Professional Cloud Security Engineer
Guide de l'examen de certification
Un Cloud Security Engineer aide les entreprises à concevoir et à implémenter des charges de travail et une infrastructure sécurisées sur Google Cloud. Grâce à ses connaissances des bonnes pratiques et des exigences liées à la sécurité dans le secteur, il conçoit, développe et gère une infrastructure sécurisée à l'aide des technologies de sécurité Google. Un Cloud Security Engineer maîtrise tous les aspects de la sécurité dans le cloud. Cela comprend la gestion de l'authentification et des accès, la définition de règles et d'une structure organisationnelle, l'utilisation des technologies Google Cloud pour assurer la protection des données, la configuration des défenses de sécurité réseau, la surveillance des environnements en termes de détection des menaces et de gestion des incidents, les règles de sécurité sous forme de code, le cycle de vie sécurisé du développement logiciel et l'application de contrôles réglementaires.
Section 1 : Configurer l'accès à un environnement de solution cloud
1.1 Gestion de Cloud Identity. Voici quelques points à prendre en compte :
● Configuration de Google Cloud Directory Sync et de connecteurs tiers
● Gestion d'un compte super-administrateur
● Automatisation du processus de gestion du cycle de vie des utilisateurs
● Administration automatisée des comptes utilisateur et des groupes
1.2 Gérer les comptes de service. Voici quelques points à prendre en compte :
● Protection et audit des comptes de service et des clés
● Automatisation de la rotation des clés de compte de service gérées par les utilisateurs
● Identification des scénarios qui nécessitent des comptes de service
● Création, désactivation, autorisation et sécurisation des comptes de service
● Gestion et création des identifiants de courte durée
● Configuration de la fédération d'identité de charge de travail
● Sécurisation des comptes de service par défaut
● Gérer l'usurpation d'identité d'un compte de service
1.3 Gérer l'authentification. Voici quelques points à prendre en compte :
● Création d'une règle de gestion des mots de passe et des sessions pour les comptes utilisateur
● Configuration du langage SAML (Security Assertion Markup Language) et du protocole OAuth
● Configuration et application de l'authentification à deux facteurs
1.4 Gérer et implémenter des contrôles d'autorisation. Voici quelques points à prendre en compte :
● Gestion des rôles avec accès privilégié et séparation des tâches avec les rôles et autorisations Identity and Access Management (IAM)
● Octroi d'autorisations à différents types d'identités
● Gestion des autorisations IAM et des autorisations de la liste de contrôle d'accès (LCA)
● Définition des rôles d'identité au niveau de l'organisation, du dossier, du projet et de la ressource
● Configuration d'Access Context Manager
● Application de Policy Intelligence pour une meilleure gestion des autorisations
● Gestion des autorisations via des groupes
1.5 Définir la hiérarchie des ressources. Points abordés :
● Création et gestion d'organisations
● Gestion des règles d'administration des dossiers, projets et ressources de l'organisation
● Utilisation de la hiérarchie des ressources pour le contrôle d'accès et l'héritage des autorisations
Section 2 : Configurer le périmètre et les limites de sécurité
2.1 Concevoir le périmètre de sécurité. Points abordés :
● Configuration de contrôles de périmètre réseau (règles de pare-feu, pare-feu hiérarchiques, Identity-Aware Proxy [IAP], équilibreurs de charge et Certificate Authority Service)
● Identification des différences entre l'adressage privé et l'adressage public
● Configuration du pare-feu d'application Web (Google Cloud Armor)
● Configuration des paramètres de sécurité Cloud DNS
2.2 Configurer la segmentation des limites. Points abordés :
● Configuration des propriétés de sécurité du réseau VPC, de l'appairage de VPC, du VPC partagé et des règles de pare-feu
● Configuration de l'isolement du réseau et de l'encapsulation des données pour la conception d'applications à N niveaux
● Configuration de VPC Service Controls
2.3 Établir une connectivité privée. Points abordés :
● Conception et configuration d'une connectivité privée entre les réseaux VPC et les projets Google Cloud (VPC partagé, appairage de VPC et accès privé à Google pour les hôtes sur site)
● Conception et configuration d'une connectivité privée entre les centres de données et le réseau VPC (IPsec et Cloud Interconnect)
● Établissement d'une connectivité privée entre le VPC et les API Google (accès privé à Google, accès restreint à Google, accès privé à Google pour les hôtes sur site, Private Service Connect)
● Utilisation de Cloud NAT pour activer le trafic sortant
Section 3 : Assurer la protection des données
3.1 Protéger les données sensibles et empêcher la perte de données. Voici quelques points à prendre en compte :
● Inspection et masquage des informations permettant d'identifier personnellement l'utilisateur
● Configuration de la pseudonymisation
● Configuration de la substitution préservant le format
● Restriction de l'accès aux datastores BigQuery, Cloud Storage et Cloud SQL
● Sécurisation des secrets avec Secret Manager
● Protection et gestion des métadonnées des instances de calcul
3.2 Gérer le chiffrement au repos, en transit et en cours d'utilisation. Voici quelques points à prendre en compte :
● Analyse des cas d'utilisation du chiffrement par défaut de Google, des clés de chiffrement gérées par le client (CMEK), des clés de chiffrement fournies par le client (CSEK), de Cloud External Key Manager (EKM) et de Cloud HSM
● Création et gestion des clés de chiffrement pour CMEK, CSEK et EKM
● Application de l'approche de chiffrement de Google aux cas d'utilisation
● Configuration des stratégies de cycle de vie des objets pour Cloud Storage
● Activation de l'informatique confidentielle
● Chiffrement en transit
Section 4 : Gérer les opérations dans un environnement de solution cloud
4.1 Créer et déployer une infrastructure et des applications sécurisées. Voici quelques points à prendre en compte :
● Automatisation de l'analyse de sécurité pour les failles CVE (Common Vulnerabilities and Exposures) via un pipeline d'intégration et de livraison continues (CI/CD)
● Automatisation de la création, du renforcement, de la maintenance et de la gestion des correctifs des images de machine virtuelle
● Automatisation de la création, de la validation, du renforcement, de la maintenance et de la gestion des correctifs d'images de conteneur
● Automatisation de la stratégie en tant que code et détection des dérives
4.2 Configurer la journalisation, la surveillance et la détection. Voici quelques points à prendre en compte :
● Configuration et analyse des journaux réseau (journaux des règles de pare-feu, journaux de flux VPC, mise en miroir de paquets, Cloud Intrusion Detection System [Cloud IDS])
● Conception d'une stratégie de journalisation efficace
● Journalisation, surveillance, réponse et résolution des incidents de sécurité
● Exportation des journaux vers des systèmes de sécurité externes
● Configuration et analyse des journaux d'audit et des journaux d'accès aux données Google Cloud
● Configuration des exportations de journaux (récepteurs de journaux et récepteurs agrégés)
● Configuration et surveillance de Security Command Center (Security Health Analytics, Event Threat Detection, Container Threat Detection, Web Security Scanner)
Section 5 : Prendre en charge les exigences de conformité
5.1 Identifier les exigences réglementaires pour le cloud. Voici quelques points à prendre en compte :
● Identification des préoccupations liées au calcul, aux données et au réseau
● Évaluation du modèle de responsabilité partagée concernant la sécurité (Access Transparency)
● Configuration des contrôles de sécurité dans des environnements cloud (régionalisation des données et des services)
● Limitation des calculs et des données pour la conformité réglementaire
● Identification de l'environnement Google Cloud conforme aux exigences réglementaires