Introduction
[en-gb] “E aí seus trem bunitows”, I hope this finds you safe and well! 🌹🚀It’s been a while since I started writing about my experiences with technology certification exams. This all started because I see so many people on LinkedIn and other social networks posting about their progress with various certifications. It’s kind of become a habit for me. I have notes on most of the certification exams I’ve taken, whether the results were positive or negative. This has made me reflect on the real importance of each exam and what the experience was like.
My goal here on the blog is also to share some articles about these experiences. I think it’s really important to share these stories, so we can plan better and understand the applicability of each exam in our careers.
Often, we choose to take an exam believing it will be useful, but during the learning process and the consolidation of the knowledge needed to pass, it often becomes clear that a particular exam or certification won’t contribute as much as we expected to our careers. Sometimes the certification has a catchy name and is well-promoted, but in terms of technical depth and content, it falls short.
On the other hand, there might be a certification that isn’t as well-known or talked about in our circles, but that brings significant learning and has extremely relevant technical depth for many people’s careers.
In today’s post, I’ll talk about my experience taking the CSA exam, the Cloud Security Alliance’s CCZT (Certificate of Competence in Zero Trust).
What is the CCZT Exam — Certificate of Competence in Zero Trust?
This exam provides an in-depth understanding of Zero Trust architecture, its drivers, benefits, and how to plan for its adoption. Earning the CCZT is crucial for security professionals looking to advance their careers and for organizations that need to maintain a strong security posture.
Topics Covered
- Fundamental Concepts of Zero Trust: General concepts, definitions, goals, and benefits of Zero Trust.
- Software Defined Perimeter: The core tenets, underlying technologies, main architectural components, and technological and business benefits of SDP, a ZTA solution.
- Industry Best Practices: Developing best practices in Zero Trust by examining authoritative sources, such as the CISA Zero Trust Maturity Model and the NIST Zero Trust Architecture (SP 800–207), among others.
- Zero Trust Architecture: Logical models, key components, workflows, and design of Zero Trust Architecture.
- Zero Trust Planning: In-depth examination of the crucial facets of Zero Trust planning, from initial considerations like stakeholder identification and defining your protect surfaces, to organizational security policies and compliance.
- Zero Trust Implementation: In-depth examination of the crucial facets of Zero Trust implementation, from creating project kick-off documents and disaster planning, to setting up the network environment, deploying agents to devices, and adding automation.
How to get prepared?
CSA CCZT Prep-Kit (100% Free)
The CSA offers a free prep-kit to help you prepare for the exam. This kit is super comprehensive and has all the resources you need to study effectively. It includes detailed materials covering all the important topics, ensuring you gain the necessary knowledge to excel in the exam.
This is great for those who like to study on their own, allowing you to prepare with confidence and depth for the CCZT certification.
Link: Link: https://cloudsecurityalliance.org/artifacts/cczt-prep-kit
CISA Zero Trust Maturity Model (v2.0)
Created by the Cybersecurity and Infrastructure Security Agency (CISA), the Zero Trust Maturity Model is an essential tool for CCZT students to reference while preparing for the exam.
Link: https://www.cisa.gov/resources-tools/resources/zero-trust-maturity-model
NIST Zero Trust Architecture (SP 800–207)
The NIST Zero Trust Architecture (ZTA) document from the U.S. National Institute of Standards and Technology (NIST) describes Zero Trust for enterprise security architects.
It aims to aid in understanding ZTA and provide an enterprise implementation roadmap for Zero Trust security concepts. (I noticed that more than 60% of the exam questions were drawn from this material.)
NSTAC Report: Zero Trust and Trusted Identity Management
The U.S. President’s National Security Telecommunications Advisory Committee (NSTAC) report focuses on Zero Trust and Trusted Identity Management.
This report was mentioned several times during the exam and was used as a reference for some of the questions I answered.
Exam Structure
Number of Questions: 60
Duration: 2 hours
Passing Score: 80% (approximately 48 to 50 questions)
Type of Exam: Open Book (meaning you can refer to materials during the exam)
Important Tip!
