Google Cloud Professional Cloud Security Engineer
227 практических вопросов
Последняя проверка: April 2026
Личные заметки и ссылки на ресурсы для вашего учебного пути
Фильтр по сертификации
Сертификация Google Cloud Professional Cloud Security Engineer (PCSE) подтверждает способность проектировать и внедрять безопасную инфраструктуру в Google Cloud. Экзамен охватывает иерархию и условия IAM, ограничения политики организации, VPC Service Controls, Cloud KMS / EKM / Confidential VM, Cloud Armor и Cloud IDS, Security Command Center Premium, BeyondCorp и Identity-Aware Proxy, Cloud DLP / Sensitive Data Protection, аудит логов, а также полный набор поддерживаемых Google Cloud фреймворков соответствия (HIPAA, PCI, FedRAMP, ISO, SOC). Вопросы в основном сценарные и поощряют кандидатов, мыслящих в терминах многоуровневой защиты — многие вопросы предлагают несколько технически правильных ответов и ожидают наиболее многоуровневый или наименее привилегированный вариант. PCSE является аналогом AWS Security Specialty и Azure AZ-500 в GCP.
Крупнейший домен (25%). Cloud Identity, иерархия IAM (организация / папка / проект / ресурс), условия, политики запрета, пользовательские роли, сервисные аккаунты и Workload Identity Federation, BeyondCorp Enterprise.
Cloud KMS (программное обеспечение, HSM, EKM), CMEK / CSEK, Confidential VM и Confidential GKE Nodes, Cloud DLP / Sensitive Data Protection, безопасность на уровне столбцов / строк BigQuery, Secret Manager. 23%.
VPC Service Controls (периметры, правила входящего / исходящего трафика, мосты), Cloud Armor (OWASP, геолокация, ограничение скорости, адаптивная защита), Cloud IDS, IAP, Private Service Connect. 22% — VPC SC является самой плотной темой.
Security Command Center (уровни Standard, Premium, Enterprise), аудиторские логи Cloud Logging (Admin Activity, Data Access, System Event, Policy Denied), Chronicle, шаблоны реагирования на инциденты. 19%.
Наименьший домен (11%), но высокой плотности. Assured Workloads, Sovereign Controls, нормативно-правовые рамки, сбор доказательств, контроль резидентности и региона данных.
Сервисы, с которыми вы столкнётесь на экзамене, и почему каждый из них важен.
Примитив идентификации, ролей и политик — предопределенные и пользовательские роли, условия IAM, политики запрета и наследование иерархии ресурсов обеспечивают каждое решение по авторизации.
Почему он на экзамене: Домен 1 (Настройка доступа) полностью посвящен механизмам IAM — проектирование ролей с наименьшими привилегиями, условия IAM и оценка политик в иерархии организации/папок/проектов являются наиболее часто тестируемыми темами.
Хранилище корпоративных удостоверений, федеративное с внешними IdP, в сочетании с контекстно-зависимым доступом BeyondCorp Enterprise для обеспечения нулевого доверия при доступе к приложениям без VPN.
Почему он на экзамене: Домен 1 проверяет федеративные корпоративные удостоверения плюс модель BeyondCorp — контекстно-зависимые политики доступа и сигналы доверия к устройствам заменяют доверие к сетевому периметру на экзамене.
Сервисный периметр вокруг управляемых API Google Cloud (BigQuery, GCS и т.д.), который блокирует эксфильтрацию данных, даже если разрешения IAM настроены неправильно.
Почему он на экзамене: Домен 2 (Защита данных) называет VPC Service Controls каноническим ответом для предотвращения эксфильтрации данных и изоляции конфиденциальных проектов от публичного интернета.
Иерархическое управление ключами — KMS с программной поддержкой, ключи, защищенные HSM FIPS 140-2 L3, и EKM для ключей, хранящихся у клиента вне Google Cloud, все с единым интерфейсом API.
Почему он на экзамене: Домен 2 проверяет, когда выбирать CMEK, CSEK или EKM, и как ротация ключей, разрешения IAM на ключи и Cloud KMS Autokey обеспечивают шифрование неактивных данных.
