Security in Google Cloud (SGCP-3D)

Voraussetzungen

• Vorheriger Abschluss eines Google Cloud Fundamentals: Core Infrastructure (GCF-CI) oder gleichwertige Erfahrung
• Vorheriger Abschluss von Networking in Google Cloud Platform (NGCP) oder gleichwertige Erfahrung
• Kenntnisse grundlegender Konzepte der Informationssicherheit durch Erfahrung oder durch Online-Schulungen wie SEC301: Introduction to Cyber Security von SANS
• Grundlegende Kenntnisse im Umgang mit Befehlszeilentools und Linux-Betriebssystemumgebungen
• Erfahrung im Systembetrieb, einschließlich der Bereitstellung und Verwaltung von Anwendungen, entweder vor Ort oder in einer öffentlichen Cloud-Umgebung
• Leseverständnis von Code in Python oder JavaScript
• Grundlegendes Verständnis der Kubernetes-Terminologie (bevorzugt, aber nicht erforderlich)

Zielgruppe

Diese Klasse ist für die folgenden Berufsgruppen bestimmt:

• Analysten, Architekten und Ingenieure für Cloud-Informationssicherheit
• Spezialisten für Informationssicherheit oder Cybersicherheit
• Cloud-Infrastruktur-Architekten

Detaillierter Kursinhalt

Modul 1: Grundlagen der Google Cloud-Sicherheit

• Der Sicherheitsansatz von Google Cloud
• Das Modell der geteilten Sicherheitsverantwortung
• Google und Google Cloud entschärfen Bedrohungen
• Transparenz beim Zugang

Modul 2: Sicherung des Zugriffs auf Google Cloud

• Cloud-Identität
• Google Cloud Directory Sync
• Verwaltetes Microsoft AD
• Google-Authentifizierung gegenüber SAML-basiertem SSO
• Identitätsplattform
• Bewährte Authentifizierungsverfahren

Modul 3: Identitäts- und Zugriffsmanagement (IAM)

• Ressourcenmanager
• IAM-Rollen
• Dienstleistungskonten
• IAM- und Organisationsrichtlinien
• Workload-Identitätsverbund
• Politische Intelligenz
• Übung: IAM konfigurieren

Modul 4: Konfigurieren der Virtual Private Cloud für Isolierung und Sicherheit

• VPC-Firewalls
• Lastausgleich und SSL-Richtlinien
• Cloud-Zusammenschaltung
• VPC-Netzwerk-Peering
• VPC-Dienst-Kontrollen
• Zugangskontext-Manager
• VPC-Ablaufprotokolle
• Cloud IDS
• Laboratorien:
  • VPC-Firewalls konfigurieren
  • Konfigurieren und Verwenden von VPC-Flow-Protokollen in der Cloud-Protokollierung
  • Demo: Absicherung von Projekten mit VPC Service Controls
  • Erste Schritte mit Cloud IDS

Modul 5: Absicherung der Compute Engine: Techniken und bewährte Praktiken

• Dienstkonten, IAM-Rollen und API-Bereiche
• Verwaltung von VM-Anmeldungen
• Kontrollen der Organisationspolitik
• Abgeschirmte VMs und vertrauliche VMs
• Dienst der Zertifizierungsstelle
• Bewährte Praktiken für Compute Engine
• Übung: Konfigurieren, Verwenden und Überwachen von VM-Service-Konten und -Bereichen

Modul 6: Sicherung von Cloud-Daten: Techniken und bewährte Praktiken

• Cloud-Speicher IAM-Berechtigungen und ACLs
• Prüfung von Cloud-Daten
• Signierte URLs und Grundsatzdokumente
• Verschlüsselung mit vom Kunden verwalteten Verschlüsselungscodes (CMEK) und vom Kunden bereitgestellten Verschlüsselungscodes (CSEK)
• Wolke HSM
• BigQuery IAM-Rollen und autorisierte Ansichten
• Bewährte Praktiken bei der Lagerung
• Übung: Verwendung von kundenseitig bereitgestellten Verschlüsselungsschlüsseln mit Cloud-Speicher
• Übung: Verwendung von kundenverwalteten Verschlüsselungsschlüsseln mit Cloud-Speicher und Cloud-KMS
• Übung: Erstellen einer BigQuery-autorisierten Ansicht

Modul 7: Sicherung von Anwendungen: Techniken und bewährte Praktiken

• Arten von Sicherheitslücken in Anwendungen
• Web Security Scanner
• Bedrohung Identität und OAuth-Phishing
• Identitätsbewusster Proxy
• Secret Manager
• Labor: Schwachstellen von Identitätsanwendungen mit Security Command Center
• Übung: Absicherung von Compute Engine-Anwendungen mit BeyondCorp Enterprise
• Übung: Konfigurieren und Verwenden von Berechtigungsnachweisen mit Secret Manager

Modul 8: Absicherung der Google Kubernetes Engine: Techniken und bewährte Praktiken

• Arten von Sicherheitslücken in Anwendungen
• Web Security Scanner
• Bedrohung: Identitäts- und OAuth-Phishing
• Identitätsbewusster Proxy
• Secret Manager

Modul 9: Schutz vor verteilten Denial-of-Service-Angriffen (DDoS)

• Wie DDoS-Angriffe funktionieren
• Abschwächungen der Google Cloud
• Arten von ergänzenden Partnerprodukten
• Übung: Konfigurieren von Traffic Blocklisting mit Google Cloud Armor

Modul 10: Inhaltsbezogene Schwachstellen: Techniken und bewährte Praktiken

• Bedrohung: Ransomware
• Abschwächung von Ransomware
• Bedrohungen: Datenmissbrauch, Verletzung der Privatsphäre, sensible Inhalte
• Inhaltliche Abschwächung
• Schwärzen von sensiblen Daten mit der DLP-API
• Labor: Schwärzen sensibler Daten mit DLP API

Modul 11: Überwachung, Protokollierung, Auditierung und Scannen

• Sicherheitskommandozentrale
• Cloud-Überwachung und Cloud-Protokollierung
• Cloud Audit Logs
• Automatisierung der Cloud-Sicherheit
• Übung: Konfigurieren und Verwenden von Cloud Monitoring und Cloud Logging
• Übung: Konfigurieren und Anzeigen von Cloud-Audit-Protokollen