Cours
Code digicomp : GCPSEC
Security in Google Cloud
Cette formation Google Cloud officielle vous permet d’étudier les contrôles et les techniques de sécurité dans Google Cloud.
Durée
3 jours
Prix
2'100.–
excl. 8.1% TVA
Documents
Support de cours officiel Google Cloud
Description de la formation
- Identifier les bases de la sécurité sur Google Cloud
- Gérer les identités admin avec Google Cloud
- Appliquer l’administration des utilisateurs avec Identity and Access Management (IAM)
- Configurer les Virtual Private Clouds (VPC) pour l’isolation, la sécurité et la journalisation
- Appliquer les techniques et bonnes pratiques de gestion sécurisée de Compute Engine
- Appliquer les techniques et bonnes pratiques de gestion sécurisée des données Google Cloud
- Appliquer les techniques et bonnes pratiques de sécurisation des applications Google Cloud
- Appliquer les techniques et bonnes pratiques de sécurisation des ressources Google Kubernetes Engine (GKE)
- Gérer la protection contre les attaques de déni de service distribué (DDoS)
- Gérer les vulnérabilités relatives au contenu
- Appliquer les solutions de surveillance, de journalisation, d’audit et d’analyse Google Cloud
Vous utilisez des services tels que Cloud Identity, Identity and Access Management (IAM), Cloud Load Balancing, Cloud IDS, Web Security Scanner, Beyond Corp Enterprise et Cloud DNS.
1. Fondamentaux de la sécurité sur Google Cloud
- L’approche sécuritaire de Google Cloud
- Le modèle de responsabilité partagée en matière de sécurité
- Menaces atténuées par Google et Google Cloud
- Transparence des accès
- Expliquer le modèle de responsabilité partagée en matière de sécurité de Google Cloud
- Décrire comment Google Cloud aborde la sécurité
- Reconnaître les menaces atténuées par Google et Google Cloud
- Identifier l’engagement de Google Cloud pour la conformité réglementaire
2 Sécuriser l’accès à Google Cloud
- Cloud Identity
- Google Cloud Directory Sync
- Managed Microsoft AD
- Authentification Google vs SSO basé sur SAML
- Identity Platform
- Les bonnes pratiques d’authentification
- Décrire ce qu’est Cloud Identity et ce qu’il fait
- Expliquer comment Google Cloud Directory Sync synchronise les utilisateurs et les permissions des utilisateurs sur vos LDAP et serveurs AD sur site et le cloud
- Explorer et appliquer les bonnes pratiques pour gérer les groupes, les permissions, les domaines et les administrateurs avec Cloud Identity
- Démonstration : Définir les utilisateurs avec la console Cloud Identity
3 Identity and Access Management (IAM)
- Resource Manager
- Rôles IAM
- Comptes de service
- IAM et les politiques de l’organisation
- Fédération d’identité de charge de travail
- Policy Intelligence
- Identifier les rôles et les permissions IAM qui peuvent être utilisés pour organiser les ressources dans Google Cloud
- Expliquer les fonctionnalités relatives à la gestion pour les projets Google Cloud
- Définir les politiques d’IAM, y compris les politiques de l’organisation
- Mettre en œuvre de contrôle des accès avec IAM
- Donner accès aux ressources Google Cloud en utilisation les rôles IAM prédéfinis et personnalisés
- Lab : Configurer IAM
4. Configuration du cloud privé virtuel pour l’isolation et la sécurité
- VPC firewalls
- Équilibrage des charges et politiques SSL
- Cloud Interconnect
- VPC Network Peering
- VPC Service Controls
- Access Context Manager
- VPC Flow Logs
- Cloud IDS
- Décrire la fonction des réseaux VCP
- Reconnaître et appliquer les bonnes pratiques de configurations de pare-feux VCP (règles d’entrée et de sortie)
- Sécuriser les projets avec VPC Service Controls
- Appliquer les politiques SSL aux équilibreurs de charges
- Permettre la journalisation du flux VCP puis utiliser Cloud Logging pour accéder aux logs
- Déployer Cloud IDS et consulter les détails d’une menace dans la console Google Cloud
5. Sécurisation de Compute Engine : techniques et bonnes pratiques
- Comptes de service, rôles IAM et portées des API
- Gérer les accès des VM
- Contrôle des politiques de l’organisation
- VM protégées et VM confidentielles
- Certificate Authority Service
- Bonnes pratiques Compute Engine
- Créer et gérer les comptes de service pour les instances Compute Engine (par défaut et définies par les clients)
- Détail des rôles IAM et des portées pour les VM
- Explorer et appliquer les bonnes pratiques pour les instances Compute Engine
- Expliquer la fonction d’Organization Policy Service
- Lab : Configurer, utiliser et effectuer l’audit des comptes de service et de la portée d’une VM
6. Sécuriser les données du cloud : Techniques et bonnes pratiques
- Permissions IAM Cloud Storage et ACL
- Audit des données cloud
- URL signées et documents de politique générale
- Chiffrement à l’aide de clés de chiffrement gérées par le client (CMEK) et de clés de chiffrement fournies par le client (CSEK)
- Cloud HSM
- Roles IAM BigQuery et vues autorisées
- Les bonnes pratiques de stockage
- Utiliser les permissions et les rôles IAM pour sécuriser les ressources cloud
- Créer et encapsuler les clés de chiffrement à l’aide du certificat de clé publique Compute Engine RSA
- Chiffrer et attacher des disques persistants aux instances Compute Engine
- Gérer les clés et les données chiffrées en utilisant Cloud Key Management Service (Cloud KMS) et Cloud HSM
