Kurs
Digicomp Code GCPSEC
Security in Google Cloud («GCPSEC»)
Dieser Kurs vermittelt dir ein breites Wissen über Sicherheitskontrollen und -techniken in der Google Cloud.
Dauer
3 Tage
Preis
2'550.–
zzgl. 8.1% MWST
Kursdokumente
Offizielle Google-Cloud-Unterlagen
Kurs-Facts
- Identifizieren der Grundlagen der Google-Cloud-Sicherheit
- Verwalten von Verwaltungsidentitäten mit Google Cloud
- Implementieren der Nutzerverwaltung mit Identity and Access Management (IAM)
- Konfigurieren von Virtual Private Clouds (VPCs) für Isolierung, Sicherheit und Protokollierung
- Anwenden von Techniken und Best Practices für die sichere Verwaltung von Compute Engine
- Anwenden von Techniken und Best Practices für die sichere Verwaltung von Google Cloud-Daten
- Anwenden von Techniken und Best Practices zur Sicherung von Google Cloud-Anwendungen
- Anwenden von Techniken und Best Practices zur Sicherung von Google Kubernetes Engine (GKE)-Ressourcen
- Verwalten des Schutzes vor verteilten Denial-of-Service-Angriffen (DDoS)
- Verwalten von inhaltsbezogenen Schwachstellen
- Implementieren von Lösungen für die Überwachung, Protokollierung, Prüfung und Überprüfung der Google Cloud
Du nutzt Dienste wie Cloud Identity, Identity and Access Management (IAM), Cloud Load Balancing, Cloud IDS, Web Security Scanner, BeyondCorp Enterprise und Cloud DNS.
1 Grundlagen der Google-Cloud-Sicherheit
- Der Sicherheitsansatz von Google Cloud
- Das Modell der geteilten Sicherheitsverantwortung
- Von Google und Google Cloud abgewehrte Bedrohungen
- Transparenz beim Zugriff
- Erläutern des Modells der geteilten Sicherheitsverantwortung von Google Cloud
- Beschreiben , wie Google Cloud die Sicherheit angeht
- Erkennen von Bedrohungen, die von Google und Google Cloud gemindert werden
- Identifizieren der Verpflichtungen von Google Cloud zur Einhaltung von Vorschriften
2 Sichern des Zugriffs auf Google Cloud
- Cloud-Identität
- Google-Cloud-Verzeichnis-Synchronisierung
- Verwaltetes Microsoft AD
- Google-Authentifizierung gegenüber SAML-basiertem SSO
- Identitätsplattform
- Bewährte Authentifizierungsverfahren
- Beschreiben, was Cloud Identity ist und was es leistet
- Erläutern, wie Google Cloud Directory Sync Nutzer und Berechtigungen sicher zwischen deinem lokalen LDAP- oder AD-Server und der Cloud synchronisiert
- Untersuchen und Anwenden von Best Practices für die Verwaltung von Gruppen, Berechtigungen, Domains und Administratoren mit Cloud Identity
- Demo: Definieren von Benutzern mit der Cloud-Identity-Konsole
3 Identitäts- und Zugriffsmanagement (IAM)
- Ressourcen-Manager
- IAM-Rollen
- Dienstkonten
- IAM- und Organisationsrichtlinien
- Workload-Identitätsföderation
- Richtlinien-Intelligenz
- Identifizieren von IAM-Rollen und Berechtigungen, die zur Organisation von Ressourcen in Google Cloud verwendet werden können
- Erklären der verwaltungsbezogenen Funktionen von Google-Cloud-Projekten
- Definieren von IAM-Richtlinien, einschliesslich Organisationsrichtlinien
- Implementieren der Zugriffskontrolle mit IAM
- Zugriff auf Google-Cloud-Ressourcen mit Hilfe von vordefinierten und benutzerdefinierten IAM-Rollen bereitstellen
- Übung: IAM konfigurieren
4 Konfigurieren der Virtual Private Cloud für Isolierung und Sicherheit
- VPC-Firewalls
- Lastausgleich und SSL-Richtlinien
- Cloud-Zusammenschaltung
- VPC-Netzwerk-Peering
- VPC-Service-Kontrollen
- Zugriffs-Kontext-Manager
- VPC-Ablaufprotokolle
- Cloud IDS
- Beschreiben der Funktion von VPC-Netzwerken
