GCP PCSE против AWS SCS-C03: сравнение профессиональных сертификаций по облачной безопасности
PCSE и SCS-C03 — это специфичные для облака сертификации по безопасности для GCP и AWS. Вот чем они отличаются, сколько каждая приносит, и когда стоит сдавать обе.
Если вы инженер по облачной безопасности и выбираете между Professional Cloud Security Engineer (PCSE) от GCP и Security Specialty (SCS-C03) от AWS, правильный ответ почти всегда: выбирайте то облако, в котором вы работаете. Эти сертификации не взаимозаменяемы. Различные модели IAM, разные портфолио сервисов безопасности, разные операционные настройки по умолчанию.
Но здесь полезно провести параллельное сравнение, потому что старшим архитекторам облачной безопасности все чаще требуется работать с обоими облаками, и комбинация PCSE + SCS-C03 является одним из самых сильных сигналов о квалификации в области двух-облачной безопасности на рынке в 2026 году. Давайте разберем это.
Краткий обзор экзаменов
| GCP PCSE | AWS SCS-C03 | |
|---|---|---|
| Стоимость | $200 | $300 |
| Продолжительность | 2 ч, ~50 вопросов | 170 мин, 65 вопросов |
| Срок действия | 2 года | 3 года |
| Уровень | Professional | Specialty |
| Требуемый опыт | 3+ года в отрасли, 1+ в GCP | 3-5 лет в безопасности, 2+ в AWS |
| Ожидается практический опыт | Высокий | Высокий |
| Сложность | Высокая | Высокая |
Приблизительно одинаковая когнитивная нагрузка. SCS-C03 имеет больше вопросов и больше времени, но формулировки вопросов на экзамене GCP более плотные; чтение каждого вопроса занимает больше времени на PCSE. Те, кто сдавал оба, склонны считать их равноценными.
На чем фокусируется PCSE
PCSE построен вокруг пяти областей:
- Настройка доступа в среде облачного решения. Cloud IAM (версия GCP, которая существенно отличается от AWS IAM), сервисные аккаунты, workload identity, политики организации, identity-aware proxy (IAP), Cloud Identity против Google Workspace в качестве поставщиков удостоверений, федерация сторонних IdP.
- Настройка сетевой безопасности. Правила межсетевого экрана VPC, иерархические политики межсетевого экрана, VPC Service Controls (специфичная для GCP функция периметра, не имеющая прямого эквивалента в AWS — это одна из наиболее часто проверяемых тем), Cloud Armor (WAF + DDoS), Private Service Connect для изоляции на уровне сервисов.
- Обеспечение защиты данных. Ключи шифрования, управляемые клиентом (CMEK) против предоставляемых клиентом (CSEK) против управляемых Google, Cloud KMS, Cloud HSM, Cloud DLP, Confidential Computing (Конфиденциальные ВМ, Конфиденциальные узлы GKE — шифрование памяти на базе AMD SEV / Intel TDX), шаблоны токенизации.
- Управление операциями в облачном решении. Security Command Center (уровни Standard, Premium, Enterprise — и различия имеют значение), Event Threat Detection, Security Health Analytics, Container Threat Detection, архитектура аудита журналов.
- Обеспечение соответствия. Ограничения политик организации, Assured Workloads, охват FedRAMP / HIPAA / PCI-DSS, Access Transparency, Access Approval, модель общей ответственности с GCP-специфичной детализацией.
На чем фокусируется SCS-C03
SCS-C03 охватывает более широкий спектр сервисов, потому что AWS имеет более обширное портфолио сервисов безопасности:
- Обнаружение угроз и реагирование на инциденты. GuardDuty (эквивалент Event Threat Detection, но более зрелый), Detective, Inspector, Macie (AWS DLP-эквивалент для S3), Security Hub, EventBridge для автоматизации безопасности, Systems Manager Incident Manager.
- Логирование и мониторинг. CloudTrail (сервис аудита журналов — каждый вопрос по безопасности в AWS в конечном итоге затрагивает CloudTrail), CloudWatch Logs, VPC Flow Logs, журналы на уровне организации, проверка целостности журналов, журналы доступа S3.
- Безопасность инфраструктуры. Security groups, NACLs (уровень, которого нет в GCP), VPC endpoints, AWS Network Firewall, AWS WAF, Shield Standard / Advanced, трио AWS Config / Config Rules / Conformance Packs.
- Управление идентификацией и доступом. AWS IAM (который существенно отличается от GCP IAM — AWS имеет явную семантику запрета, политики на основе ресурсов, и концепция "принципала" отображается по-другому), IAM Identity Center (ранее SSO), Resource Access Manager, IAM Access Analyzer, границы разрешений, SCP.
- Защита данных. KMS, CloudHSM, Secrets Manager, Parameter Store, варианты шифрования S3, Macie, ACM, Certificate Manager.
- Управление и обеспечение безопасности. Control Tower, Organizations, AWS Config aggregator, фреймворки аудита / соответствия, столп безопасности Well-Architected.
В чем реальные различия сертификаций
Площадь охвата сервисов. У AWS примерно в 2-3 раза больше сервисов, связанных с безопасностью, чем у GCP. SCS-C03 требует знания всех из них; PCSE углубляется в меньшее количество. Ни один из них не является "сложнее" — это разные виды сложности.
Различия в моделях IAM реальны. AWS IAM имеет явный запрет, политики на основе ресурсов и более сложный поток оценки политик. GCP IAM разрешает только на уровне политики (запрет — это отдельная конструкция, добавленная в 2022 году и все еще реже используемая на практике), политики прикрепляются к ресурсам, а наследование происходит через иерархию ресурсов. Изучение одного не подготовит вас к другому в этой области.