It may be open-book, but don’t underestimate the difficulty of this exam. The questions are randomly selected from the CCZT question pool, so having a solid understanding of each domain and the authoritative sources included in the recommended study materials is essential if you want to pass.
According to the CSA, the questions are distributed as follows:
Image: CCZT Knowledge Guide (by CSA)
Exam Evaluation (My Tech Two Cents)
To deepen my analysis and organize my ideas and opinions about this exam in a logical, acceptable, and understandable way for all of you, I decided to create an evaluation matrix based on 5 pillars: technical density, course content vs. exam, relevance and applicability of the content in real life, exam experience, and cost vs. benefit.
Thus, I intend to give a score from 0 to 10, according to my opinion, for each of these 5 pillars.
1) Technical Density (0–10)
Score: 10–10 ⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐
This exam has excellent technical density and is very well-founded. Firstly, the CSA took into account the CISA Zero Trust Maturity Model (v2.0), the NIST Zero Trust Architecture (SP 800–207), and the NSTAC Report: Zero Trust and Trusted Identity Management. Based on these three documents (which they call Authoritative Sources), the CSA built a VERY detailed and technically rich exam.
Unlike many exams in the technology market, this one is not product-based, meaning it is not a test to verify your proficiency in a specific product or technology from a manufacturer.
It was very clear during the exam and throughout my preparation that the CSA’s commitment is, in fact, to build a solid knowledge base on Zero Trust, completely agnostic. 🌹❤️
2) Course Content vs. Exam (0–10)
Score: 8–10 ⭐⭐⭐⭐⭐⭐⭐⭐❌❌
Firstly, I recommend that you buy the official course offered by the CSA to prepare for this exam.
Link: CSA Official Course
The official material and course are very well written, presented, and structured, covering all the topics and information needed for the exam. In my experience with other exams, like those from ISC2, some of the questions asked in the exam are different from what was covered in the course.
However, the CSA course was well-structured to cover all the exam questions. If you take the official course, you are well-prepared for the exam. It’s worth noting that during the course, the instructor sometimes mentioned concepts that were not as well described in the PPT material. Therefore, I suggest you pay close attention to the course, note down the concepts explained by the instructor, and cross-reference this information with the content in the PPT.
3) Relevance and Applicability of the Content in Real Life (0–10)
Score: 7–10 ⭐⭐⭐⭐⭐⭐⭐❌❌❌
During the learning process and after taking the exam, I realized that the exam has a lot of relevance, and the content covered by the course can be well used in daily life. However, a large part of the course focuses on the SDP architecture approach and not so much on other approaches.
Zero Trust is an approach that is not tied to a specific technology, so I missed CSA explaining more detailed other options and approaches available for applying the Zero Trust concept.
4) Exam Experience (0–10)
Score: 10–10 ⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐
My experience on the platform where the exam is taken was very positive and pleasant. There is no need to install anything on your computer, no need to enter a monitored session, as it is an open book exam, allowing consultations during the test. You have 2 hours to complete 60 questions.
However, be careful, as being an open book exam can lead some people to neglect preparation, believing they can consult at any time. The questions are complex and dense, with many tricky ones. Be prepared, attend the course, take your notes, because the chance of not passing is high. I didn’t pass on my first attempt, but on the second, after reviewing and studying again, I managed to pass with 88%.
5) Cost vs. Benefit (0–10)
Score: 10–10 ⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐
CSA offers a product called the CSA Bundle, which includes the official course necessary for the exam and two attempts to take the test, for 455 USD.
In my opinion, this is a very reasonable price, considering that Microsoft certifications cost around 100 to 150 USD just for the exam, and other certifications like CompTIA can cost around 375 USD without the course.
The CSA bundle, which includes the official course and two exam attempts, is extremely reasonable. If you prefer to study on your own, CSA offers a fantastic and complete preparatory kit for the exam for free, and you can buy just the exam token for 175 USD, which also includes two attempts.