- Erkennen und Implementieren von Best Practices für die Konfiguration von VPC-Firewalls (sowohl Ingress- als auch Egress-Regeln)
- Projekte mit VPC Service Controls sichern
- SSL-Richtlinien auf Load Balancer anwenden
- VPC-Flow-Protokollierung aktivieren und dann Cloud Logging für den Zugriff auf Protokolle verwenden
- Einsatz von Cloud IDS und Anzeige von Bedrohungsdetails in der Google-Cloud-Konsole
5 Absichern der Compute Engine: Techniken und bewährte Praktiken
- Dienstkonten, IAM-Rollen und API-Bereiche
- Verwalten von VM-Anmeldungen
- Steuerung von Organisationsrichtlinien
- Abgeschirmte VMs und vertrauliche VMs
- Zertifizierungsstellen-Service
- Bewährte Praktiken für Compute Engine
- Erstellen und Verwalten von Servicekonten für Compute Engine-Instanzen (Standard und kundenspezifisch)
- Detaillierte IAM-Rollen und -Umfänge für VMs
- Untersuchen und Anwenden von Best Practices für Compute Engine-Instanzen
- Erklären der Funktion des Organization Policy Service
- Übung: VM-Servicekonten und -Umfänge konfigurieren, verwenden und überprüfen
6 Sichern von Cloud-Daten: Techniken und Best Practices
- Cloud-Speicher IAM-Berechtigungen und ACLs
- Prüfen von Cloud-Daten
- Signierte URLs und Richtliniendokumente
- Verschlüsselung mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) und vom Kunden bereitgestellten Verschlüsselungsschlüsseln (CSEK)
- Cloud HSM
- BigQuery-IAM-Rollen und autorisierte Ansichten
- Bewährte Speicherverfahren
- Verwendung von IAM-Berechtigungen und -Rollen zur Sicherung von Cloud-Ressourcen
- Erstellen und Einbinden von Verschlüsselungsschlüsseln mit dem öffentlichen RSA-Schlüsselzertifikat der Compute Engine
- Verschlüsseln und Anhängen von persistenten Festplatten an Compute-Engine-Instanzen
- Verwalten von Schlüsseln und verschlüsselten Daten mithilfe von Cloud Key Management Service (Cloud KMS) und Cloud HSM
- Erstellen von autorisierten BigQuery-Ansichten
- Erkennen und Implementieren von Best Practices für die Konfiguration von Speicheroptionen
- Übung: Kundeneigene Verschlüsselungsschlüssel mit Cloud-Speicher verwenden
- Übung: Vom Kunden verwaltete Verschlüsselungsschlüssel mit Cloud-Speicher und Cloud-KMS verwenden
- Übung: Eine autorisierte BigQuery-Ansicht erstellen
7 Sichern von Anwendungen: Techniken und bewährte Praktiken
- Arten von Sicherheitslücken in Anwendungen
- Web Security Scanner
- Bedrohung: Identitäts- und OAuth-Phishing
- Identitätsbewusster Proxy
- Geheimnis-Manager
- Erinnern an verschiedene Arten von Sicherheitslücken in Anwendungen
- Erkennen von Schwachstellen in App Engine Anwendungen mit dem Web Security Scanner
- Sichern von Compute-Engine-Anwendungen mit BeyondCorp Enterprise
- Sichern von Anmeldedaten von Anwendungen mit dem Secret Manager
- Identifizieren von Bedrohungen durch OAuth und Identity Phishing
- Übung: Anwendungsschwachstellen mit dem Security Command Center identifizieren
- Übung: Compute-Engine-Anwendungen mit BeyondCorp Enterprise absichern
- Übung: Credentials mit Secret Manager konfigurieren und verwenden
8 Absichern der Google Kubernetes Engine: Techniken und Best Practices
- Arten von Sicherheitslücken in Anwendungen
- Web Security Scanner
- Bedrohung: Identitäts- und OAuth-Phishing
- Identitätsbewusster Proxy
- Geheimnis-Manager
- Erklären der Unterschiede zwischen Kubernetes-Dienstkonten und Google-Dienstkonten
- Erkennen und Implementieren von Best Practices für die sichere Konfiguration von GKE
