Wir bieten Ihnen über Innovators Plus einen Zertifizierungsgutschein, Zugriff auf On-Demand-Schulungen und 500 $ Google Cloud-Guthaben. Alle Vorteile ansehen

Professional Cloud Security Engineer

Prüfungsleitfaden

Mit einem Cloud Security Engineer können Unternehmen sichere Arbeitslasten und eine sichere Infrastruktur in Google Cloud entwerfen und implementieren. Anhand seiner Kenntnisse der Best Practices und Branchenanforderungen im Sicherheitsbereich entwirft, entwickelt und verwaltet er sichere Lösungen mithilfe von Google-Sicherheitstechnologien. Ein Cloud Security Engineer sollte alle Aspekte der Cloud-Sicherheit beherrschen. Dazu gehören die Identitäts- und Zugriffsverwaltung, das Definieren von Organisationsstrukturen und -richtlinien, der Einsatz von Google Cloud-Technologien für den Datenschutz, die Konfiguration der Netzwerksicherheit sowie das Monitoring von Umgebungen zur Bedrohungserkennung und -reaktion, Sicherheitsrichtlinien als Code, ein sicherer Lebenszyklus der Softwareentwicklung und die Durchsetzung gesetzlicher Kontrollen.

Jetzt anmelden Jetzt anmelden

Abschnitt 1: Zugriff in einer Cloudlösungsumgebung konfigurieren

1.1 Cloud Identity verwalten Folgende Punkte gehören dazu:

    ●  Google Cloud Directory Sync und Connectors von Drittanbietern konfigurieren

    ●  Super Admin-Konto verwalten

    ●  Verwaltung des Nutzerlebenszyklus automatisieren

    ●  Nutzerkonten und -gruppen programmatisch verwalten

1.2 Dienstkonten verwalten. Folgende Punkte gehören dazu:

    ●  Dienstkonten und Schlüssel schützen und prüfen

    ●  Rotation von Dienstkontoschlüsseln automatisieren, die von Nutzern verwaltet werden

    ●  Szenarien erkennen, für die Dienstkonten erforderlich sind

    ●  Dienstkonten erstellen, deaktivieren, autorisieren und schützen

    ●  Kurzlebige Anmeldedaten verwalten und erstellen

    ●  Workload Identity-Föderation konfigurieren

    ●  Standarddienstkonten sichern

    ●  Identitätswechsel für Dienstkonten verwalten

1.3 Authentifizierung verwalten. Folgende Punkte gehören dazu:

    ●  Richtlinie zur Passwort- und Sitzungsverwaltung für Nutzerkonten erstellen

    ●  Security Assertion Markup Language (SAML) und OAuth einrichten

    ●  2-Faktor-Authentifizierung konfigurieren und erzwingen

1.4 Autorisierungskontrollen verwalten und implementieren. Folgende Punkte gehören dazu:

    ●  Privilegierte Rollen und Aufgabentrennung mit IAM-Rollen und -Berechtigungen verwalten

    ●  Unterschiedlichen Arten von Identitäten Berechtigungen gewähren

    ●  Berechtigungen für IAM und Access Control List (ACL) verwalten

    ●  Identitätsrollen auf Organisations-, Ordner-, Projekt- und Ressourcenebene entwerfen

    ●  Access Context Manager konfigurieren

    ●  Anwendung von Policy Intelligence für eine bessere Berechtigungsverwaltung

    ●  Berechtigungen über Gruppen verwalten

1.5 Ressourcenhierarchie definieren. Folgende Punkte gehören dazu:

    ●  Organisationen erstellen und verwalten

    ●  Verwaltung von Organisationsrichtlinien für Organisationsordner, -projekte und -ressourcen

    ●  Ressourcenhierarchie für die Zugriffssteuerung und Übernahme von Berechtigungen verwenden

Abschnitt 2: Perimeter- und Grenzensicherheit konfigurieren

2.1 Perimetersicherheit entwerfen. Folgende Punkte gehören dazu:

    ●  Konfiguration von Netzwerk-Perimeterkontrollen (Firewallregeln, hierarchische Firewalls, Identity-Aware Proxy [IAP], Load-Balancer und Certificate Authority Service)

    ●  Unterschiede zwischen der privaten und der öffentlichen Adressierung identifizieren

    ●  Firewall für Webanwendung konfigurieren (Google Cloud Armor)

    ●  Cloud DNS-Sicherheitseinstellungen konfigurieren

2.2 Segmentierung konfigurieren. Folgende Punkte gehören dazu:

    ●  CSicherheitsattribute eines VPC-Netzwerks, VPC-Peering, freigegebener VPC und Firewallregeln konfigurieren

    ●  Netzwerkisolation und Datenkapselung für das Anwendungs-Design der N-Stufe konfigurieren

