Après AWS, la certification Security sur GCP !

Introduction

Après avoir obtenu la certification AWS Certified Security - Specialty, j'avais très envie de faire la même chose côté Google Cloud Platform (GCP) avec la certification Professional Cloud Security Engineer car je suis souvent amené, au cours de mes missions, à travailler sur les deux contextes.

J'avais déjà une certification sur GCP, la Professional Cloud Architect qui est l'équivalent sur AWS de la Solutions Architect - Professional en janvier 2021. Cette certification très générale, m'a permis de renforcer mes connaissances sur l'ensemble des services et fonctionnalités avancées qu'offre Google sur le Cloud.

De plus, l'envie d'acquérir la certification Security sur GCP était pour moi la possibilité de renforcer mes connaissances en matière de sécurité sur GCP, mais aussi avoir la possibilité de comparer par rapport à ce qui se fait sur AWS et pouvoir être en mesure de connaître les forces et faiblesses de chaque fournisseur de Cloud.

L'objectif de cet article est de vous donner le maximum d'informations utiles pour ceux qui souhaitent, bien entendu, passer la certification et aussi de vous donner les différences (ou similitudes) entre passer une certification sur AWS et sur GCP.

Présentation de l'examen

En ce qui concerne l'examen, vous avez la possibilité de le passer sur site ou à distance. Il dure deux heures et possède 50 questions, ce qui fait qu'au niveau du ratio temps / questions, c'est plus court sur GCP que sur AWS pour la partie sécurité.

Le guilde de l'examen permet d'identifier l'ensemble des points abordés sur la certification.

Pour résumer, il y a cinq grandes catégories avec des services associés à chacune d'entre elles :

• Configurer les accès au sein d'un environnement de solution cloud (Cloud Identity, Google Cloud Directory Sync et Cloud IAM)
• Configurer la sécurité du réseau (Équilibreurs de charge, IAP, DNSSEC, Cloud Armor, Cloud DNS, VPC et l'ensemble des connectivités)
• Assurer la protection des données (Cloud Data Loss Prevention, VPC Service Controls, Cloud KMS)
• Gérer les opérations dans un environnement de solution cloud (Security Command Center, Google Cloud Operations, Firewall Insights)
• Assurer la conformité (Ensemble des réglementations et documentations fournies par Google)

La liste des services ci-dessus n'est pas exhaustive et il est possible de retrouver un service dans plusieurs catégories.

Google n'offre pas (encore ?) la possibilité d'avoir une compensation si l'Anglais n'est pas votre langue maternelle. Néanmoins, la tournure des phrases que ce soit au niveau des questions ou des réponses ne porte pas à confusion.

Mon ressenti

Je vais vous partager mes impressions sur cette certification par rapport aux autres certifications que j'ai déjà eues l'occasion d'obtenir.

J'ai personnellement trouvé la certification GCP plus abordable que son équivalent sur AWS. Les questions sont plus courtes, le contexte est exposé en deux ou trois phrases, et, il y a très rarement des informations inutiles. De plus, sur 50 questions, il y a à peu près 35-40 questions avec un seul choix parmi quatre réponses et le reste se compose de deux ou trois choix parmi cinq propositions.

Cela ne veut pas dire que la certification est "facile" à obtenir, bien au contraire, les connaissances à avoir sur les services sont pointus et demande de connaître de manière détaillée les fonctionnalités d'un service et son intégration avec d'autres, ce que l'on retrouve sur beaucoup de certifications Cloud.

J'ai suivi le même chemin qu'une certification "classique", une partie théorique pour renforcer mes connaissances sur les différents services des catégories couvertes par la certification et une partie pratique avec un entrainement sur des tests pratiques.

La bonne surprise de cette certification est que Google n'hésite pas à aller dans le détail au niveau de Kubernetes et son intégration avec GKE. Il y a quelques questions sur les services à mettre en place au sein d'un cluster pour garantir la sécurité. Par exemple, empêcher qu'un Pod puisse communiquer avec un autre avec les NetworkPolicy. Comme vous l'aurez compris, avoir une/les certification(s) CKAD, CKA et/ou CKS est un avantage indéniable !

Mes ressources utilisées

La partie théorique permet d'enrichir son niveau de connaissance et travailler les services que l'on n'a pas encore eu l'occasion de manipuler.

Comme pour toutes les certifications, je vous conseille le cours Google Cloud Certified Professional Cloud Security Engineer de la plateforme A Cloud Guru. Il traite l'ensemble des chapitres de la certification, mais demande d'approfondir soi-même quelques services avec des liens qui pointent sur différentes ressources.

N'hésitez pas à approfondir la documentation officielle afin de creuser les limites de chaque service, surtout ceux que vous ne connaissez pas ou peu.

Pour ce qui est des tests pratiques, j'ai utilisé Whizlabs car il n'y a pas beaucoup de ressources disponibles pour s'entrainer. Les tests Whizlabs sont tout de même plus simples que l'examen final, mais permettent d'avoir deux jeux de 55 questions chacun avec des explications détaillées et des liens vers la documentation officielle.

Google met à disposition un exemple de question sous la forme d'un Google Forms via ce lien. N'hésitez pas à le compléter pour avoir un aperçu du format des questions de l'examen.

Enfin, j'ai essayé de regarder quelques tests pratiques sur Udemy, mais la plupart sont des "copier/coller" des tests pratiques de Whizlabs ou de l'examen fourni par Google.

