Google Cloud Professional Cloud Security Engineer
227 שאלות תרגול
נבדק לאחרונה: April 2026
הערות אישיות וקישורים למשאבים למסע הלמידה שלך
סנן לפי הסמכה
ההסמכה Google Cloud Professional Cloud Security Engineer (PCSE) מאמתת את היכולת לתכנן וליישם תשתית מאובטחת ב-Google Cloud. הבחינה מכסה היררכיית IAM ותנאים, הגבלות של מדיניות ארגונית, VPC Service Controls, Cloud KMS / EKM / Confidential VM, Cloud Armor ו-Cloud IDS, Security Command Center Premium, BeyondCorp ו-Identity-Aware Proxy, Cloud DLP / Sensitive Data Protection, רישום ביקורת (audit logging), ואת מגוון המסגרות הרגולטוריות המלא ש-Google Cloud תומכת בו (HIPAA, PCI, FedRAMP, ISO, SOC). סגנון השאלות עשיר בתרחישים ומתגמל מועמדים שחושבים במונחי הגנה רב-שכבתית (defense-in-depth) — שאלות רבות מציגות מספר תשובות נכונות מבחינה טכנית ומצפות לאפשרות הרב-שכבתית או בעלת ההרשאות המינימליות ביותר. PCSE הוא המקביל ב-GCP ל-AWS Security Specialty ול-Azure AZ-500.
התחום הגדול ביותר ב-25%. Cloud Identity, היררכיית IAM (ארגון / תיקייה / פרויקט / משאב), תנאים, מדיניות מניעה (deny policies), תפקידים מותאמים אישית, חשבונות שירות ו-Workload Identity Federation, BeyondCorp Enterprise.
Cloud KMS (תוכנה, HSM, EKM), CMEK / CSEK, Confidential VM ו-Confidential GKE Nodes, Cloud DLP / Sensitive Data Protection, אבטחת עמודות / שורות ב-BigQuery, Secret Manager. 23%.
VPC Service Controls (היקפים, כללי כניסה / יציאה, גשרים), Cloud Armor (OWASP, מיקום גאוגרפי, הגבלת קצב, הגנה אדפטיבית), Cloud IDS, IAP, Private Service Connect. 22% — VPC SC הוא הנושא הצפוף ביותר.
Security Command Center (רמות Standard לעומת Premium לעומת Enterprise), יומני ביקורת של Cloud Logging (פעילות אדמין, גישה לנתונים, אירוע מערכת, מדיניות נדחתה), Chronicle, דפוסי תגובה לאירועים. 19%.
התחום הקטן ביותר ב-11% אך בעל צפיפות גבוהה. Assured Workloads, Sovereign Controls, מסגרות רגולטוריות, איסוף ראיות, בקרות תושבות ואזור נתונים.
שירותים שתפגוש במבחן ומדוע כל אחד מהם חשוב.
פרימיטיב זהות, תפקיד ומדיניות — תפקידים מוגדרים מראש ומותאמים אישית, תנאי IAM, מדיניות מניעה וירושת היררכיית משאבים אוכפים כל החלטת הרשאה.
מדוע הוא במבחן: דומיין 1 (הגדרת גישה) עוסק כולו במנגנוני IAM — תכנון תפקידים בגישת הרשאה מינימלית, תנאי IAM והערכת מדיניות על פני היררכיית הארגון/תיקיות/פרויקטים הם הנושאים הנבחנים ביותר.
מאגר זהויות עובדים מאוחד למערכות IdP חיצוניות, יחד עם גישת BeyondCorp Enterprise מודעת הקשר לשערי יישומים בגישת Zero Trust ללא VPN.
מדוע הוא במבחן: דומיין 1 בוחן זהות עובדים מאוחדת בנוסף למודל BeyondCorp — מדיניות גישה מודעת הקשר ואותות אמון מכשירים מחליפים אמון היקף רשת בבחינה.
היקף שירות סביב ממשקי API מנוהלים של Google Cloud (BigQuery, GCS וכו') שחוסם הוצאת נתונים גם כאשר הרשאות IAM מוגדרות באופן שגוי.