- Créer des vues autorisées BigQuery
- Reconnaître et appliquer les bonnes pratiques de configuration des options de stockage
- Lab : Utiliser des clés de chiffrement fournies par le client avec Cloud Storage
- Lab : Utiliser des clés de chiffrement gérées par le client avec Cloud Storage et Cloud KMS
- Lab : Créer une vue autorisée BigQuery
7. Sécuriser les applications : Techniques et bonnes pratiques
- Types de vulnérabilités de sécurité des applications
- Web Security Scanner
- Menace : Phishing d’identité et OAuth
- Identity-Aware Proxy
- Secret Manager
- Rappel des différents types de vulnérabilités de sécurité des applications
- Détecter les vulnérabilités dans les applications App Engine avec Web Security Scanner
- Sécuriser les applications Compute Engine avec BeyondCorp Enterprise
- Sécuriser les identifiants d’application avec Secret Manager
- Identifier les menaces de phishing d’identité et OAuth
- Lab : Identifier les vulnérabilités d’application avec Security Command Center
- Lab : Sécuriser les applications Compute Engine avec BeyondCorp Enterprise
- Lab : Configurer et utiliser les identifiants avec Secret Manager
8 Sécuriser Google Kubernetes Engine : Techniques et bonnes pratiques
- Types de vulnérabilités de sécurité des applications
- Web Security Scanner
- Menace : Phishing d’identité et OAuth
- Identity-Aware Proxy
- Secret Manager
- Expliquer les différences entre les comptes de service Kubernetes et les comptes de service Google
- Reconnaître et appliquer les bonnes pratiques de configuration de sécurité de GKE
- Expliquer les options de journalisation et de suivi dans Google Kubernetes Engine
9. Protéger contre les attaques de déni de service distribué (DDoS)
- Comment fonctionnent les attaques DDoS
- Atténuations de Google Cloud
- Types de produits partenaires complémentaires
- Identifier les quatre couches d’atténuation de DDoS
- Identifier les méthodes qu’utilise Google Cloud pour atténuer les risques de DDoS pour ses clients
- Utiliser Google Cloud Armor pour bloquer une adresse IP et restreindre l’accès à un équilibreur de charge HTTP
- Lab : Configurer les listes de blocage du trafic avec Google Cloud Armor
10. Vulnérabilités relatives au contenu : Techniques et bonnes pratiques
- Menace : Ransomware
- Atténuation des ransomwares
- Menaces : utilisation abusive des données, violation de la vie privée, contenu sensible
- Atténuation relative au contenu
- Masquage des données sensibles à l’aide de l’API DLP
- Discuter la menace de ransomware
- Expliquer les stratégies d’atténuation des ransomware (sauvegardes, IAM, API Cloud Data Loss Prevention)
- Mettre en évidence les menaces courantes pesant sur le contenu (utilisation abusive des données, violation de la vie privée, contenu sensible, restreint ou inacceptable)
- Identifier les solutions pour les menaces concernant le contenu (classification, scanning et masquage)
- Détecter et masquer les données sensibles avec l’API Cloud DLP
- Lab : Masquage des données sensibles à l’aide de l’API DLP
11. Surveillance, journalisation, audit et analyse
- Security Command Center
- Cloud Monitoring et Cloud Logging
- Logs d’audit Cloud
- Automatisation de la sécurité du cloud
- Expliquer et utiliser Security Command Center
- Appliquer le Cloud Monitoring et Cloud Logging à un projet
- Appliquer les logs d’audit Cloud à un projet
- Identifier les méthodes d’automatisation de la sécurité dans des environnements Google Cloud
- Lab : Configurer et utiliser Cloud Monitoring et Cloud Logging
- Lab : Configurer et consulter les logs d’audit Cloud
Des parties théoriques, des démonstrations et des ateliers vous permettront d’explorer et de déployer des composants d’une solution Google Cloud sécurisée.
- Analystes, architectes et ingénieurs en sécurité de l’information de cloud
- Spécialistes en sécurité de l’information et cybersécurité
- Cloud Solutions Architects
- Connaissances des concepts fondamentaux en sécurité de l’information, grâce à de l’expérience accumulée ou en suivant des formations en ligne telles que SANS SEC301: Introduction to Cyber Security
- Des compétences de base avec les outils en ligne de commande et avec le système d’exploitation Linux sont nécessaires.
- Les participantes et participants doivent avoir de l’expérience avec l’exploitation des systèmes, y compris le déploiement et la gestion d’applications sur site ou dans un environnement cloud public.
- Compréhension écrite du code Python ou JavaScript
- Compréhension de base de la terminologie Kubernetes (avantage, mais non requis)
- Les participantes et participants doivent avoir suivi au préalable les formations suivantes ou s’assurer de posséder des connaissances équivalentes :
Produits
Cloud Identity
Resource Manager
Identity and Access Management (IAM)
Cloud HSM
Cloud Secret Manager
Google Kubernetes Engine
Managed Service for Microsoft Active Directory Cloud Interconnect
Cloud Storage Web Security Scanner
Identity-Aware Proxy
VPC Service Controls
Google Cloud’s Operations suite (formerly Stackdriver)
Google Cloud Armor
Compute Engine
Cloud Data Loss Prevention API
Cloud Intrusion Detection System (IDS)
Cloud DNS
Identity Platform
Policy Intelligence
Workload identity federation
Cloud IDS
BeyondCorp Enterprise
Certificate Authority Service