8 principais certificações de segurança na nuvem

Views: 644

À medida que as empresas movem cada vez mais sua infraestrutura para a nuvem, elas são forçadas a mudar sua abordagem de segurança. Os controles de segurança que você precisa implementar para uma infraestrutura baseada em nuvem são diferentes daqueles de um datacenter tradicional. Há também ameaças específicas para um ambiente de nuvem. Um erro pode colocar seus dados em risco.

Não é surpresa que os gerentes de contratação estejam procurando candidatos que possam demonstrar seu know-how de segurança na nuvem – e várias empresas e organizações criaram certificações para ajudar os candidatos a se destacarem. Como em muitas outras áreas da TI, esses certificados podem ajudar a impulsionar sua carreira. “As certificações de segurança na nuvem podem configurar profissionais para o sucesso na carreira a longo prazo no projeto, operação e manutenção de ambientes de nuvem seguros para as empresas de hoje”, diz Joe Vadakkan, diretor sênior de alianças de serviços da Optiv. “Além do processo ser uma experiência de aprendizado divertida, cada certificação oferece um benefício único para entender os controles de segurança, riscos associados e necessidades dinâmicas dos modelos operacionais em nuvem.”

Mas qual certificação você deve buscar? Conversamos com vários profissionais de segurança de TI para obter sua opinião sobre aqueles que são os sinais mais amplamente aceitos de candidatos de alta qualidade. Isso inclui certificações de segurança na nuvem para iniciantes e profissionais avançados.

Temos os detalhes oito das melhores certificações de segurança identificadas: quatro que são certificações generalistas e quatro construídas em torno de plataformas específicas.

Quatro boas certificações gerais de segurança na nuvem…

1. Certificado de Conhecimento de Segurança na Nuvem (CCSK)

Estritamente falando, o CCSK, como o próprio nome indica, é um certificado e não uma certificação, mas ainda representa um primeiro passo valioso em sua carreira de segurança na nuvem. “Se você tem que escolher uma certificação e quer (como deveria) entender mais dos conceitos técnicos além de um nível teórico, um CCSK é o caminho a percorrer”, diz Aaron Rosenmund, Diretor de Pesquisa e Currículo de Segurança da Pluralsight. “É um conhecimento independente do fornecedor sobre como proteger dados na nuvem. Ele garante que os tecnólogos tenham o conhecimento fundamental e aprofundado necessário – da arquitetura e infraestrutura em nuvem à segurança de dados, gerenciamento de chaves, gerenciamento de identidade e acesso – para utilizar os serviços em nuvem com mais segurança.”

O teste CCSK pede aos participantes que demonstrem conhecimento de três documentos-chave: a Orientação de Segurança CSA para Áreas Críticas de Foco em Computação em Nuvem, a Matriz de Controle de Nuvem CSA e a Avaliação de Risco de Computação em Nuvem da Agência de Cibersegurança da UE. O exame é aberto, e você pode fazê-lo online.

Oferecido por: Cloud Security Alliance
Pré-requisitos: Nenhum
Formato de teste: 60 perguntas de múltipla escolha
Custo: US$ 395 para fazer o exame (você tem permissão para refazer se não passar)
Site oficial: https://cloudsecurityalliance.org/education/ccsk/

2. CompTIA Cloud+

O Cloud+ é estritamente uma certificação geral de administração da nuvem em vez de um certificado de segurança, mas inclui extenso conteúdo de segurança na nuvem e muitas pessoas com quem conversamos o mencionaram como uma maneira de demonstrar que você entende o lugar da nuvem e da segurança nela, incluindo a implementação de controles de segurança na nuvem e a solução de problemas de segurança na nuvem. É um sucessor do certificado CompTIA Cloud Essentials+, e é definitivamente mais técnico; embora não haja pré-requisitos formais, recomenda-se dois a três anos de experiência em administradores de sistemas.

“Certificações como CompTIA Cloud+ fornecem uma sólida compreensão de conceitos, vocabulário comum e abordagens de nuvem”, observa Dustin Hutchison, PhD, VP de Serviços e CISO da Pondurance. “No entanto, eles não fornecem habilidades técnicas específicas para o trabalho da plataforma.” (Vamos falar sobre isso com mais detalhes em um momento.)

