Clouddatalabor

Disclaimer: บทความนี้เป็นประสบการณ์ส่วนตัวที่เตรียมสอบและได้เจอตอนสอบ

Google Cloud Certification เป็นการสอบของทาง Google Cloud Platform (GCP) โดยสอบผ่านจะได้ตราสัญลักษ์ (Badge) ให้เก็บเอาไว้เป็นการยืนยันว่าสอบผ่านด้วย 🎉🎉

แล้ว Google Cloud Platform (GCP) มี certification อะไรบ้างมาดูกัน

จากรูปจะเห็นได้ว่า GCP certification จะมีทั้งหมด 3 ระดับ Foundation, Associate และ Professional โดยการสอบของ GCP เรานั้นไม่จำเป็นต้องสอบที่ระดับ Foundation ก่อนก็ได้สามารถข้ามไปสอบ Professional ได้เลยถ้าเตรียมตัวพร้อมแล้ว(ตัวคนเขียนก็ไม่เคยสอบ Foundation เลย 🤣🤣 ณ ตอนนี้) ดูข้อมูลเพิ่มเติมได้ที่ https://cloud.google.com/learn/certification?hl=en

---

Google Cloud Certified Professional Cloud Security Engineer

เกริ่นมาสักพักละ เริ่มกันเลย

ผมจะอธิบายตามแนวการออกสอบตามหน้าเว็บของ GCP โดยผมจะเขียนแต่หัวข้อแล้วจะเพิ่มไปในแต่ละส่วนว่าจะต้องไปดูส่วนไหนบ้าง แล้ว Tools ตัวไหนบ้างนะครับ
GCP guide: https://cloud.google.com/learn/certification/guides/cloud-security-engineer

• Section 1: Configuring access (~27% of the exam)
  1.1 Managing Cloud Identity.
  1.2 Managing service accounts.
  1.3 Managing authentication.
  1.4 Managing and implementing authorization controls.
  1.5 Defining resource hierarchy.

Section 1 นี้จะเกี่ยวข้องกับการจัดการและดูแลการเข้าถึง resource ที่เรามีโดยใช้เครื่องมือของ GCP

Cloud identity เป็น Tool ที่ใช่สำหรับการดูแล Account ต่างๆรวมไปถึงการเชื่อมต่อระหว่าง user และ GCP เช่น การจะทำ single sign-on (SSO) เพื่อที่จะเข้าใช้ app อื่นๆ

GCP Identity and Access Management (IAM) คือการดูแลในเรื่อง การทำ authenticate ต่างๆ เช่น การมอบสิทธิ์ในการเข้าถึงส่วนต่างๆได้แค่ไหนก็มาทำการปรับหรือแก้ไขสิทธิ์ ที่ IAM นี้นี่เอง รวมไปถึงการจัดการ service account ด้วย, ตัวอย่างคำถามก็ประมาณว่า “จะทำยังไงให้พนักงานเข้าใช้ GCP ได้แค่วันและเวลาทำงานเท่านั้น” เป็นต้น

GCP resource hierarchy คือการจัดการ resource ของเราที่จะช่วยให้การจัดการแยก resource ให้เป็นระบบและสามารถช่วยให้เราจัดการได้ง่ายขึ้นโดยที่ Organization -> Folder -> Project -> Resource 
ข้อสำคัญคือเราสามารถกำหนดสิทธิ์ที่ระดับ Organization ได้จะช่วยให้จำกัดสิทธิ์ในระดับขั้นต่อๆไปโดยที่ไม่ต้องกำหนดสิทธิ์ซ้ำๆที่ Folder และ Project เป็นต้น เช่น เรากำหนดว่าเราต้องการ resource เราอยู่ที่ยุโรปเท่านั้น เพราะติดเรื่อง GDPR เราก็แค่สร้าง Organization policy ก็จะมีผลไปถึงที่ระดับ project นั้นเอง

name: organizations/{Organization number}/policies/gcp.resourceLocations
spec:
  rules:
  - values:
      allowedValues:
      - in:eu-locations

สรุป section 1 จะต้องเข้าใจว่า IAM คืออะไร และ Cloud identity ทำอะไรได้บ้าง โครงสร้าง resource hierarchy ของ GCP เป็นอย่างไร

• Section 2: Securing communications and establishing boundary protection (~21% of the exam)
  2.1 Designing and configuring perimeter security.
  2.2 Configuring boundary segmentation.
  2.3 Establishing private connectivity.