מדוע הוא במבחן: דומיין 2 (הגנת נתונים) מציין את VPC Service Controls כתשובה הקנונית למניעת הוצאת נתונים ובידוד פרויקטים רגישים מהאינטרנט הציבורי.
ניהול מפתחות היררכי — KMS מגובה תוכנה, מפתחות מוגנים ב-HSM בדרגת FIPS 140-2 L3, ו-EKM למפתחות המוחזקים על ידי הלקוח מחוץ ל-Google Cloud, כולם עם אותו ממשק API.
מדוע הוא במבחן: דומיין 2 בוחן מתי לבחור CMEK מול CSEK מול EKM וכיצד סיבוב מפתחות, הרשאות IAM על מפתחות ו-Cloud KMS Autokey אוכפים הצפנה במנוחה.
פלטפורמת CSPM מובנית בענן לזיהוי איומים — שכבות Premium ו-Enterprise חושפות תצורות שגויות, פגיעויות ואיומים פעילים ברחבי הארגון מממצאי Event Threat Detection, Container Threat Detection ו-SHA.
מדוע הוא במבחן: דומיין 4 (פעולות אבטחה) הופך את SCC לתשובה לניהול תצורה מרכזי, תיעדוף פגיעויות וחקירת איומים פעילים ברחבי ארגון GCP.
WAF קצה והגנת DDoS לפני מאזני עומס HTTP(S) גלובליים — כללי OWASP מוגדרים מראש, כללים מותאמים אישית, חסימות מבוססות קצב והגנת ML אדפטיבית.
מדוע הוא במבחן: דומיין 3 (תקשורת והגנות היקף) בוחן את Cloud Armor להפחתת התקפות L7 והגבלת קצב בקצה על יישומים החשופים לאינטרנט.
שער Zero Trust בשכבת היישום המאמת ומאשר כל בקשה ליישומי App Engine, Cloud Run, GKE Ingress ו-Compute Engine ללא צורך ב-VPN.
מדוע הוא במבחן: דומיין 1 מציין את IAP כתשובה הקנונית להחלפת VPN בבדיקות זהות לכל בקשה; דומיין 3 משתמש בו שוב עבור מנהור SSH/RDP ללא חשיפת מופעים באופן ציבורי.
קטלוג מסדרות זמן של כל משאב ומדיניות IAM ברחבי הארגון, הניתן לייצוא ל-BigQuery לשאילתות אד-הוק והתראות שינוי מבוססות פיד דרך Pub/Sub.
מדוע הוא במבחן: דומיינים 4 ו-5 משתמשים ב-Cloud Asset Inventory לצורך ראיות ציות ("הראה לי כל דלי ציבורי בתאריך 2024-01-01") ולזיהוי סחף מקווי בסיס מאושרים.
מאגר סודות מנוהל עם שכפול אוטומטי, יצירת גרסאות, גישה מבוקרת IAM, מפתחות הצפנה בניהול לקוח, ו-hooks לסיבוב דרך Cloud Functions.
מדוע הוא במבחן: דומיין 2 בוחן את Secret Manager כתשובה לשאלת "הפסק להתחייב מפתחות API לבקרת מקור" וכיצד תנאי IAM בתוספת VPC-SC מבודדים גישה לסודות.
גילוי, סיווג וביטול זיהוי של PII — מזהה למעלה מ-150 סוגי מידע, ממסך/מטוקן/מצנזר במקום, ומפיק פרופילי סיכון עבור BigQuery ו-Cloud Storage.
מדוע הוא במבחן: דומיין 2 מציין את Sensitive Data Protection כשירות הקנוני לסריקת אגמי נתונים ו-BigQuery עבור PII לפני אימון ML או שיתוף חיצוני.
הנפקת אישורים קצרי-חיים לעומסי עבודה חיצוניים (AWS, Azure, GitHub Actions, IdP-ים של OIDC) כך שיוכלו לקרוא לממשקי API של Google Cloud ללא מפתחות חשבון שירות ארוכי-חיים.