Oferecido por: CompTIA
Pré-requisitos: Nenhum
Formato de teste: 90 perguntas baseadas em desempenho e múltipla escolha
Custo: $338
Site oficial: https://www.comptia.org/certifications/cloud

3. GIAC Cloud Security Automation (GCSA)

A certificação GCSA Automation pode ser um dos certificados menos conhecidos desta lista, mas Adam Gordon, Instrutor da ITProTV, diz que os gerentes de contratação reconhecem seu lugar no mercado. Como os outros certificados que discutimos até agora, não tem requisitos formais, mas é um dos certificados mais avançados e os candidatos provavelmente devem ter de três a cinco anos de experiência.

A certificação é construída em torno do treinamento de Segurança na Nuvem e Automação DevSecOps do SANS Institute, e aqueles que fazem esse curso podem obter um desconto no preço não insignificante do teste. O teste se concentra em particular em proteger processos automatizados associados ao CI/CD e inclui material sobre serviços específicos da AWS e Azure.

Oferecido por: GIAC
Pré-requisitos: Nenhum
Formato do teste: 75 perguntas
Custo: US$1.999 (US$799/US$1.149 para Afiliados SANS)
Site oficial: https://www.giac.org/certification/cloud-security-automation-gcsa

4. Profissional Certificado de Segurança na Nuvem (CCSP)

Quase todos com quem conversamos concordaram: o CCSP da ISC2 é uma das certificações mais conhecidas e respeitadas do mercado. Ao contrário dos certificados anteriores que discutimos, o CCSP destina-se a profissionais de nível superior e mais experientes, com um requisito de vários anos de emprego no setor antes que você possa se inscrever para ser certificado. “Do senso geral de demonstrar experiência e credibilidade em segurança na nuvem, acho que o CCSP é o melhor”, diz Dave Hatter, Consultor de Segurança Cibernética da IntrustIT. “É independente de fornecedores, requer conhecimento em domínios críticos, requer experiência no mundo real e vem de uma das organizações de segurança cibernética mais respeitadas do setor.”

“Como um gerente de contratação experiente, os certificados são importantes, pois mostram o potencial de um candidato para reter conhecimento, mas o que os certificados não refletem claramente é a capacidade do candidato de aplicar esse conhecimento a aplicativos do mundo real”, acrescenta Chuck Everette, Diretor de Defesa da Cibersegurança da Deep Instinct. “O CSSP é altamente respeitado devido à exigência de que o candidato tenha vários anos de experiência de trabalho remunerado no campo infosec que realmente se relaciona ao tópico de segurança, risco e conformidade na nuvem.”

Oferecido por: ISC2Pré-requisitos: Cinco anos de experiência de trabalho remunerado em TI, pelo menos três dos quais devem estar no infosec, e pelo menos um dos quais deve ter envolvido um ou mais domínios no corpo comum de conhecimento da ISC2 para segurança na nuvem
Formato de teste: 125 perguntas de múltipla escolha
Custo: US$ 599 para fazer o exame; taxas anuais de manutenção de US$ 125
Site oficial: https://www.isc2.org/Certifications/CCSP

…e quatro certificações específicas da plataforma em nuvem

Todos os certificados de que falamos até agora são mais ou menos neutros para o fornecedor, embora a GSA aborde em algumas tecnologias específicas para provedores de nuvem específicos. No entanto, se você deseja mostrar que conhece uma plataforma de nuvem específica, existem certificações específicas para vendedores que podem ajudá-lo a fazê-lo.

“As certificações especializadas em segurança realmente destacam um indivíduo, porque entenderão as melhores práticas e metodologias para cada ambiente de nuvem específico”, diz Vadakkan, da Optiv. “Cada provedor tem seu próprio conjunto de centenas de serviços, portanto, ser um especialista em um traz muito valor para uma organização.”

Vamos dar uma olhada em quatro certificados com os quais muitos dos especialistas com quem conversamos concordaram podem fazer você se destacar para potenciais empregadores que dependem de plataformas de nuvem específicas.

5. Associado de Engenheiro de Segurança Azure

Esta certificação destina-se a validar sua experiência na implementação de controles de segurança e proteção contra ameaças na plataforma Azure da Microsoft, bem como as habilidades para gerenciar identidade e acessar e proteger dados, aplicativos e redes. Tal como acontece com muitos dos certificados desta lista, não há pré-requisitos formais, mas isso não é para iniciantes: espera-se que você não apenas já seja um administrador especialista do Azure, mas também tenha sólidas habilidades de script e automação, e uma compreensão de redes, virtualização e arquiteturas N-tier baseadas em nuvem.

Para ser certificado, você deve passar no Exame AZ-500 da Microsoft.

