Professional Cloud Security Engineer
Guía para el examen de certificación
Un Cloud Security Engineer permite a las organizaciones diseñar e implementar infraestructura y cargas de trabajo seguras en Google Cloud. Gracias a su comprensión de las prácticas recomendadas y los requisitos de seguridad de la industria, esta persona usa las tecnologías de seguridad de Google para diseñar, desarrollar y administrar una solución segura. Un Cloud Security Engineer es un experto en la administración de identidades y accesos, ya que define la estructura y las políticas de seguridad de la organización; usa las tecnologías de Google Cloud para proporcionar protección de datos; configura defensas de seguridad de red; supervisa entornos para encontrar amenazas y aplicar automatización de la seguridad, seguridad de la IA y cadena de suministro de software segura, y aplica controles regulatorios.
Sección 1: Configuración del acceso (aprox. el 27% del examen)
1.1 Administrar Cloud Identity Se incluyen las siguientes consideraciones:
● Configuración de Google Cloud Directory Sync y conectores de terceros
● Administrar una cuenta de administrador avanzado
● Automatización del proceso de administración del ciclo de vida de los usuarios
● Administrar cuentas de usuario y grupos de manera programática
● Configuración de la federación de identidades del personal
1.2 Administración de cuentas de servicio. Se incluyen las siguientes consideraciones:
● Protección y seguridad de las cuentas de servicio (incluidas las cuentas de servicio predeterminadas)
● Identificar situaciones que requieren cuentas de servicio
● Creación, inhabilitación y autorización de cuentas de servicio
● Protección, auditoría y mitigación del uso de claves de cuentas de servicio
● Administrar y crear credenciales de corta duración
● Configuración de la federación de identidades para cargas de trabajo
● Administrar la suplantación de identidad de cuentas de servicio
1.3 Administración de la autenticación. Se incluyen las siguientes consideraciones:
● Creación de una política de administración de contraseñas y sesiones para las cuentas de usuario
● Configuración del lenguaje de marcado para confirmaciones de seguridad (SAML) y OAuth
● Configuración y aplicación de la verificación en dos pasos
1.4 Implementación y administración de los controles de autorización. Se incluyen las siguientes consideraciones:
● Administración de funciones con privilegios y separación de obligaciones con roles y permisos de Identity and Access Management (IAM)
● Administrar permisos de IAM y lista de control de acceso (LCA)
● Otorgamiento de permisos a distintos tipos de identidades, incluido el uso de las condiciones de IAM y las políticas de denegación de IAM
● Diseñar funciones de identidad a nivel de la organización, la carpeta, el proyecto y los recursos
● Configurar Access Context Manager
● Aplicar Policy Intelligence para una mejor administración de permisos
● Administración de permisos mediante grupos
1.5 Definición de jerarquías de recursos. Se incluyen las siguientes consideraciones:
● Creación y administración de organizaciones a gran escala
● Administración de políticas de la organización para carpetas, proyectos y recursos de la organización
● Usar la jerarquía de recursos para el control de acceso y la herencia de permisos
Sección 2: Protección de las comunicaciones y establecimiento de la protección de los límites (aprox. el 21% del examen)
2.1 Diseño y configuración de la seguridad perimetral. Se incluyen las siguientes consideraciones:
● Configuración de controles del perímetro de red (reglas de firewall, políticas jerárquicas de firewall, Identity-Aware Proxy [IAP], balanceadores de cargas y Certificate Authority Service)
● Diferenciación entre direccionamiento IP público y privado
● Configuración del firewall de aplicación web (Google Cloud Armor)
● Implementación de proxy web seguro
● Configuración de la seguridad de Cloud DNS
● Supervisión y restricción continuas de las APIs configuradas
2.2 Configuración de la segmentación de límites. Se incluyen las siguientes consideraciones:
● Configurar las propiedades de seguridad de las redes de VPC, el intercambio de tráfico de VPC, las VPC compartidas y las reglas de firewall
● Configuración del aislamiento de red y el encapsulamiento de datos para aplicaciones de nivel N
● Configurar los Controles del servicio de VPC
2.3 Establecimiento de la conectividad privada. Se incluyen las siguientes consideraciones:
● Diseño y configuración de la conectividad privada entre redes de VPC y proyectos de Google Cloud (VPC compartida, intercambio de tráfico entre VPC y acceso privado a Google para hosts locales)
● Diseño y configuración de conectividad privada entre centros de datos y la red de VPC (VPN con alta disponibilidad, IPsec, MACsec y Cloud Interconnect)
● Establecimiento de la conectividad privada entre VPC y las APIs de Google (Acceso privado a Google, Acceso privado a Google para hosts locales, Acceso restringido a Google y Private Service Connect)
● Uso de Cloud NAT para habilitar el tráfico saliente
Sección 3: Garantizar la protección de los datos (aprox. el 20% del examen)
3.1 Protección de los datos sensibles y prevención de su pérdida. Se incluyen las siguientes consideraciones:
● Inspeccionar y ocultar la información de identificación personal (PII)
● Garantía del descubrimiento continuo de los datos sensibles (estructurados y no estructurados)
● Configurar la seudonimización
● Configuración de la encriptación de preservación de formato
● Restricción del acceso a BigQuery, Cloud Storage y los almacenes de datos de Cloud SQL
● Proteger Secrets con Secret Manager
● Proteger y administrar los metadatos de instancias de procesamiento
3.2 Administración de la encriptación en reposo, en tránsito y en uso. Se incluyen las siguientes consideraciones:
● Identificación de los casos de uso de la encriptación predeterminada de Google, las claves de encriptación administradas por el cliente (CMEK), Cloud External Key Manager (EKM) y Cloud HSM
● Creación y administración de las claves de encriptación para CMEK y EKM
● Aplicar el enfoque de encriptación de Google en los casos de uso
● Configurar las políticas de ciclo de vida de objetos para Cloud Storage
● Habilitar Confidential Computing
3.3 Planificación para la seguridad y la privacidad de la IA. Se incluyen las siguientes consideraciones:
● Implementación de controles de seguridad para sistemas de IA y AA (p.ej., protección contra la explotación no intencional de datos o modelos)
● Determinación de los requisitos de seguridad para los modelos de entrenamiento alojados en IaaS y PaaS
Sección 4: Administración de operaciones (aprox. el 22% del examen)
4.1 Automatización de la seguridad de la infraestructura y las aplicaciones. Se incluyen las siguientes consideraciones:
● Automatización de los análisis de seguridad en busca de riesgos y vulnerabilidades comunes (CVE) mediante canalización de integración y entrega continuas (CI/CD)
● Configuración de la Autorización binaria para proteger clústeres de GKE o Cloud Run
● Automatizar la creación, el endurecimiento, el mantenimiento y la administración de parches de imágenes de máquinas virtuales
● Automatizar la creación, la verificación, el endurecimiento, el mantenimiento y la administración de parches de imágenes de contenedores
● Administración de la detección de desvíos y políticas a gran escala (políticas de la organización personalizadas y módulos personalizados para Security Health Analytics)
4.2 Configuración de registro, supervisión y detección. Se incluyen las siguientes consideraciones:
● Configuración y análisis de registros de red (registros de reglas de firewall, registros de flujo de VPC, Duplicación de paquetes, Sistema de detección de intrusiones de Cloud [IDS de Cloud], Análisis de registros)
● Diseñar una estrategia de registro eficaz
● Registrar y supervisar los incidentes de seguridad, así como responder a ellos y solucionarlos
● Diseño de acceso seguro a los registros
● Exportar registros a sistemas de seguridad externos
● Configurar y analizar los registros de auditoría y los registros de acceso a datos de Google Cloud
● Configurar la exportación de registros (receptores de registros y receptores agregados)
● Configuración y supervisión de Security Command Center
Sección 5: Apoyo a los requisitos de cumplimiento (aprox. el 10% del examen)
5.1 Determinación de los requisitos reglamentarios para la nube. Se incluyen las siguientes consideraciones:
● Determinación de las inquietudes relativas al procesamiento, los datos, la red y el almacenamiento
● Evaluación del modelo de responsabilidad compartida
● Configuración de controles de seguridad dentro de los entornos de nube para respaldar los requisitos de cumplimiento (regionalización de datos y servicios)
● Restricción del procesamiento y los datos para el cumplimiento de las normativas (Assured Workloads, políticas de la organización, Transparencia de acceso y aprobación de acceso)
● Determinación del entorno de Google Cloud en el alcance del cumplimiento de reglamentaciones