Облачная платформа CSPM и обнаружения угроз — уровни Premium и Enterprise выявляют неверные конфигурации, уязвимости и активные угрозы по всей организации на основе данных Event Threat Detection, Container Threat Detection и обнаружений SHA.
Почему он на экзамене: Домен 4 (Управление операциями безопасности) определяет SCC как решение для централизованного управления состоянием безопасности, приоритизации уязвимостей и расследования активных угроз в организации GCP.
WAF на периметре и защита от DDoS перед глобальными балансировщиками нагрузки HTTP(S) — предварительно настроенные правила OWASP, пользовательские правила, блокировки на основе скорости и адаптивная ML-защита.
Почему он на экзамене: Домен 3 (Связь и защита периметра) проверяет Cloud Armor для смягчения атак L7 и ограничения скорости на периметре для приложений, доступных из интернета.
Шлюз нулевого доверия на уровне приложений, который аутентифицирует и авторизует каждый запрос к приложениям App Engine, Cloud Run, GKE Ingress и Compute Engine без необходимости использования VPN.
Почему он на экзамене: Домен 1 приводит IAP как канонический ответ для замены VPN проверками идентификации на каждый запрос; Домен 3 повторно использует его для туннелирования SSH/RDP без публичного раскрытия экземпляров.
Временной каталог каждого ресурса и политики IAM в организации, экспортируемый в BigQuery для произвольных запросов и уведомлений об изменениях на основе фидов через Pub/Sub.
Почему он на экзамене: Домены 4 и 5 используют Cloud Asset Inventory для доказательств соответствия («покажите мне все публичные корзины на 2024-01-01») и обнаружения отклонений от утвержденных базовых показателей.
Управляемое хранилище секретов с автоматической репликацией, версионированием, доступом, контролируемым IAM, ключами шифрования, управляемыми клиентом, и хуками ротации через Cloud Functions.
Почему он на экзамене: Домен 2 проверяет Secret Manager как ответ на вопрос «прекратить коммитить ключи API в систему контроля версий» и как условия IAM плюс VPC-SC изолируют доступ к секретам.
Обнаружение, классификация и деидентификация PII — обнаруживает более 150 типов информации, маскирует/токенизирует/редактирует данные на месте и создает профили рисков для BigQuery и Cloud Storage.
Почему он на экзамене: Домен 2 называет Sensitive Data Protection каноническим сервисом для сканирования озер данных и BigQuery на предмет PII перед обучением ML или внешним обменом.
Выдача краткосрочных учетных данных для внешних рабочих нагрузок (AWS, Azure, GitHub Actions, OIDC IdP), чтобы они могли вызывать API Google Cloud без долгосрочных ключей сервисных аккаунтов.
Почему он на экзамене: Домены 1 и 2 проверяют Workload Identity Federation как явный ответ для устранения загружаемых ключей сервисных аккаунтов — повторяющийся антипаттерн на экзамене.
Конфиденциальные ВМ и конфиденциальные узлы GKE запускают рабочие нагрузки на оборудовании AMD SEV / Intel TDX, так что содержимое памяти остается зашифрованным даже от хост-гипервизора.
Почему он на экзамене: Домен 2 приводит Confidential Computing для защиты данных в процессе использования — регулируемые рабочие нагрузки (здравоохранение, финансы) на общей инфраструктуре являются повторяющимся сценарием.
Уровни доступа (устройство, IP, география) питают правила VPC-SC и IAP; Access Approval требует явного одобрения клиента, прежде чем персонал Google получит доступ к вашим данным для поддержки.
Почему он на экзамене: Домен 1 использует Access Context Manager для создания контекстно-зависимых политик; Домен 5 (Соответствие) приводит Access Approval для регулируемых отраслей, требующих аудиторских следов доступа провайдера.
Частное хранилище артефактов для образов контейнеров, Maven, npm и т.д., со сканированием уязвимостей Container Analysis, которое передает результаты в Security Command Center.
Почему он на экзамене: Домен 3 + Домен 4 проверяют паттерн цепочки поставок: хранение образов в Artifact Registry, сканирование через Container Analysis, контроль развертываний через Binary Authorization.
Управляемое динамическое тестирование безопасности приложений (DAST), которое сканирует приложения на App Engine, Compute Engine и GKE на наличие XSS, смешанного контента, устаревших библиотек и проблем из OWASP Top 10.
