Google Cloud Professional Cloud Security Engineer
227 perguntas de prática
Última revisão: April 2026
Notas pessoais e links de recursos para sua jornada de estudo
Filtrar por Certificação
O Google Cloud Professional Cloud Security Engineer (PCSE) valida a capacidade de projetar e implementar infraestrutura segura no Google Cloud. O exame abrange hierarquia e condições do IAM, restrições de política organizacional, Controles de Serviço VPC, Cloud KMS / EKM / VM Confidencial, Cloud Armor e Cloud IDS, Security Command Center Premium, BeyondCorp e Identity-Aware Proxy, Cloud DLP / Proteção de Dados Sensíveis, registro de auditoria e o conjunto completo de frameworks de conformidade que o Google Cloud oferece suporte (HIPAA, PCI, FedRAMP, ISO, SOC). O estilo das perguntas é focado em cenários e recompensa candidatos que pensam em termos de defesa em profundidade — muitas perguntas apresentam várias respostas tecnicamente corretas e esperam a opção mais em camadas ou de menor privilégio. O PCSE é o análogo no GCP do AWS Security Specialty e do Azure AZ-500.
O maior domínio, com 25%. Cloud Identity, hierarquia do IAM (organização / pasta / projeto / recurso), condições, políticas de negação, funções personalizadas, contas de serviço e Workload Identity Federation, BeyondCorp Enterprise.
Cloud KMS (software, HSM, EKM), CMEK / CSEK, VM Confidencial e Nós GKE Confidenciais, Cloud DLP / Proteção de Dados Sensíveis, segurança em nível de coluna / linha do BigQuery, Secret Manager. 23%.
Controles de Serviço VPC (perímetros, regras de entrada / saída, pontes), Cloud Armor (OWASP, geo, limitação de taxa, proteção adaptativa), Cloud IDS, IAP, Private Service Connect. 22% — VPC SC é o tópico mais denso.
Security Command Center (níveis Standard vs. Premium vs. Enterprise), logs de auditoria do Cloud Logging (Admin Activity, Data Access, System Event, Policy Denied), Chronicle, padrões de resposta a incidentes. 19%.
O menor domínio, com 11%, mas de alta densidade. Assured Workloads, Sovereign Controls, frameworks regulatórios, coleta de evidências, controles de residência e região de dados.
Serviços que você encontrará no exame e por que cada um importa.
Primitiva de identidade, função e política — funções predefinidas e personalizadas, IAM Conditions, políticas de negação e herança de hierarquia de recursos impõem cada decisão de autorização.
Por que está no exame: O Domínio 1 (Configuração de Acesso) trata inteiramente da mecânica do IAM — design de função de privilégio mínimo, IAM Conditions e avaliação de políticas em toda a hierarquia de organização/pasta/projeto são os tópicos mais testados.
Armazenamento de identidade de força de trabalho federado a IdPs externos, combinado com acesso sensível ao contexto do BeyondCorp Enterprise para controle de aplicativos Zero Trust sem uma VPN.
Por que está no exame: O Domínio 1 testa a identidade de força de trabalho federada mais o modelo BeyondCorp — políticas de acesso sensíveis ao contexto e sinais de confiança do dispositivo substituem a confiança do perímetro de rede no exame.
Perímetro de serviço em torno de APIs gerenciadas do Google Cloud (BigQuery, GCS, etc.) que bloqueia a exfiltração de dados mesmo quando as concessões do IAM estão configuradas incorretamente.
Por que está no exame: O Domínio 2 (Proteção de Dados) nomeia o VPC Service Controls como a resposta canônica para prevenir a exfiltração de dados e isolar projetos sensíveis da internet pública.
Gerenciamento hierárquico de chaves — KMS baseado em software, chaves protegidas por HSM FIPS 140-2 L3 e EKM para chaves detidas pelo cliente fora do Google Cloud, todos com a mesma superfície de API.
Por que está no exame: O Domínio 2 testa quando escolher CMEK vs. CSEK vs. EKM e como a rotação de chaves, concessões IAM em chaves e Cloud KMS Autokey aplicam a criptografia em repouso.