Wrapping-up
IMHO (My Tech Two Cents), the CCZT exam is indeed a crucial exam for those looking to build a career in cloud security. It’s a well-thought-out and well-constructed exam that provided me with a wealth of knowledge and a solid technical foundation. My first contact with Zero Trust was through ZScaler and Illumio training sessions, but honestly, those were more “product-centric” than “agnostic” and “architectural.”
The CSA exam gave me a broader landscape of possibilities and solidified my understanding of architectural components, project considerations and constraints, planning, design, and more. It’s a career milestone for anyone aiming to establish and deepen their cloud security concepts and architectural strategy. Thanks, CSA!
I hope this article helps you to reflect! See you in the next post! 🌹❤️
Cheers,
Gustavo Magella
Introdução
[pt-br] E aí seus trem bunitows, tudo bem com vocês!? 🌹❤️🚀Já faz algum tempo que comecei a escrever sobre minhas experiências com exames de certificação em tecnologia. Isso porque vejo muitas pessoas no LinkedIn e em outras redes sociais postando sobre seu progresso em diversas certificações. Isso meio que se tornou um hábito para mim. Eu tenho anotações sobre grande parte dos exames de certificação que já fiz, sejam os resultados positivos ou negativos. Isso me faz refletir sobre a real importância de cada exame e como foi a experiência de passar por else.
O meu objetivo aqui no blog é também compartilhar alguns artigos sobre essas experiências. Eu acho muito importante compartilharmos essas vivências, até mesmo para que possamos nos planejar e entender a aplicabilidade de determinado exame em nossas carreiras.
Muitas vezes, optamos por fazer um exame acreditando que ele será útil, mas durante o processo de aprendizado e sedimentação do conhecimento necessário para passar, muitas vezes fica claro que um determinado exame ou certificação não irá contribuir o quanto esperávamos para nossa carreira. Às vezes, a certificação possui um nome sugestivo e é bem divulgada, mas em termos de densidade técnica e conteúdo, deixa a desejar.
Ou, ao contrário, pode ser uma certificação que não é tão difundida e falada na nossa bolha, mas que traz um grande aprendizado e possui uma densidade técnica extremamente relevante para a carreira de várias pessoas.
No post de hoje, vou falar sobre a minha experiência ao fazer o exame da CSA, a Cloud Security Alliance, chamado CCZT (Certificate of Competence in Zero Trust).
O que é o Exame CCZT — Certificate of Competence in Zero Trust?
Esse exame fornece uma compreensão profunda da arquitetura Zero Trust, seus impulsionadores, benefícios e como planejar sua adoção. Obter a CCZT é fundamental para profissionais de segurança que buscam avançar em suas carreiras e para organizações que precisam manter uma postura de segurança sólida.
Tópicos Abordados
- Conceitos Fundamentais do Zero Trust: Conceitos gerais, definições, objetivos e benefícios do Zero Trust.
- Perímetro Definido por Software: Os princípios fundamentais, tecnologias subjacentes, principais componentes arquitetônicos, e benefícios tecnológicos e empresariais do SDP, uma solução de ZTA.
- Melhores Práticas da Indústria: Desenvolvimento de melhores práticas em Zero Trust ao examinar fontes autorizadas, como o Modelo de Maturidade do Zero Trust da CISA e a Arquitetura Zero Trust do NIST (SP 800–207), entre outras.
- Arquitetura Zero Trust: Modelos lógicos, componentes chave, fluxos de trabalho e design da Arquitetura Zero Trust.
- Planejamento do Zero Trust: Exame aprofundado dos aspectos cruciais do planejamento do Zero Trust, desde considerações iniciais, como identificação de stakeholders e definição de suas superfícies de proteção, até políticas de segurança organizacional e conformidade.
- Implementação do Zero Trust: Exame aprofundado dos aspectos cruciais da implementação do Zero Trust, desde a criação de documentos de início de projeto e planejamento de desastres, até a configuração do ambiente de rede, implantação de agentes em dispositivos e adição de automação.
Como se Preparar?