    ●  VPC Service Controls konfigurieren

2.3 Private Verbindung herstellen. Folgende Punkte gehören dazu:

    ●  Entwerfen und Konfigurieren der privaten Verbindung zwischen VPC-Netzwerken und Google Cloud-Projekten (freigegebene VPC, VPC-Peering und privater Google-Zugriff für lokale Hosts)

    ●  Private Verbindung zwischen Rechenzentren und VPC-Netzwerken (IPsec und Cloud Interconnect) entwerfen und konfigurieren

    ●  Private Verbindung zwischen VPC und Google APIs herstellen (privater Google-Zugriff, eingeschränkter Google-Zugriff, privater Google-Zugriff für lokale Hosts, Private Service Connect)

    ●  Ausgehenden Traffic mit Cloud NAT aktivieren

Abschnitt 3: Datenschutz gewährleisten

3.1 Sensible Daten schützen und Datenverluste verhindern. Folgende Punkte gehören dazu:

    ●  Personenidentifizierbare Informationen prüfen und entfernen

    ●  Pseudonymisierung konfigurieren

    ●  Formaterhaltende Substitution konfigurieren

    ●  Zugriff auf BigQuery-, Cloud Storage- und Cloud SQL-Datenspeicher beschränken

    ●  Secrets mit Secret Manager sichern

    ●  Metadaten von Compute-Instanzen schützen und verwalten

3.2 Verschlüsselung ruhender Daten bei der Übertragung und bei der Verwendung. Folgende Punkte gehören dazu:

    ●  Anwendungsfälle für die Standardverschlüsselung von Google, vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK), für vom Kunden bereitgestellte Verschlüsselungsschlüssel (CSEK), Cloud External Key Manager (EKM) und Cloud HSM

    ●  Verschlüsselungsschlüssel für CMEK, CSEK und EKM erstellen und verwalten

    ●  Verschlüsselungskonzept von Google auf Anwendungsfälle anwenden

    ●  Richtlinien für den Objektlebenszyklus für Cloud Storage konfigurieren

    ●  Confidential Computing aktivieren

    ●  Verschlüsselung während der Übertragung

Abschnitt 4: Vorgänge in einer Cloudlösungsumgebung verwalten

4.1 Sichere Infrastruktur und Anwendungen erstellen und bereitstellen. Folgende Punkte gehören dazu:

    ●  Automatisiertes Sicherheitsscans für Common Vulnerabilities and Exposures (CVEs) über eine Continuous Integration- und Continuous Delivery-Pipeline (CI/CD)

    ●  Automatisierte Erstellung, Härtung, Wartung und Patchverwaltung von virtuellen Maschinen-Images

    ●  Container-Image-Erstellung, -Überprüfung, -Härtung, -Wartung und -Patchverwaltung automatisieren

    ●  Automatisierung der Richtlinie als Code- und Drifterkennung

4.2 Logging, Monitoring und Erkennung konfigurieren. Folgende Punkte gehören dazu:

    ●  Konfiguration und Analyse von Netzwerklogs (Firewallregellogs, VPC-Flusslogs, Paketspiegelung, Cloud Intrusion Detection System [Cloud IDS])

    ●  Entwicklung einer effektiven Logging-Strategie

    ●  Sicherheitsvorfälle protokollieren, beobachten, darauf reagieren und beheben

    ●  Logs in externe Sicherheitssysteme exportieren

    ●  Google Cloud-Audit-Logs und Datenzugriffslogs konfigurieren und analysieren

    ●  Konfigurieren von Logexporten (Logsenken und Senken)

    ●  Security Command Center konfigurieren und beobachten (Security Health Analytics, Event Threat Detection, Container Threat Detection, Web Security Scanner)

Abschnitt 5: Compliance-Anforderungen unterstützen

5.1 Gesetzliche Anforderungen für die Cloud ermitteln. Folgende Punkte gehören dazu:

    ●  Bedenken in Bezug auf Computing, Daten und Netzwerk ermitteln

    ●  Modell der geteilten Verantwortung für die Sicherheit bewerten (Access Transparency)

    ●  Konfiguration von Sicherheitskontrollen in Cloud-Umgebungen (Regionalisierung von Daten und Diensten)

    ●  Zwecks Einhaltung gesetzlicher Vorschriften Computing und Daten beschränken

    ●  Google Cloud-Umgebung im Rahmen der Einhaltung gesetzlicher Vorschriften festlegen

Gleich loslegen

Welche Herausforderung wollen Sie meistern? Ein Google Cloud-Experte unterstützt Sie gern dabei, die beste Lösung zu finden.

Vertrieb kontaktieren

Gleich loslegen

Welche Herausforderung wollen Sie meistern? Ein Google Cloud-Experte unterstützt Sie gern dabei, die beste Lösung zu finden.

Vertrieb kontaktieren