Plataforma nativa de CSPM e detecção de ameaças na nuvem — os níveis Premium e Enterprise expõem configurações incorretas, vulnerabilidades e ameaças ativas em toda a organização a partir de Event Threat Detection, Container Threat Detection e descobertas do SHA.
Por que está no exame: O Domínio 4 (Gerenciamento de Operações de Segurança) faz do SCC a resposta para gerenciamento centralizado de postura, triagem de vulnerabilidades e investigação de ameaças ativas em toda a organização do GCP.
WAF de borda e proteção contra DDoS na frente de balanceadores de carga HTTP(S) globais — regras OWASP pré-configuradas, regras personalizadas, proibições baseadas em taxa e proteção adaptativa de ML.
Por que está no exame: O Domínio 3 (Proteção de Comunicações e Perímetro) testa o Cloud Armor para mitigação de ataques L7 e limitação de taxa de borda em aplicações expostas à internet.
Gateway Zero Trust de camada de aplicação que autentica e autoriza cada solicitação para App Engine, Cloud Run, GKE Ingress e aplicações Compute Engine sem a necessidade de uma VPN.
Por que está no exame: O Domínio 1 cita o IAP como a resposta canônica para substituir a VPN por verificações de identidade por solicitação; o Domínio 3 o reutiliza para tunelamento SSH/RDP sem expor instâncias publicamente.
Catálogo de séries temporais de cada recurso e política IAM em toda a organização, exportável para BigQuery para consultas ad-hoc e notificações de mudança baseadas em feed via Pub/Sub.
Por que está no exame: Os Domínios 4 e 5 usam o Cloud Asset Inventory para evidências de conformidade ("mostre-me cada bucket público em 2024-01-01") e detecção de desvios de baselines aprovadas.
Armazenamento de segredos gerenciado com replicação automática, versionamento, acesso controlado por IAM, chaves de criptografia gerenciadas pelo cliente e hooks de rotação via Cloud Functions.
Por que está no exame: O Domínio 2 testa o Secret Manager como a resposta para "parar de fazer commit de chaves API para o controle de origem" e como o IAM Conditions mais o VPC-SC isolam o acesso a segredos.
Descoberta, classificação e desidentificação de PII — detecta mais de 150 infoTypes, mascara/tokeniza/redige no local e produz perfis de risco para BigQuery e Cloud Storage.
Por que está no exame: O Domínio 2 nomeia o Sensitive Data Protection como o serviço canônico para escanear data lakes e BigQuery em busca de PII antes do treinamento de ML ou compartilhamento externo.
Emissão de credenciais de curta duração para workloads externos (AWS, Azure, GitHub Actions, OIDC IdPs) para que possam chamar APIs do Google Cloud sem chaves de conta de serviço de longa duração.
Por que está no exame: O Domínio 1 e o Domínio 2 testam o Workload Identity Federation como a resposta explícita para eliminar chaves de conta de serviço baixáveis — um antipadrão recorrente no exame.
VMs Confidenciais e Nós GKE Confidenciais executam workloads em hardware AMD SEV / Intel TDX para que o conteúdo da memória permaneça criptografado mesmo do hypervisor do host.
Por que está no exame: O Domínio 2 cita o Confidential Computing para proteger dados em uso — workloads regulamentados (saúde, finanças) em infraestrutura compartilhada são um cenário recorrente.
Níveis de acesso (dispositivo, IP, geo) alimentam regras de VPC-SC e IAP; o Access Approval exige aprovação explícita do cliente antes que o pessoal do Google acesse seus dados para suporte.
Por que está no exame: O Domínio 1 usa o Access Context Manager para autoria de políticas sensíveis ao contexto; o Domínio 5 (Conformidade) cita o Access Approval para indústrias regulamentadas que exigem trilhas de auditoria de acesso do provedor.
Armazenamento privado de artefatos para imagens de contêiner, Maven, npm, etc., com varredura de vulnerabilidades do Container Analysis que alimenta as descobertas no Security Command Center.
Por que está no exame: Os Domínios 3 e 4 testam o padrão de cadeia de suprimentos: armazene imagens no Artifact Registry, escaneie via Container Analysis, controle implantações via Binary Authorization.
Teste de segurança de aplicações dinâmico (DAST) gerenciado que rastreia aplicações App Engine, Compute Engine e GKE-fronted em busca de XSS, conteúdo misto, bibliotecas desatualizadas e problemas do OWASP Top 10.