CSA CCZT Prep-Kit (100% Gratuito)
A CSA oferece um prep-kit gratuito para te ajudar a se preparar para o exame. Esse kit é super completo e tem todos os recursos que você precisa para estudar de forma eficaz. Ele inclui materiais detalhados que cobrem todos os tópicos importantes, garantindo que você adquira o conhecimento necessário para mandar bem na prova. Isso é ótimo para quem gosta de estudar por conta própria, permitindo que você se prepare com confiança e profundidade para a certificação CCZT.
Link: https://cloudsecurityalliance.org/artifacts/cczt-prep-kit
Modelo de Maturidade Zero Trust da CISA (v2.0)
Criado pela Agência de Segurança Cibernética e Infraestrutura (CISA), o Modelo de Maturidade Zero Trust é uma ferramenta essencial que os estudantes do CCZT devem consultar ao se prepararem para o exame.
Link: https://www.cisa.gov/resources-tools/resources/zero-trust-maturity-model
Arquitetura Zero Trust do NIST (SP 800–207)
O documento de Arquitetura Zero Trust (ZTA) do Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) descreve o Zero Trust para arquitetos de segurança empresarial. Ele visa auxiliar a compreensão da ZTA e fornecer um roteiro de implementação empresarial para conceitos de segurança Zero Trust. (Eu tive a percepção que, +60% do exame foi retirado desse material.)
Link: https://cloudsecurityalliance.org/zt/resources/zero-trust-architecture-sp-800-207/
Relatório NSTAC: Zero Trust e Gerenciamento de Identidade Confiável
O relatório do Comitê Consultivo de Telecomunicações de Segurança Nacional do Presidente dos EUA (NSTAC) foca em Zero Trust e Gerenciamento de Identidade Confiável.
Esse relatório foi mencionado VÁRIAS VEZES durante o exame, e foi usado como referência para algumas das questões que respondi
Estrutura do Exame
Número de Questões: 60
Duração do Exame: 2 Horas
Pontuação para Aprovação: 80% (aproximadamente 48 a 50 questões)
Tipo de Exame: Open Book (Ou seja, consultas são permitidas durante o exame)
Dica Importante!
Pode ser open-book, mas não subestime a dificuldade deste exame. As perguntas são selecionadas aleatoriamente do banco de questões do CCZT, então é essencial ter uma compreensão sólida de cada domínio e das fontes autorizadas incluídas nos materiais de estudo recomendados se você quiser passar.
De acordo com a CSA, as questões são distribuídas da seguinte forma:
Image: CCZT Knowledge Guide (by CSA)
Avaliação do Exame (My Tech Two Cents)
Com o intuito de aprofundar a minha análise e organizar as minhas ideias e opiniões sobre este exame de forma lógica, aceitável e compreensível para todos vocês, decidi criar uma matriz de avaliação baseada em 5 pilares: densidade técnica, conteúdo do curso versus o exame, relevância e aplicabilidade do conteúdo na vida real, experiência do exame e custo versus benefício.
Dessa forma, pretendo atribuir uma nota de 0 a 10, de acordo com a minha opinião, para cada um desses 5 pilares.
1) Densidade Técnica (0–10)
Nota: 10–10 ⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐
Este exame possui uma excelente densidade técnica e é muito bem fundamentado. Primeiramente, a CSA levou em consideração o CISA Zero Trust Maturity Model (v2.0), o NIST Zero Trust Architecture (SP 800–207), e o NSTAC Report: Zero Trust and Trusted Identity Management. Baseando-se nesses três documentos (que eles chamam de Authoritative Sources), a CSA construiu um exame MUITO rico em detalhes e embasamento técnico.
Diferente de muitos exames no mercado da tecnologia, este não é baseado em produtos específicos, ou seja, não é um teste para verificar sua proficiência em um produto ou tecnologia de um fabricante.
Ficou muito claro durante o exame e durante todo o preparo que o compromisso da CSA é, de fato, construir uma base sólida de conhecimento sobre Zero Trust, totalmente agnóstica. 🌹❤️
2) Conteúdo do Curso vs. Exame (0–10)
Nota: 8–10 ⭐⭐⭐⭐⭐⭐⭐⭐❌❌
Primeiramente, recomendo que você compre o curso oficial oferecido pela CSA para se preparar para este exame.
