Professional Cloud Security Engineer

Guia do exame de certificação

Um Professional Cloud Security Engineer ajuda as organizações a criar e implementar uma infraestrutura segura no Google Cloud Platform. Por meio de uma compreensão das práticas recomendadas e dos requisitos de segurança do setor, esse profissional projeta, desenvolve e gerencia uma infraestrutura segura que aproveita as tecnologias de segurança do Google. O Cloud Security Professional precisa ser proficiente em todos os aspectos do Cloud Security, incluindo gerenciamento de identidade e acesso, definição de estrutura e políticas organizacionais, uso de tecnologias do Google para proteção de dados, configuração de defesas de segurança de rede, coleta e análise de registros do Google Cloud Platform, gerenciamento de respostas a incidentes e compreensão das questões regulatórias.

1. Configurar o acesso em um ambiente de solução de nuvem

    1.1 Configurar o Cloud Identity. Inclui as seguintes considerações:

    • Gerenciamento do Cloud Identity
    • Configuração do Google Cloud Directory Sync
    • Gerenciamento da conta de superadministrador

    1.2 Gerenciar contas de usuários. Inclui as seguintes considerações:

    • Criação de papéis de identidade no nível do projeto e da organização
    • Automação do processo de gerenciamento do ciclo de vida do usuário
    • Uso da API

    1.3 Gerenciar contas de serviço. Inclui as seguintes considerações:

    • Auditar contas de serviço e chaves
    • Automatizar a rotação de chaves de contas de serviço gerenciadas pelo usuário
    • Identificar cenários que exigem contas de serviço
    • Criar, autorizar e proteger contas de serviço
    • Gerenciar o acesso à API com segurança

    1.4 Gerenciar a autenticação. Inclui as seguintes considerações:

    • Criar uma política de senha para contas de usuário
    • Estabelecer a SAML (Linguagem de marcação para autorização de segurança)
    • Configurar e aplicar a autenticação de dois fatores

    1.5 Gerenciar e implementar controles de autorização. Inclui as seguintes considerações:

    • Uso da hierarquia de recursos para controle de acesso
    • Papéis privilegiados e separação de funções
    • Gerenciamento de permissões do IAM com funções primitivas, predefinidas e personalizadas
    • Concessão de permissões para diferentes tipos de identidades
    • Compreensão da diferença entre o IAM do Google Cloud Storage e as ACLs

    1.6 Definir a hierarquia de recursos. Inclui as seguintes considerações:

    • Criação e gerenciamento de organizações
    • Estruturas de recursos (organizações, pastas e projetos)
    • Definição e gerenciamento de restrições da organização
    • Uso da hierarquia de recursos para controle de acesso e herança de permissões
    • Confiança e limites de segurança nos projetos do GCP

2. Configurar a segurança da rede

    2.1 Projetar a segurança de rede. Inclui as seguintes considerações:

    • Propriedades de segurança de uma rede VPC, peering de VPC, VPC compartilhada e regras de firewall
    • Isolamento de rede e encapsulamento de dados para o design de aplicativos da camada N
    • Uso de DNSSEC
    • Endereçamento particular vs. público
    • Política de segurança de aplicativo a aplicativo

    2.2 Configurar a segmentação de rede. Inclui as seguintes considerações:

    • Controles de perímetro de rede (regras de firewall, IAP)
    • Balanceamento de carga (global, rede, HTTP(S), proxy SSL e balanceadores de carga TCP Proxy)

    2.3 Estabelecer conectividade particular. Inclui as seguintes considerações:

    • Conectividade particular RFC1918 entre redes VPC e projetos do GCP (VPC compartilhada, peering de VPC)
    • Conectividade RFC1918 particular entre data centers e redes VPC (IPSEC e Cloud Interconnect)
    • Ativação da conectividade particular entre a VPC e as APIs do Google (acesso particular)

3. Garantir a proteção de dados

    3.1 Prevenir a perda de dados com a API DLP. Inclui as seguintes considerações:

    • Identificar e editar PII
    • Configurar a tokenização
    • Configurar a substituição de preservação de formato
    • Restringir o acesso a conjuntos de dados DLP.

    3.2 Gerenciar a criptografia em repouso. Inclui as seguintes considerações:

    • Compreensão dos casos de uso para criptografia padrão, chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês) e chaves de criptografia fornecidas pelo cliente (CSEK, na sigla em inglês)
    • Criação e gerenciamento de chaves de criptografia para CMEK e CSEK
    • Gerenciamento de senhas de aplicativos
    • Políticas de ciclo de vida de objetos para o Cloud Storage
    • Computação de enclave
    • Criptografia de envelope

4. Gerenciar operações em um ambiente de solução em nuvem

    4.1 Criar e implementar a infraestrutura. Inclui as seguintes considerações:

    • Estratégia de backup e perda de dados
    • Criação e automatização de um plano de resposta a incidentes
    • Coletores de registros, registros de auditoria e registros de acesso a dados para monitoramento quase em tempo real
    • Modelos em espera
    • Automatização da verificação de segurança para vulnerabilidades e ataques de exploração comuns (CVEs, na sigla em inglês) por meio de um pipeline de CI/CD
    • Criação, aumento da proteção e manutenção de imagens de máquinas virtuais
    • Criação de imagens, aumento da proteção, manutenção e gerenciamento de patches de contêineres

    4.2 Criar e implantar aplicativos. Inclui as seguintes considerações:

    • Monitoramento quase em tempo real do registro de aplicativos
    • Análise de código estático
    • Automatização da verificação de segurança por meio de um pipeline de CI/CD

    4.3 Monitorar eventos de segurança. Inclui as seguintes considerações:

    • Registro, monitoramento, testes e alerta de incidentes de segurança
    • Exportação de registros para sistemas de segurança externos
    • Análise automatizada e manual de registros de acesso
    • Compreensão dos recursos do Forseti

5. Garantir a conformidade

    5.1 Compreender as questões regulatórias. Inclui as seguintes considerações:

    • Avaliação de questões relativas a computação, dados e rede
    • Modelo de responsabilidade compartilhada de segurança
    • Garantias de segurança em ambientes de execução em nuvem
    • Limitação de computação e dados para conformidade regulatória

    5.2 Compreender as problemáticas relacionadas ao ambiente de computação. Inclui as seguintes considerações:

    • Garantias de segurança e restrições para cada ambiente de computação (Compute Engine, Kubernetes Engine, App Engine)
    • Identificação do ambiente de computação adequado com base nos padrões de conformidade da empresa