Section 2 นี้จะเกี่ยวกับ Network Security ซะส่วนใหญ่ เริ่มจาก

Virtual Private Cloud (VPC) มีหน้าที่ในการจัดการ network ภายในระบบของเราเผื่อให้ app ของเราสามารถคุยกันได้โดยไม่จำเป็นต้องผ่าน Public network เช่นเรามี App A ← → App B สามารถเชื่อมต่อหากันได้เลยผ่าน Vpc.

Virtual Private Network (VPN) นั้นมีส่วนช่วยเราให้เชื่อมต่อ resource ที่เรามีกับ resource อื่นๆที่อยู่ภายนอกเช่น cloud เจ้าอื่น AWS Azure, หรือบน On-premise ให้มีความความปลอดภัยยิ่งขึ้นผ่าน IPSEC VPN

สรุป Section 2 — อยากให้ทำความเข้าใจการเชื่อมต่อ network และการควบคุมดูแล VPC เพราะตอนสอบจะมีเรื่องของ Shared VPC, VPC perimeter เป็นต้น

• Section 3: Ensuring data protection (~20% of the exam)
  3.1 Protecting sensitive data and preventing data loss.
  3.2 Managing encryption at rest, in transit, and in use.
  3.3 Planning for security and privacy in AI.

Section 3 นี้จะเป็นเกี่ยวกับความปลอดภัยของข้อมูลจะมีเรื่อง General Data Protection Regulation (GDPR), Personal Identifiable Information (PII), Encryption key เป็นต้น

Data loss prevention (DLP) เป็นเครื่องมือในการตรวจหาข้อมูลที่มีความละเอียดอ่อนและเป็นข้อมูลส่วนบุคคล เช่น เลขบัตรเครดิต โดยความสามารถของเครื่องมือนี้ก็คือเราสามารถเอาไปแสกนที่เก็บข้อมูลของเราแล้วก็ทำการแก้ไขหรือปิดบังข้อมูลได้ เช่นการทำ redact, hash หรือ blank เป็นต้น

Key management service (KMS) ทำหน้าที่ในการสร้าง จัดเก็บและเรียกใช้งาน Key ต่างๆ โดย service นี้ก็มีระบบ Key ที่สามารถใช้ได้หลากหลาย symmetric and asymmetric cryptographic keys, AES256, RSA 2048, RSA 3072, RSA 4096, EC P256, และ EC P384 cryptographic keys. ยังไม่หมดมีสิ่งที่ต้องจำอีกอย่างคือรูปแบบการใช้งาน เช่น Google-managed encryption keys (GMEK) ที่ GCP จะสร้างและดูแล Keyต่างๆเอง, Customer-managed encryption keys (CMEK) คือการที่เราจะสร้าง key และดูแลเอง และสุดท้าย Customer-supplied encryption keys (CSEK) คือการที่เราจะสร้าง Key ขึ้นมาจากด้านนอก GCP แล้วทำการอัพโหลด Key ขึ้นไปบน GCP, cloud-hosted Hardware Security Module (HSM) เป็นการที่อยากจะสร้างที่เก็บ Key เองและดูแลเองแต่อยู่บน gcpc

สรุป Section 3 — เราก็ต้องทำความเข้าใจกับ Key ต่างๆและการดูแล Key ยังไงให้ปลอดภัย เช่นถ้าเจอคำถามว่า ถ้ามีข้อกฎหมายว่าเราต้องเป็นคนจัดการ Key เองจะต้องใช้ Tool ไหนเป็นต้น

• Section 4: Managing operations (~22% of the exam)
  4.1 Automating infrastructure and application security.
  4.2 Configuring logging, monitoring, and detection.