Link: https://knowledge.cloudsecurityalliance.org/certificate-of-competence-in-zero-trust-cczt
O material e o curso oficiais são muito bem escritos, apresentados e estruturados, cobrindo todos os tópicos e informações necessárias para o exame. Em minha experiência com outros exames, como os do ISC2, algumas questões solicitadas no exame são diferentes do que foi coberto no curso.
No entanto, o curso da CSA foi bem estruturado para cobrir todas as questões do exame. Se você fez o curso oficial, está apto a fazer o exame. Vale ressaltar que, durante o curso, o instrutor às vezes mencionava conceitos que não estavam tão bem descritos no material escrito no PPT. Portanto, sugiro que você preste muita atenção no curso, anote os conceitos explicados pelo instrutor e cruze essas informações com o conteúdo do PPT.
3) Relevância e Aplicabilidade do Conteúdo na Vida Real (0–10)
Nota: 7–10 ⭐⭐⭐⭐⭐⭐⭐❌❌❌
Durante o processo de aprendizado e após ter feito o exame, consegui perceber que o exame possui muita relevância e o conteúdo coberto pelo curso pode ser bem utilizado no dia a dia. No entanto, grande parte do curso foca na abordagem de arquitetura chamada SDP e não tanto em outras abordagens.
Zero Trust é uma abordagem que não está amarrada a uma tecnologia específica, por isso senti falta de a CSA explicar mais detalhadamente outras opções e abordagens disponíveis para a aplicação do conceito de Zero Trust.
4) Experiência do Exame (0–10)
Nota: 10–10 ⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐
Minha experiência na plataforma onde o exame é realizado foi muito positiva e agradável. Não é necessário instalar nada no computador, não há necessidade de entrar em uma sessão monitorada, pois é um exame open book, permitindo consultas durante a prova. Você tem 2 horas para concluir 60 questões.
Contudo, tome cuidado, pois ser um exame open book pode levar algumas pessoas a negligenciarem a preparação, acreditando que poderão consultar a qualquer momento. As questões são complexas e densas, com muitas pegadinhas. Vá preparado, assista ao curso, faça suas anotações, pois a chance de não ser aprovado é alta. Eu mesmo não passei na primeira tentativa, mas na segunda, após revisar e estudar novamente, consegui passar com 88%.
5) Custo vs. Benefício (0–10)
Nota: 10–10 ⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐
A CSA oferece um produto chamado CSA Bundle, que inclui o curso oficial necessário para a prova e duas tentativas de fazer o exame, pelo valor de 455 USD.
Na minha opinião, é um valor muito razoável, considerando que certificações da Microsoft custam cerca de 100 a 150 USD apenas pelo exame, e outras certificações como CompTIA podem custar cerca de 375 USD sem o curso.
O bundle da CSA, que inclui o curso oficial e duas tentativas de exame, é extremamente razoável. Caso você prefira estudar por conta própria, a CSA oferece um kit preparatório fantástico e completo para o exame gratuitamente, e você pode comprar apenas o token do exame por 175 USD, que também inclui duas tentativas.
Finalizando (Wrapping-up)
IMHO (My Tech Two Cents), o exame CCZT é, de fato, um exame muito importante para quem está optando por seguir uma carreira em segurança na nuvem. Foi um exame muito bem pensado e construído que me trouxe muito conhecimento e uma base técnica sólida. Meu primeiro contato com Zero Trust foi através de sessões de treinamento da ZScaler e Illumio, mas, para ser honesto, foi uma abordagem mais “centrada em produtos” do que “agnóstica” e “arquitetural”.
O exame da CSA me proporcionou um panorama de possibilidades e solidificou meu conhecimento sobre componentes arquitetônicos, considerações e restrições de projetos, planejamento e design, entre outros. É um marco na carreira de qualquer pessoa que busca construir e sedimentar conceitos de segurança na nuvem e estratégia arquitetônica. Obrigado, CSA!
No vemos no próximo post! 🙂
Um bjo no coração e se cuidem!🌹❤️
Gustavo Magella