מדוע הוא במבחן: דומיינים 1 ו-2 בוחנים שניהם את Workload Identity Federation כתשובה המפורשת לחיסול מפתחות חשבון שירות הניתנים להורדה — אנטי-דפוס חוזר בבחינה.
מכונות וירטואליות סודיות וצומתי GKE סודיים מריצים עומסי עבודה על חומרת AMD SEV / Intel TDX כך שתוכן הזיכרון נשאר מוצפן אפילו מה-hypervisor המארח.
מדוע הוא במבחן: דומיין 2 מציין את Confidential Computing להגנה על נתונים בשימוש — עומסי עבודה מפוקחים (בריאות, פיננסים) על תשתית משותפת הם תרחיש חוזר.
רמות גישה (מכשיר, IP, גיאוגרפיה) מזינות כללי VPC-SC ו-IAP; Access Approval דורש אישור מפורש של הלקוח לפני שצוות Google ניגש לנתונים שלך לצורך תמיכה.
מדוע הוא במבחן: דומיין 1 משתמש ב-Access Context Manager לכתיבת מדיניות מודעת הקשר; דומיין 5 (ציות) מציין את Access Approval עבור תעשיות מפוקחות הדורשות רישומי ביקורת גישה של ספקים.
אחסון ארטיפקטים פרטי עבור תמונות קונטיינרים, Maven, npm וכו', עם סריקת פגיעויות של Container Analysis המזינה ממצאים ל-Security Command Center.
מדוע הוא במבחן: דומיין 3 + דומיין 4 בוחנים את דפוס שרשרת האספקה: אחסון תמונות ב-Artifact Registry, סריקה באמצעות Container Analysis, ובקרת פריסות באמצעות Binary Authorization.
בדיקת אבטחה דינמית מנוהלת של יישומים (DAST) הסורקת יישומי App Engine, Compute Engine ויישומי GKE-fronted עבור XSS, תוכן מעורב, ספריות מיושנות ובעיות OWASP Top 10.
מדוע הוא במבחן: דומיין 3 מציין את Web Security Scanner כתשובה המובנית ב-GCP למציאת פגיעויות בשכבת היישום ללא פריסת ערימת DAST נפרדת.
מעקות בטיחות היררכיים — אילוצי בוליאניים ורשימות המגבילים תצורות משאבים (ללא כתובות IP חיצוניות, אזורים מותרים, CMEK נדרש וכו') על פני תיקיות ופרויקטים.
מדוע הוא במבחן: דומיין 5 (ציות) מציין את Org Policy כבקרת המניעה המשלימה את IAM על ידי חסימת תצורות מסוכנות לפני שהן קיימות.
זרמי ביקורת של פעילות מנהלים, גישת נתונים, אירועי מערכת ומדיניות נדחתה, בתוספת ניתוב Cloud Logging ל-BigQuery, GCS, Pub/Sub או Chronicle לשמירה לטווח ארוך.
מדוע הוא במבחן: דומיינים 4 + 5 משתמשים ב-Audit Logs כתיעוד ראיות בלתי ניתן לשינוי של מי עשה מה, וניתוב/מצביעי לוגים קובעים היכן מתבצעת שמירת ציות.
פורטל בשירות עצמי להורדת דוחות אישור SOC, ISO, PCI DSS, FedRAMP ו-HIPAA בתוספת ניטור רציף עבור עומסי עבודה העומדים בדרישות FedRAMP High ו-HIPAA.
מדוע הוא במבחן: דומיין 5 (ציות) בוחן ישירות היכן ניתן להשיג אישורים של צד שלישי של Google Cloud וכיצד לעקוב אחר אילו שירותים נופלים תחת כל היקף.
פלטפורמת SIEM ו-SOAR מובנית בענן — קולטת Cloud Audit Logs, טלמטריית EDR ופידים של צד שלישי, מריצה כללי זיהוי ב-YARA-L, ומתזמרת playbooks של תגובה.