Section 4 จะเกี่ยวการ Monitor log ต่างๆ รวมไปถึง audit log ด้วย

Cloud logging คือเครื่องในการดู log ต่างๆที่ได้จาก resource ที่เราได้สร้างไว้เช่น log ของ Cloud function, Kubernetes หรือ VM เป็นต้น และยัง Audit log ที่เราสามารถรู้ได้ว่า user คนไหนทำอะไร ที่ไหน เมื่อไหร่ได้ ข้อสอบมักจะออกเกี่ยวกับการดูแล cloud logging เช่น อยากแยก Project ออกมาเก็บเฉพาะ Log แต่ต้องมี Log ของ Project อื่นๆด้วย

Artifact Registry ที่มีเครื่องมือนี้อยู่ในหมวดนี้ด้วยก็เพราะเราจำเป็นต้องรู้เกี่ยวการดูแลและจัดการ Container Scanning เพราะเราต้องมั่นใจว่า Container ของเรามีความปลอดภัยไม่มีช่องโหว่ให้โจมตี

Binary Authorization คือการที่เราจัดการ ดู container ก่อนที่จะ deploy สามารถดูเพิ่มเติมที่ https://www.youtube.com/watch?v=OjauywnmkPg

VM manager เป็นเครื่องสำหรับจัดการ VM ที่เรามีเช่นการทำ Auto patch, VM agent เป็นต้น

สรุป Section 4 — คือการที่เราต้องเข้าใจว่า Log สำคัญยังไง ทั้ง resource log และ audit log รวมไปถึงการวางแผนการจะเก็บ Logging และการจัดการความปลอดภัยของ container กับ VM

• Section 5: Supporting compliance requirements (~10% of the exam)
  5.1 Determining regulatory requirements for the cloud.

Assured workloads คือการจัดการระบบเราให้เข้ากับมาตรฐานความปลอดภัยต่างๆ

สรุป Section 5 — ด้วยความที่ section นี้จะเกี่ยวกับความเข้าใจเกี่ยวกับ มาตรฐานความปลอดภัยต่างๆ

Keyword ที่เจอบ่อยที่แนะนำไปศึกษาต่อ:

1. Network
   – TLS : Transport Layer Security 
   – SSL : Secure Sockets Layer
   – Cloud Next Generation Firewall 
   – Identity-Aware Proxy [IAP]
   – Private Google Access
   – Cloud armor
   – Google Certificate Authority Service
2. IAM and Identity
   – Security Assertion Markup Language (SAML)
   – Cloud Asset Inventory
   – Managing service account impersonation
   – Role
   – Organization policy constraint
   – Bigquery row level security
   – ** Security Command Center ขอเน้นตรงนี้นิดหนึ่งเจอพอสมควร
   – Active Directory Federation Service
3. Key
   – Key Access Justifications (KAJ)
   – At rest / In transit encryption
4. Other
   – Google Storage policy (Retention, key, bucket lock)

---

เท่าที่ผมจำได้ก็ประมาณนี้ถ้าตกหล่นก็ขออภัย สำหรับผม Certification นั้นคือการเรียนรู้ในอีกรูปแบบหนึ่งและเป็นความท้าทาย เพราะฉะนั้นสายงานของคุณอาจจะไม่ได้จำเป็นจะต้องสอบก็ได้ 🎉🎉

และที่สำคัญเมื่อคุณสอบผ่านในระดับ Professional คุณจะได้ Voucher ในการแลก Swag for free!!

สามารถศึกษาเรียนเพิ่มเติมได้ที่นี่:
ดูแนวทางข้อสอบ : examtopics.com , https://cloud.google.com/learn/certification/cloud-security-engineer

เรียนเพิ่มเติม : https://www.cloudskillsboost.google/paths/15

---

All knowledge is connected to all other knowledge. The fun is in making the connections.