VPC Service Controls — это большая специфичная для GCP концепция. Это периметр вокруг сервисов GCP, таких как BigQuery, Cloud Storage и Dataflow, который предотвращает утечку данных даже пользователями с действительными IAM-разрешениями. Чистого эквивалента в AWS нет — ближайшие аналоги — это политики бакетов S3 плюс политики конечных точек VPC плюс Service Control Policies, все вместе. PCSE сильно опирается на VPC SC; если вы пропустите его при подготовке, вы провалитесь.
SCS-C03 сильно опирается на инструменты обнаружения и реагирования. GuardDuty, Detective, Security Hub, EventBridge automation, Macie — это обширные темы. PCSE имеет Security Command Center в качестве приблизительного аналога, но меньше углубляется в рабочие процессы обнаружения угроз и больше — в архитектурное предотвращение.
Confidential Computing больше развит в GCP. Google запустил Confidential VMs за годы до того, как AWS представил Nitro Enclaves в сопоставимом объеме, и PCSE отражает это многократным освещением сценариев конфиденциальных вычислений. SCS-C03 охватывает Nitro Enclaves, но менее подробно.
Зарплата и сигналы комбо-сертификации
| Только PCSE | Только SCS-C03 | PCSE + SCS-C03 | |
|---|---|---|---|
| Базовая зарплата старшего инженера по облачной безопасности в США | $150k-$195k | $145k-$190k | $165k-$220k |
| Общая компенсация (TC) в FAANG / смежных компаниях | $260k-$380k | $260k-$400k | $300k-$450k |
| Частота упоминания в вакансиях | Упоминается в ~10% вакансий по безопасности GCP | Упоминается в ~25% вакансий по безопасности AWS | Комбинация конкретно запрашивается для ролей старшего архитектора облачной безопасности |
Данные взяты из levels.fyi 2025-2026, BLS OEWS май 2024 (Аналитики информационной безопасности 15-1212, медиана около $124k, 90-й процентиль около $185k; облачная безопасность обычно выше общего диапазона инфосек), Built In и Hired. Воспринимайте с долей скептицизма — самоотчетные данные, сильно смещены к прибрежным штатам США.
Комбинация обеих сертификаций действительно полезна для старших архитекторов облачной безопасности, работающих с несколькими облаками, и конкретно упоминается в некоторых вакансиях уровня staff-level в мультиоблачных предприятиях. Денежная ценность комбинации по сравнению с одной сертификацией значительна — примерно $20k-$30k прибавка к базовой зарплате и более широкий спектр возможностей, особенно в финансовом секторе, здравоохранении и государственных контрактах, где безопасность в мультиоблачной среде является обязательной.
Если вы сдаете только одну, выберите сертификацию, соответствующую вашему текущему облаку. Комбинация — это последовательность, а не параллельное изнуряющее обучение.
Когда сдавать обе
Три сценария, когда имеет смысл сдавать обе:
- Вы работаете в мультиоблачном предприятии. Банки, страховые компании, крупные медицинские организации, оборонные подрядчики — это все чаще предприятия с мультиоблачной политикой, где команды безопасности должны охватывать как минимум AWS + Azure или AWS + GCP.
- Вы нацелены на роль старшего архитектора облачной безопасности. Базовая зарплата от $200k+. Комбинация сертификаций является частью набора квалификаций для этих ролей наряду с CISSP / CCSP и подтвержденным опытом реагирования на инциденты.
- Вы занимаетесь консалтингом. Крупные консалтинговые компании "Большой четверки" и специализированные облачные security-бутики хотят консультантов, которые могут прийти к клиенту, активно использующему AWS или GCP, и быть продуктивными с первой недели.
Когда комбинация не имеет смысла: вы находитесь в начале своей карьеры, вы в основном работаете в одном облаке, или ваш работодатель не возмещает стоимость сертификации. Альтернативная стоимость второй сертификации (около 2 месяцев вечернего обучения) реальна.
Заметки по подготовке
Для PCSE: сосредоточьтесь на VPC Service Controls (будет повторяться в вопросах), архитектуре CMEK / KMS, политиках запрета IAM и условных привязках, а также различиях между уровнями Security Command Center. Шесть-восемь недель вечернего обучения для человека с опытом работы с GCP.
Для SCS-C03: сосредоточьтесь на портфолио сервисов обнаружения угроз (GuardDuty, Detective, Macie, Inspector — что каждый делает, когда каждый подходит), CloudTrail в масштабах организации, взаимодействиях политик KMS и логике оценки политик IAM с конфликтующими разрешениями / запретами / SCP. Восемь-десять недель для человека с опытом работы с AWS.
Если вы сдаете обе, делайте это с интервалом в шесть месяцев. Сдача их подряд означает, что второй экзамен застанет вас уставшим, а различия в моделях IAM собьют вас с толку.
Итог
PCSE и SCS-C03 — это хорошие экзамены, охватывающие важный материал. Ни один из них не является заменой другому. Выберите тот, который соответствует вашему облаку, сдайте его хорошо, и добавляйте второй только в том случае, если ваша карьера движется в направлении мультиоблачности. Комбинация является реальным сигналом для старших архитекторов; для всех остальных одного достаточно.
Готовитесь к PCSE? Просмотрите практические вопросы PCSE на CertLabPro. Нацелены на SCS-C03? Банк вопросов SCS-C03 находится здесь. Уже сдали PCSE и интересуетесь, дополнит ли PCA ваш профиль GCP? Подготовка к PCA находится здесь.