Por que está no exame: O Domínio 3 cita o Web Security Scanner como a resposta nativa do GCP para encontrar vulnerabilidades de camada de aplicação sem implantar uma stack DAST separada.
Guardrails hierárquicos — restrições booleanas e de lista que limitam as configurações de recursos (sem IPs externos, regiões permitidas, CMEK obrigatório, etc.) em pastas e projetos.
Por que está no exame: O Domínio 5 (Conformidade) nomeia o Org Policy como o controle preventivo que complementa o IAM, bloqueando configurações de risco antes que existam.
Fluxos de auditoria de Atividade de Administrador, Acesso a Dados, Eventos de Sistema e Política Negada, mais roteamento do Cloud Logging para BigQuery, GCS, Pub/Sub ou Chronicle para retenção de longo prazo.
Por que está no exame: Os Domínios 4 e 5 usam os Audit Logs como o registro de evidências imutável de quem fez o quê, e o roteamento/coletores de log decidem onde reside a retenção de conformidade.
Portal de autoatendimento para download de relatórios de atestado SOC, ISO, PCI DSS, FedRAMP e HIPAA, além de monitoramento contínuo para workloads FedRAMP High e elegíveis para HIPAA.
Por que está no exame: O Domínio 5 (Conformidade) testa diretamente onde obter atestados de terceiros do Google Cloud e como rastrear quais serviços se enquadram em cada escopo.
Plataforma SIEM e SOAR nativa da nuvem — ingere Cloud Audit Logs, telemetria EDR e feeds de terceiros, executa regras de detecção em YARA-L e orquestra playbooks de resposta.
Por que está no exame: O Domínio 4 cita o Chronicle como o alvo SIEM corporativo para Cloud Audit Logs e como a fonte de detecções de alta fidelidade que alimentam o Security Command Center.
$140k–$195k–$285k USD anual
A faixa reflete engenheiros e arquitetos de segurança em nuvem sênior baseados nos EUA, onde o GCP é a plataforma principal. A compensação total (TC) de um engenheiro de segurança L5 da FAANG ultrapassa os US$ 300 mil. A segurança em nuvem exige um prêmio em todas as três principais nuvens; candidatos PCSE tendem a ficar ligeiramente acima dos equivalentes AWS Security Specialty na FAANG devido ao menor pool de candidatos com experiência em GCP.
Fonte: levels.fyi 2025–2026 (engenheiros de segurança Google L5–L6, segurança em nuvem sênior em FAANG e unicórnios), U.S. BLS OEWS May 2024 (15-1212 analistas de segurança da informação, 15-1241 arquitetos de rede de computador). Os valores são aproximados; a compensação real depende da função, região e experiência.
A demanda por PCSE cresceu constantemente à medida que a adoção empresarial do GCP e a pressão regulatória aumentaram ao longo de 2024–2026. Há uma forte demanda em parceiros do Google Cloud com práticas de segurança, grandes empresas regulamentadas (serviços financeiros, saúde, setor público) e no próprio Google para especialistas em segurança de engenharia de clientes. A certificação também é valiosa em equipes de segurança multi-cloud, onde a combinação de PCSE com AWS Security Specialty ou Azure AZ-500 sinaliza uma verdadeira profundidade entre nuvens. Os detentores relatam consistentemente uma forte resposta de recrutadores — engenheiros de segurança GCP qualificados permanecem um pequeno pool de candidatos em relação à AWS.
Não há pré-requisitos formais. O Google recomenda três ou mais anos de experiência na indústria e um ou mais anos projetando e implementando soluções de segurança no Google Cloud. Na prática, o PCSE não é uma primeira certificação GCP sensata — candidatos bem-sucedidos possuem fundamentos de segurança funcionais (tríade CIA, modelagem de ameaças, privilégio mínimo, defesa em profundidade) e passaram um tempo significativo em IAM, redes e logging em pelo menos uma nuvem.