- Erläutern der Protokollierungs- und Überwachungsoptionen in Google Kubernetes Engine
9 Schutz vor verteilten Denial-of-Service-Angriffen (DDoS)
- Wie DDoS-Angriffe funktionieren
- Abhilfemassnahmen für Google Cloud
- Arten von ergänzenden Partnerprodukten
- Identifizieren der vier Ebenen der DDoS-Abwehr
- Identifizieren der Methoden, die Google Cloud verwendet, um das DDoS-Risiko für seine Kunden zu mindern
- Google Cloud Armor verwenden, um eine IP-Adresse auf eine Blockliste zu setzen und den Zugriff auf einen HTTP Load Balancer zu beschränken
- Übung: Konfigurieren von Traffic Blocklisting mit Google Cloud Armor
10 Inhaltsbezogene Sicherheitslücken: Techniken und bewährte Praktiken
- Bedrohung: Ransomware
- Abhilfemassnahmen für Ransomware
- Bedrohungen: Datenmissbrauch, Verletzung der Privatsphäre, sensible Inhalte
- Inhaltsbezogene Entschärfung
- Schwärzen sensibler Daten mit der DLP-API
- Besprechung der Bedrohung durch Ransomware
- Erläutern von Strategien zur Eindämmung von Ransomware (Backups, IAM, Cloud Data Loss Prevention API)
- Aufzeigen gängiger Bedrohungen für Inhalte (Datenmissbrauch, Verletzung der Privatsphäre, sensible, eingeschränkte oder inakzeptable Inhalte)
- Identifizieren von Lösungen für Bedrohungen von Inhalten (Klassifizierung, Scannen und Schwärzen)
- Erkennen und Schwärzen sensibler Daten mit Hilfe der Cloud DLP API
- Übung: Schwärzen sensibler Daten mit der DLP-API
11 Überwachen, Protokollieren, Prüfen und Scannen
- Security Command Center
- Cloud-Überwachung und Cloud-Protokollierung
- Cloud-Audit-Protokolle
- Automatisierung der Cloud-Sicherheit
- Erklären und Verwenden des Security Command Centers
- Anwenden von Cloud Monitoring und Cloud Logging auf ein Projekt
- Anwenden von Cloud Audit Logs auf ein Projekt
- Methoden zur Automatisierung der Sicherheit in Google Cloud-Umgebungen zu identifizieren
- Übung: Konfigurieren und Verwenden von Cloud Monitoring und Cloud Logging
- Übung: Cloud-Audit-Protokolle konfigurieren und anzeigen
Anhand von Vorlesungen, Demos und Übungen erkundest du die Komponenten einer sicheren Google-Cloud-Lösung und setzen sie ein.
- Analysten, Architekten und Ingenieure für Cloud-Informationssicherheit
- Spezialisten für Informationssicherheit oder Cybersicherheit
- Cloud-Infrastruktur-Architekten
- Kenntnisse grundlegender Konzepte der Informationssicherheit durch Erfahrung oder Online-Schulungen wie SANS SEC301: Introduction to Cyber Security
- Grundlegende Kenntnisse im Umgang mit Befehlszeilentools und Linux-Betriebssystemumgebungen
- Erfahrung im Systembetrieb, einschliesslich der Bereitstellung und Verwaltung von Anwendungen, entweder vor Ort oder in einer öffentlichen Cloud-Umgebung
- Leseverständnis von Code in Python oder Javascript
- Grundlegendes Verständnis der Kubernetes-Terminologie (bevorzugt, aber nicht erforderlich)
- Vorheriger Abschluss der folgenden Kurse oder gleichwertige Erfahrung:
Produkte
Cloud Identity, Resource Manager, Identity and Access Management (IAM), Cloud HSM, Cloud Secret Manager, Google Kubernetes Engine, Managed Service for Microsoft Active Directory Cloud Interconnect, Cloud Storage Web Security Scanner, Identity-Aware Proxy, VPC Service Controls, Google Cloud’s Operations suite (formerly Stackdriver), Google Cloud Armor, Compute Engine, Cloud Data Loss Prevention API, Cloud Intrusion Detection System (IDS), Cloud DNS, Identity Platform, Policy Intelligence, Workload identity federation, Cloud IDS, BeyondCorp Enterprise, Certificate Authority Service