Почему он на экзамене: Домен 3 приводит Web Security Scanner как нативный для GCP ответ для обнаружения уязвимостей на уровне приложений без развертывания отдельного стека DAST.
Иерархические меры безопасности — булевы и списочные ограничения, которые ограничивают конфигурации ресурсов (без внешних IP, разрешенные регионы, обязательный CMEK и т.д.) по папкам и проектам.
Почему он на экзамене: Домен 5 (Соответствие) называет Org Policy превентивным контролем, который дополняет IAM, блокируя рискованные конфигурации до их появления.
Потоки аудита активности администратора, доступа к данным, системных событий и отказов политик, плюс маршрутизация Cloud Logging в BigQuery, GCS, Pub/Sub или Chronicle для долгосрочного хранения.
Почему он на экзамене: Домены 4 + Домен 5 используют Audit Logs как неизменяемую запись доказательств того, кто что сделал, а маршрутизация/приемники логов определяют, где хранится данные для соответствия требованиям.
Портал самообслуживания для загрузки отчетов об аттестации SOC, ISO, PCI DSS, FedRAMP и HIPAA, а также для непрерывного мониторинга рабочих нагрузок, соответствующих FedRAMP High и HIPAA.
Почему он на экзамене: Домен 5 (Соответствие) напрямую проверяет, где получить сторонние аттестации Google Cloud и как отслеживать, какие сервисы подпадают под каждую область.
Облачная платформа SIEM и SOAR — принимает Cloud Audit Logs, телеметрию EDR и сторонние фиды, запускает правила обнаружения на YARA-L и оркестрирует плейбуки реагирования.
Почему он на экзамене: Домен 4 приводит Chronicle как целевой SIEM для корпоративных Cloud Audit Logs и как источник высокоточных обнаружений, поступающих обратно в Security Command Center.
$140k–$195k–$285k USD годовая
Диапазон отражает зарплаты старших инженеров и архитекторов по облачной безопасности в США, где GCP является основной платформой. Общая компенсация (TC) инженера по безопасности FAANG L5 превышает 300 тыс. долларов. Облачная безопасность ценится высоко во всех трех основных облаках; кандидаты с PCSE, как правило, немного превосходят эквивалентов AWS Security Specialty в FAANG из-за меньшего пула кандидатов, владеющих GCP.
Источник: levels.fyi 2025–2026 (инженеры по безопасности Google L5–L6, старшие специалисты по облачной безопасности в FAANG и единорогах), U.S. BLS OEWS May 2024 (аналитики по информационной безопасности 15-1212, архитекторы компьютерных сетей 15-1241). Цифры приблизительны; фактическая компенсация зависит от роли, региона и опыта.
Спрос на PCSE постоянно рос по мере увеличения внедрения GCP на предприятиях и усиления регуляторного давления в период 2024–2026 годов. Высокий спрос наблюдается у партнеров Google Cloud, специализирующихся на безопасности, крупных регулируемых предприятий (финансовые услуги, здравоохранение, государственный сектор) и самого Google для специалистов по безопасности в клиентском инжиниринге. Сертификат также ценен для команд по мультиоблачной безопасности, где сочетание PCSE с AWS Security Specialty или Azure AZ-500 сигнализирует о подлинной глубокой кросс-облачной экспертизе. Владельцы постоянно сообщают о сильном отклике со стороны рекрутеров — квалифицированные инженеры по безопасности GCP остаются небольшим пулом кандидатов по сравнению с AWS.
Формальных предварительных требований нет. Google рекомендует иметь не менее трех лет опыта работы в отрасли и не менее одного года проектирования и внедрения решений по безопасности Google Cloud. На практике PCSE не является разумной первой сертификацией GCP — успешные кандидаты обладают действующими основами безопасности (триада CIA, моделирование угроз, принцип наименьших привилегий, многоуровневая защита) и уделили значительное время IAM, сетям и логированию хотя бы в одном облаке.
Сертификация Associate Cloud Engineer (ACE) является распространенным промежуточным этапом, но опыт CISSP или AWS Security Specialty часто хорошо его заменяет. Уверенное владение gcloud CLI, ограничениями политики организации и VPC Service Controls фактически требуется. Официальный учебный курс Cloud Security Engineer Learning Path на Google Cloud Skills Boost (около 40–60 часов) охватывает учебную программу; большинство успешных кандидатов также создают многопроектную, многопериметровую «песочницу» для усвоения поведения VPC Service Controls.