O Associate Cloud Engineer (ACE) é um degrau comum, mas um histórico em CISSP ou AWS Security Specialty muitas vezes serve como boa alternativa. Familiaridade com a CLI gcloud, restrições de política organizacional e Controles de Serviço VPC é efetivamente exigida. O Roteiro de Aprendizagem oficial de Cloud Security Engineer no Google Cloud Skills Boost (cerca de 40–60 horas) abrange o currículo; a maioria dos candidatos bem-sucedidos também constrói um sandbox multi-projeto e multi-perímetro para internalizar o comportamento dos Controles de Serviço VPC.
O PCSE é classificado como profissional e consistentemente se encontra entre os exames GCP mais difíceis, ao lado de PCA e PCNE. Planeje de 90 a 140 horas de estudo ao longo de 9 a 13 semanas se o PCSE for sua primeira certificação profissional GCP, ou de 50 a 80 horas ao longo de 5 a 8 semanas se você já possui ACE mais AWS Security Specialty ou equivalente. O exame consiste em 50 a 60 perguntas de múltipla escolha / múltipla seleção em 120 minutos, administrado através da Pearson VUE (o Google migrou de Kryterion / Webassessor no início de 2026).
O obstáculo mais comum são os Controles de Serviço VPC — design de perímetro, regras de entrada / saída, pontes e a interação com o VPC Compartilhado confundem a maioria dos candidatos e respondem por uma parcela desproporcional de tentativas falhas. O segundo obstáculo são as condições do IAM e as políticas de negação, que o Google favorece fortemente em perguntas de cenário em detrimento de respostas mais antigas baseadas em funções. O Google não publica pontuações numéricas — apenas aprovação/reprovação. A credencial é válida por dois anos e a recertificação exige a aprovação no exame atual.
Guia do exame atualizado no início de 2024 para adicionar políticas de negação do IAM, Workload Identity Federation, Sovereign Controls e cobertura atualizada do nível Enterprise do Security Command Center.
Atualização principal que introduziu os Controles de Serviço VPC como um tópico importante e expandiu o domínio de proteção de dados para incluir Computação Confidencial.
PCSE (Google Cloud Professional Cloud Security Engineer) é um exame de nível Professional um exame desafiador, com muitos cenários, que exige profunda experiência prática e a capacidade de tomar decisões de trade-off arquitetônicas. A maioria dos candidatos precisa de 150 a 300 horas de estudo distribuídas em 3 a 6 meses para exames de nível profissional e especialista. Esses exames geralmente esperam proficiência anterior em nível associado. A maioria dos candidatos que pontuam consistentemente acima do limite de aprovação em exames práticos é aprovada na primeira tentativa.
A maioria dos candidatos precisa de 150 a 300 horas de estudo distribuídas em 3 a 6 meses para exames de nível profissional e especialista. Esses exames geralmente esperam proficiência anterior em nível associado. O tempo para aprovação varia amplamente de acordo com a experiência prévia. Engenheiros com experiência prática de produção na tecnologia subjacente geralmente precisam de menos tempo; candidatos novos na plataforma devem planejar-se para o limite superior dessa faixa.
PCSE é uma credencial reconhecida no ecossistema GCP e sinaliza conhecimento validado para empregadores, recrutadores e clientes. Se vale a pena o tempo e a taxa para você, depende do seu papel e objetivos — geralmente compensa mais para engenheiros de nuvem, arquitetos e consultores que trabalham com GCP diariamente ou desejam mudar para funções que o fazem.
A pontuação de aprovação para PCSE é Não publicado. O exame contém 50 questões e dura 2 h.
A taxa do exame PCSE é $200 USD. As taxas são definidas por GCP e podem variar por região; sempre confirme o preço atual na página oficial de certificação GCP antes de agendar.
As certificações Google Cloud Professional são válidas por 2 anos. Recertifique-se passando novamente na versão atual do exame.
Sim. Você pode fazer o exame online (supervisionado através do navegador seguro do provedor, disponível 24 horas por dia, 7 dias por semana na maioria das regiões) ou em um centro de testes Pearson VUE presencial durante o horário comercial. Ambos os formatos usam as mesmas perguntas, limite de tempo e pontuação de aprovação.
A CertLabPro oferece 15 modos de estudo no banco de questões práticas para PCSE. O modo de simulação de exame espelha o exame real: 50 questões em 2 h, com o mesmo limite de aprovação de Não publicado. O modo de navegação permite que você leia todas as perguntas e respostas estaticamente.