Les services et fonctionnalités essentiels à retenir

Dans cette partie, l'objectif est de partager quelques notes sur des fonctionnalités ou services importants que j'ai rencontré dans la partie théorique de la certification.

De plus, j'ai associé à ces différents points, des liens de la documentation officielle dans le but de vérifier si l'information est toujours valide et si vous souhaitez en apprendre davantage.

Dernier point important : cela ne concerne pas tous les services, ni tous les domaines à explorer pour être prêt le jour de l'examen. C'est une sorte de complément d'information que j'ai pu collecter en parcourant la documentation.

IAM

On retrouve la partie Identity and Access Management (IAM) dans la plupart des certifications GCP. Ce qui compte ici est d'appliquer les bonnes pratiques GCP et le principe du moindre privilège.

• Dans le cas où l'on souhaite attribuer des permissions, la bonne pratique consiste à utiliser les groupes plutôt que de donner des rôles à chaque utilisateur ;

• Les rôles personnalisés sont à privilégier pour attribuer des permissions très fines à des utilisateurs.

Réseau

La partie réseau est assez générale, elle commence avec le VPC jusqu'à Cloud VPN.

• Dans le cas où l'on souhaite filtrer les accès d'un réseau au niveau du pare-feu, la manière la plus sécurisée possible est de privilégier l'utilisation d'un compte de service plutôt que les tags réseaux d'une machine virtuelle ;

• Lorsqu'un compte de service est spécifié en cible sur le pare-feu, il n'est pas possible d'utiliser un tag en source et inversement ;

• Pour éviter d'atteindre les API de Google par le réseau public, il est utile d'utiliser l'accès privé de Google Cloud qui se configure au niveau des sous-réseaux ;

• La mise en miroir de paquets (Packet Mirroring) permet d'explorer les flux réseau, les en-têtes et les charges utiles (payload) ;

• Le VPC partagé (Shared VPC) permet de connecter des projets au sein d'une même organisation.

• Pour créer une ressource dans un VPC partagé (Shared VPC), le compte à l'origine de la demande doit posséder la permission compute.subnetworks.use ;

• Le mode de simulation (dry run) du VPC Service Controls permet de visualiser les requêtes qui transitent aux services protégés sans les bloquer ;

• Dans le cas des équilibreurs de charge (Load Balancers), il est important d'avoir tous les types en tête et de connaître leurs différences. Ce lien permet d'avoir une vue globale et de visualiser l'arbre de décision pour le choix d'un équilibreur de charge ;

• Un tunnel de Cloud VPN peut aller jusqu'à 3 Gbps ;

• Afin de protéger Cloud DNS des attaques de spoofing et d'empoisonnement, il est nécessaire d'utiliser l'extension de sécurité DNS DNSSEC (Domain Name System Security Extensions) et de connaître les trois étapes nécessaires à son activation.

Chiffrement

La partie chiffrement concerne le service Cloud KMS (Cloud Key Management Service) ainsi que son API qui permet de chiffrer et déchiffrer à l'aide de clé.

• La rotation automatique des clés est uniquement possible avec des clés symétriques. Deux éléments sont nécessaires pour effectuer ce type de rotation : la période de rotation et la date de la prochaine rotation ;

• Les clés asymétriques peuvent effectuer une rotation manuelle ;

• La CSEK (Customer-Supplied Encryption Keys) n'est supportée que sur Google Cloud Storage et Compute Engine.

Kubernetes

Pour ce qui est de Kubernetes, il faut avoir en mémoire les différents objets que l'on peut créer à travers ce service et surtout les différentes manières de sécuriser celui-ci.

• Pour filtrer les communications entre les Pod et autres composants Kubernetes, il est nécessaire d'utiliser les NetworkPolicy ;

• L'objet Kubernetes qui permet d'être associé à Cloud Armor est un Ingress.

Cloud Data Loss Prevention (DLP)

Cloud Data Loss Prevention est un chapitre important pour la certification. Je vous recommande d'étudier l'ensemble des cas d'utilisation et des fonctionnalités qu'offre le service.

• L'échantillonnage (sampling) permet de maîtriser les coûts sur de gros volumes de données ;

Il existe plusieurs méthodes supportées par Cloud DLP pour la partie pseudonymisation qui correspond à l'anonymisation des données :

• Chiffrement déterministe AES-SIV : il utilise l'algorithme de chiffrement AES-SIV. Il est réversible et conserve l'intégrité référentielle ;

• Chiffrement préservant le format : il utilise l'algorithme de chiffrement FPE-FFX. Il préserve les caractères et la longueur des valeurs à modifier, il est réversible et conserve l'intégrité référentielle ;

• Hachage cryptographique : il utilise l'algorithme de chiffrement HMAC-SHA-256. Il supporte l'intégrité référentielle mais n'est pas réversible.

Conclusion

La certification Professional Cloud Security Engineer permet d'apprendre et de s'entrainer sur des services que l'on n'a pas l'habitude d'utiliser tous les jours, mais qui permettent d'obtenir un premier vernis théorique sur la sécurisation des services au sein de GCP.

J'espère que les différentes notes partagées au sein de l'article vous seront utiles. N'hésitez pas à vous entrainer sur des tests pratiques qui permettent d'évaluer votre niveau et de savoir si vous êtes prêts à passer l'examen.

Il ne me reste plus qu'à vous souhaiter de la réussite pour décrocher l'examen ! :-)