como configurar um firewall de aplicativos da Web (Google Cloud Armor)

    ●  Implantar um Proxy seguro da Web

    ●  Definir configurações de segurança do Cloud DNS;

    ●  Monitorar e restringir continuamente as APIs configuradas.

2.2 Configurar a segmentação de limites. As considerações incluem:

    ●  Propriedades de segurança de uma rede VPC, peering de VPC, VPC compartilhada e regras de firewall

    ●  Configurar isolamento de rede e encapsulamento de dados para aplicativos da camada N

    ●  Como configurar o VPC Service Controls

2.3 Estabelecer conectividade particular. As considerações incluem:

    ●  Projetar e configurar a conectividade privada entre redes VPC e projetos do Google Cloud (VPC compartilhada, peering de VPC e acesso privado do Google para hosts locais);

    ●  Projetar e configurar conectividade particular entre data centers e redes VPC (HA-VPN, IPsec, MACsec e Cloud Interconnect)

    ●  Como estabelecer conectividade particular entre a VPC e as APIs do Google (Acesso privado do Google, Acesso privado do Google para hosts no local, acesso restrito do Google, Private Service Connect)

    ●  Colmo usar o Cloud NAT para ativar o tráfego de saída

Seção 3: garantir a proteção de dados (cerca de 20% do exame)

3.1 Proteger dados confidenciais e impedir a perda de dados. As considerações incluem:

    ●  Como inspecionar e editar informações de identificação pessoal (PII)

    ●  Garantir a descoberta contínua de dados confidenciais (estruturados e não estruturados)

    ●  Como configurar a pseudonimização

    ●  Configurar criptografia com preservação de formato

    ●  Restrição do acesso aos armazenamentos de dados do BigQuery, Cloud Storage e Cloud SQL

    ●  Como proteger secrets com o Gerenciador de secrets

    ●  Como proteger e gerenciar metadados da instância de computação

3.2 Gerenciar a criptografia em repouso, em trânsito e em uso. As considerações incluem:

    ●  Identificar casos de uso para criptografia padrão do Google, chaves de criptografia gerenciadas pelo cliente (CMEK), Cloud External Key Manager (EKM) e Cloud HSM

    ●  Criação e gerenciamento de chaves de criptografia para CMEK e CSEK

    ●  Como aplicar a abordagem de criptografia do Google aos casos de uso

    ●  Como configurar políticas de ciclo de vida de objetos para o Cloud Storage

    ●  Como ativar a computação confidencial

3.3 Planejar a segurança e a privacidade na IA. As considerações incluem:

    ●  Implementar controles de segurança para sistemas de IA/ML (por exemplo, proteção contra exploração não intencional de dados ou modelos);

    ●  Determinar requisitos de segurança para modelos de treinamento hospedados em IaaS e PaaS

Seção 4: gerenciamento de operações (aproximadamente 22% do exame)

4.1 Automatizar a segurança da infraestrutura e do aplicativo. As considerações incluem:

    ●  Automatizar a verificação de segurança para vulnerabilidades e exposições comuns (CVEs, na sigla em inglês) por meio de um pipeline de integração e entrega contínuas (CI/CD).

    ●  Configurar autorização binária para proteger clusters do GKE ou o Cloud Run

    ●  Automação da criação, aumento da proteção, manutenção e gerenciamento de patches de imagens de máquinas virtuais

    ●  Como automatizar a criação, a verificação, o aumento da proteção, a manutenção e o gerenciamento de patches de imagens de contêiner

    ●  Gerenciamento de políticas e detecção de desvio em escala (políticas da organização e módulos personalizados para a Análise de integridade da segurança)

4.2 Configurar a geração de registros, o monitoramento e a detecção. As considerações incluem:

    ●  Configurar e analisar registros de rede (geração de registros de regras de firewall, registros de fluxo de VPC, Espelhamento de pacotes, sistema de detecção de intrusões do Cloud [Cloud IDS], Análise de registros)

    ●  Como projetar uma estratégia de geração de registros eficaz

    ●  Como gerar registros, monitorar, responder a e corrigir incidentes de segurança

    ●  Projetar acesso seguro a registros

    ●  Exportação de registros para sistemas de segurança externos

    ●  Como configurar e analisar os registros de auditoria e de acesso a dados do Google Cloud

    ●  Configurar exportações de registros (coletores de registros e coletores agregados);

    ●  Configuração e monitoramento do Security Command Center

Seção 5: atender aos requisitos de conformidade (aproximadamente 10% do exame)

5.1 Determinar os requisitos regulamentares para a nuvem. As considerações incluem:

    ●  Determinar problemas relacionados a computação, dados, rede e armazenamento

    ●  Avaliar o modelo de responsabilidade compartilhada

    ●  Configurar controles de segurança em ambientes de nuvem para atender aos requisitos de conformidade (regionalização de dados e serviços)

    ●  Restringir computação e dados para conformidade regulatória (Assured Workloads, políticas organizacionais, transparência no acesso, Access Approval)

    ●  Como determinar o ambiente do Google Cloud no escopo da conformidade regulatória