PCSE оценивается как профессиональная сертификация и стабильно входит в число более сложных экзаменов GCP наряду с PCA и PCNE. Планируйте 90–140 часов обучения в течение 9–13 недель, если PCSE — ваша первая профессиональная сертификация GCP, или 50–80 часов в течение 5–8 недель, если у вас уже есть ACE плюс AWS Security Specialty или эквивалент. Экзамен состоит из 50–60 вопросов с множественным выбором / множественным ответом, длительностью 120 минут, проводится через Pearson VUE (Google перешел с Kryterion / Webassessor в начале 2026 года).
Наиболее распространенным камнем преткновения являются VPC Service Controls — проектирование периметров, правила входящего / исходящего трафика, мосты и взаимодействие с Shared VPC сбивают с толку большинство кандидатов и приводят к непропорционально большому числу неудачных попыток. Вторым камнем преткновения являются условия IAM и политики запрета, которым Google отдает предпочтение в сценарных вопросах по сравнению со старыми ответами на основе ролей. Google не публикует числовые оценки — только "сдал / не сдал". Сертификат действителен в течение двух лет, и для повторной сертификации требуется повторно сдать текущий экзамен.
Текущее руководство по экзамену обновлено в начале 2024 года, чтобы добавить политики запрета IAM, Workload Identity Federation, Sovereign Controls и обновленное покрытие уровня Security Command Center Enterprise.
Крупное обновление, которое представило VPC Service Controls как основную тему и расширило домен защиты данных, включив Confidential Computing.
PCSE (Google Cloud Professional Cloud Security Engineer) — это Professional-уровневый экзамен, сложный, насыщенный сценариями экзамен, требующий глубокого практического опыта и способности принимать решения по архитектурным компромиссам. Большинству кандидатов требуется 150–300 часов обучения, распределенных на 3–6 месяцев, для экзаменов профессионального и экспертного уровня. Эти экзамены обычно предполагают предварительную подготовку на уровне Associate. Большинство кандидатов, которые стабильно набирают баллы выше проходного порога на пробных экзаменах, сдают его с первой попытки.
Большинству кандидатов требуется 150–300 часов обучения, распределенных на 3–6 месяцев, для экзаменов профессионального и экспертного уровня. Эти экзамены обычно предполагают предварительную подготовку на уровне Associate. Время, необходимое для сдачи, сильно варьируется в зависимости от предыдущего опыта. Инженерам с практическим опытом работы с базовой технологией обычно требуется меньше времени; кандидатам, новым для платформы, следует ориентироваться на верхнюю границу этого диапазона.
PCSE — это признанная квалификация в экосистеме GCP, которая подтверждает знания для работодателей, рекрутеров и клиентов. Стоит ли это затраченного времени и платы, зависит от вашей роли и целей — это чаще всего окупается для облачных инженеров, архитекторов и консультантов, которые ежедневно работают с GCP или хотят перейти на такие должности.
Проходной балл для PCSE составляет Не опубликовано. Экзамен содержит 50 вопросов и длится 2 ч.
Стоимость экзамена PCSE составляет $200 USD. Сборы устанавливаются GCP и могут варьироваться в зависимости от региона; всегда уточняйте текущую цену на официальной странице сертификации GCP перед бронированием.
Сертификации Google Cloud Professional действительны в течение 2 лет. Пройдите повторную сертификацию, пересдав текущую версию экзамена.
Да. Вы можете сдать экзамен онлайн (с прокторингом через безопасный браузер провайдера, доступный 24/7 в большинстве регионов) или в очном центре тестирования Pearson VUE в рабочее время. Оба формата используют одни и те же вопросы, ограничение по времени и проходной балл.
CertLabPro предлагает 15 режимов обучения по банку практических вопросов для PCSE. Режим симуляции экзамена имитирует реальный экзамен: 50 вопросов за 2 ч, с тем же проходным порогом Не опубликовано. Режим просмотра позволяет статически читать каждый вопрос и ответ.