Oferecido por: Microsoft
Pré-requisitos: Nenhum, embora a Microsoft tenha treinamento, recomenda que você conclua
Formato de teste: 40-60 perguntas de múltipla escolha e múltipla seleção
Custo: $165
Site oficial: https://docs.microsoft.com/en-us/learn/certifications/azure-security-engineer/

6. Segurança Certificada AWS — Especialidade

A AWS da Amazon é provavelmente a plataforma de nuvem pública mais utilizada e, portanto, obter certificação de segurança pode impulsionar suas perspectivas de emprego. Segurança Certificada AnAWS — O titular da especialidade demonstrou uma compreensão das classificações de dados e medidas de proteção especializadas da AWS, como a AWS implementa criptografia e os serviços e recursos de segurança incorporados à plataforma.

Embora não haja pré-requisitos formais, a Amazon recomenda que você tenha pelo menos dois anos de experiência prática na AWS e um mínimo de cinco anos de experiência em segurança de TI antes de fazer o teste.

Oferecido por: Amazon
Pré-requisitos: Nenhum
Formato de teste: 65 perguntas de múltipla escolha ou múltipla resposta
Custo: US$ 300 (você pode comprar um exame prático por US$ 40)
Site oficial: https://aws.amazon.com/certification/certified-security-specialty/

7. Engenheiro Profissional de Segurança na Nuvem

O título deste certificado pode parecer genérico, mas é especificamente orientado para o Google Cloud, completando os três principais provedores de plataforma de nuvem. Um detentor da certificação Professional Cloud Security Engineer deve ser capaz de projetar e implementar uma infraestrutura segura na nuvem do Google.

Embora não haja pré-requisitos formais, o Google recomenda que você tenha pelo menos um ano de experiência com o Google Cloud e três anos de experiência no setor em geral antes de fazer o teste. Você deve estar familiarizado com todos os fundamentos da segurança na nuvem, como gerenciamento de identidade e acesso, bem como com as tecnologias específicas de proteção de dados e resposta a incidentes do Google.

Oferecido por: Google
Pré-requisitos: Nenhum
Formato de teste: 50 perguntas de múltipla escolha e seleção múltipla
Custo: $200
Site oficial: https://cloud.google.com/certification/cloud-security-engineer

8. Especialista Certificado em Segurança Kubernetes (CKS)

O Kubernetes é a plataforma dominante para orquestrar aplicativos baseados em contêineres, que na prática quase sempre são executados na nuvem. A certificação CKS é para profissionais de alto nível do Kubernetes que desejam demonstrar que entendem as melhores práticas para proteger aplicativos baseados em contêineres, desde a compilação até a implantação e o tempo de execução.

Um administrador certificado pelo CKS terá demonstrado a capacidade de configurar e endurecer clusters, minimizar vulnerabilidades em microsserviços e monitorar problemas de segurança enquanto os aplicativos estão em execução.

Oferecido por: Cloud Native Computing Foundation
Pré-requisitos: Os candidatos devem possuir um certificado de Administrador Certificado Kubernetes
Formato de teste: Teste baseado em desempenho no qual os participantes do teste resolvem várias tarefas a partir de uma linha de comando executando o Kubernetes
Custo: $375
Site oficial: https://www.cncf.io/certification/cks/

Indo além das certificações

Todos esses certificados são boas maneiras de demonstrar suas habilidades aos seus empregadores atuais ou potenciais – eles são “uma boa maneira de colocar o pé na porta de uma empresa que faz segurança na nuvem e são bons para passar por um filtro de currículo”, diz Karl Fosaaen, Diretor de Práticas de Nuvem da NetSPI. Dito isso, eles certamente não são um be-all, end-all, e um currículo com nada além de certificações nele não impressionarão ninguém.

“Os candidatos precisam ser capazes de mostrar uma compreensão de como os componentes da nuvem funcionam e se integram uns aos outros para uma determinada plataforma”, continua Fosaaen. “Muitas das certificações atualmente disponíveis exigem apenas que as pessoas memorizem a terminologia, para que você não tenha um candidato sólido garantido se eles simplesmente tiverem uma certificação. Para aqueles que contratam nessas certificações, certifique-se de estar indo para o nível extra para garantir que os candidatos realmente entendam os provedores de nuvem que sua organização usa.”

Fosaaen recomenda buscar treinamentos específicos para polir ainda mais seu currículo, como o curso de Teste de Penetração na Nuvem do SANS Institute, o Breaching The Cloud Perimeter da BHIS ou o Dark Side Ops Training de sua própria empresa. Cursos de treinamento concretos como esses podem ser um ótimo complemento para o “aprendizagem de livros” de uma certificação.

FONTE: CSO ONLINE