מדוע הוא במבחן: דומיין 4 מציין את Chronicle כיעד ה-SIEM הארגוני עבור Cloud Audit Logs וכמקור לזיהויים בעלי דיוק גבוה המזינים בחזרה את Security Command Center.
$140k–$195k–$285k USD שנתי
הטווח משקף מהנדסי אבטחת ענן בכירים ואדריכלים מבוססי ארה"ב, כאשר GCP היא הפלטפורמה העיקרית. מהנדס אבטחה L5 ב-FAANG עובר את רף 300 אלף דולר. אבטחת ענן דורשת פרמיה בכל שלושת העננים הגדולים; מועמדי PCSE נוטים להיות מעט מעל המקבילים של AWS Security Specialty ב-FAANG עקב מאגר המועמדים הקטן יותר עם מיומנויות GCP.
מקור: levels.fyi 2025–2026 (Google L5–L6 security engineers, FAANG and unicorn senior cloud security), U.S. BLS OEWS May 2024 (15-1212 אנליסטים לאבטחת מידע, 15-1241 ארכיטקטי רשת מחשבים). הנתונים משוערים; התגמול בפועל תלוי בתפקיד, באזור ובניסיון.
הביקוש ל-PCSE גדל בהתמדה ככל שאימוץ GCP בארגונים והלחץ הרגולטורי עלו שניהם בין השנים 2024 ל-2026. קיים ביקוש רב אצל שותפי Google Cloud עם שיטות אבטחה, ארגונים גדולים מפוקחים (שירותים פיננסיים, בריאות, מגזר ציבורי), וב-Google עצמה עבור מומחי אבטחה בהנדסת לקוחות. ההסמכה בעלת ערך גם בצוותי אבטחה מרובי עננים, כאשר שילוב PCSE עם AWS Security Specialty או Azure AZ-500 מסמן עומק אמיתי בין-ענני. בעלי ההסמכה מדווחים בעקביות על תגובה חזקה מצד מגייסים — מהנדסי אבטחת GCP מוסמכים נשארים מאגר מועמדים קטן יחסית ל-AWS.
אין דרישות קדם רשמיות. Google ממליצה על שלוש שנות ניסיון בתעשייה ומעלה ושנה אחת או יותר בתכנון ויישום פתרונות אבטחה ב-Google Cloud. בפועל, PCSE אינה הסמכת GCP ראשונה הגיונית — מועמדים מצליחים מחזיקים ביסודות אבטחה עובדים (שילוש CIA, מודלים של איומים, הרשאה מינימלית, הגנה רב-שכבתית) ובילו זמן משמעותי ב-IAM, רשתות ורישום יומנים (logging) בענן אחד לפחות.
ה-Associate Cloud Engineer (ACE) הוא אבן דרך נפוצה, אך רקע של CISSP או AWS Security Specialty לרוב מהווה תחליף טוב. היכרות עם gcloud CLI, הגבלות מדיניות ארגונית ו-VPC Service Controls נדרשת למעשה. נתיב הלמידה הרשמי למהנדס אבטחת ענן ב-Google Cloud Skills Boost (כ-40–60 שעות) מכסה את תוכנית הלימודים; רוב המועמדים המצליחים גם בונים סביבת ארגז חול רב-פרויקטים ורב-היקפים (multi-project, multi-perimeter sandbox) כדי להפנים את התנהגות VPC Service Controls.
PCSE מדורג ברמה מקצועית ונמצא בעקביות בין הבחינות הקשות יותר של GCP לצד PCA ו-PCNE. תכננו 90–140 שעות לימוד על פני 9–13 שבועות אם PCSE היא הסמכת GCP המקצועית הראשונה שלכם, או 50–80 שעות על פני 5–8 שבועות אם אתם כבר מחזיקים ב-ACE בתוספת AWS Security Specialty או שווה ערך. הבחינה כוללת 50–60 שאלות רב-ברירה / בחירה מרובה ב-120 דקות, ומועברת באמצעות Pearson VUE (גוגל עברה מ-Kryterion / Webassessor בתחילת 2026).
מכשול נפוץ ביותר הוא VPC Service Controls — תכנון היקפים (perimeter design), כללי כניסה / יציאה (ingress / egress rules), גשרים, והאינטראקציה עם Shared VPC מכשילים את רוב המועמדים ואחראים לחלק לא פרופורציונלי מהניסיונות הכושלים. המכשול השני הוא תנאי IAM ומדיניות מניעה (deny policies), שגוגל מעדיפה מאוד בשאלות תרחישים על פני תשובות מבוססות תפקידים ישנות יותר. גוגל אינה מפרסמת ציונים מספריים — רק עובר/נכשל. ההסמכה תקפה לשנתיים וחידושה דורש מעבר מחדש של הבחינה הנוכחית.
מדריך הבחינה הנוכחי עודכן בתחילת 2024 כדי להוסיף מדיניות מניעה (deny policies) של IAM, Workload Identity Federation, Sovereign Controls, וכיסוי עדכני של רמת Enterprise ב-Security Command Center.
רענון גדול שהציג את VPC Service Controls כנושא מרכזי והרחיב את תחום הגנת הנתונים לכלול Confidential Computing.
PCSE (Google Cloud Professional Cloud Security Engineer) הוא מבחן ברמת Professional מבחן מאתגר ועשיר בתרחישים הדורש ניסיון מעמיק ויכולת לקבל החלטות על פשרות אדריכליות. רוב המועמדים זקוקים ל-150–300 שעות לימוד הפרוסות על פני 3–6 חודשים עבור מבחני רמת מקצועי ומומחה. מבחנים אלו מצפים בדרך כלל למיומנות קודמת ברמת Associate. רוב המועמדים שמקבלים ציונים באופן עקבי מעל סף המעבר במבחני תרגול עוברים בניסיון הראשון.
רוב המועמדים זקוקים ל-150–300 שעות לימוד הפרוסות על פני 3–6 חודשים עבור מבחני רמת מקצועי ומומחה. מבחנים אלו מצפים בדרך כלל למיומנות קודמת ברמת Associate. משך הזמן למעבר משתנה מאוד בהתאם לניסיון קודם. מהנדסים בעלי ניסיון מעשי בסביבת ייצור בטכנולוגיה הבסיסית זקוקים בדרך כלל לפחות זמן; מועמדים חדשים לפלטפורמה צריכים לתכנן את לימודיהם לכיוון הקצה העליון של טווח זה.
PCSE הוא אישור מוכר במערכת האקולוגית של GCP ומסמן ידע מאומת למעסיקים, מגייסים ולקוחות. האם זה שווה את הזמן והעמלה עבורך תלוי בתפקיד ובמטרות שלך – זה נוטה להשתלם ביותר עבור מהנדסי ענן, אדריכלים ויועצים שעובדים עם GCP על בסיס יומיומי או רוצים לעבור לתפקידים כאלה.
ציון המעבר עבור PCSE הוא לא פורסם. המבחן מכיל 50 שאלות ונמשך 2 שע'.
עמלת מבחן ה-PCSE היא $200 USD. העמלות נקבעות על ידי GCP ועשויות להשתנות לפי אזור; תמיד אשרו את המחיר הנוכחי בדף ההסמכה הרשמי של GCP לפני ההזמנה.
הסמכות Google Cloud Professional תקפות למשך שנתיים. ניתן לחדש הסמכה על ידי מעבר חוזר של הגרסה הנוכחית של המבחן.
כן. ניתן לגשת למבחן באופן מקוון (בפיקוח דרך הדפדפן המאובטח של הספק, זמין 24/7 ברוב האזורים) או במרכז בחינה פיזי של Pearson VUE בשעות הפעילות. שני הפורמטים משתמשים באותן שאלות, מגבלת זמן וציון מעבר.
CertLabPro מספק 15 מצבי לימוד על פני בנק השאלות לתרגול עבור PCSE. מצב סימולציית המבחן משקף את המבחן האמיתי: 50 שאלות ב-2 שע', עם אותו סף מעבר של לא פורסם. מצב עיון מאפשר לך לקרוא כל שאלה ותשובה באופן סטטי.