Security in GCP

Cette formation s'adresse aux :

• Analystes, architectes et ingénieurs en sécurité de l’information
• Spécialistes en sécurité de l’information / cybersécurité
• Architectes d’infrastructure cloud
• ainsi qu'aux développeurs sur GCP

A l'issue de la formation, les participants seront capables de :

• Comprendre l’approche de Google en matière de sécurité
• Gérer les identités administratives à l’aide de Cloud Identity.
• Mettre en oeuvre l’accès administratif au moindre privilège à l’aide de Google Cloud Resource Manager, Cloud IAM.
• Mettre en oeuvre les contrôles de trafic IP à l’aide de pare-feu VPC et de Cloud Armor
• Définir les modifications Identity Aware Proxy Analyzing de la configuration ou des métadonnées des ressources avec les journaux d’audit GCP
• Rechercher et expurger les données sensibles avec l’API Data Loss Prevention
• Analyser un déploiement GCP avec Forseti
• Corriger d’importants types de vulnérabilités, en particulier dans l’accès public aux données et aux machines virtuelles

Module 1 - Les fondamentaux de la sécurité de Google Cloud Platform

• Comprendre le modèle de responsabilité partagée de la sécurité de GCP
• Comprendre l'approche de Google Cloud en matière de sécurité
• Comprendre les types de menaces atténuées par Google et par GCP
• Définir et comprendre la transparence de l'accès et l'approbation de l'accès

Module 2 - Identité dans le Cloud

• Identité dans le Cloud
• Synchronisation avec Microsoft Active Directory à l'aide de Google Cloud DirectorySync
• Utiliser Managed Service pour Microsoft Active Directory (beta )
• Choisir entre l'authentification Google et le SSO basé sur SAML
• Meilleures pratiques, y compris la configuration DNS, les comptes super-administrateurs
• Lab : Définition des utilisateurs avec la console d'identité cloud

Module 3 - Gestion des identité, des accès et des clés

• GCP Resource Manager : projets, dossiers et organisations
• Rôles GCP IAM, y compris les rôles personnalisés
• Politiques GCP IAM, y compris les politiques d'organisation
• Labels GCP IAM
• GCP IAM Recommender
• GCP IAM Troubleshooter
• Journaux d'audit GCP IAM
• Meilleures pratiques, y compris la séparation des tâches et le moindre privilège, l'utilisation des groupes Google dans les stratégies, et éviter l'utilisation de primitiveroles.
• Lab : Configuration de Cloud IAM, y compris les rôles personnalisés et les règles d'organisation

Module 4 - Configuration d'un Google Virtual Private Cloud pour l'isolement et la sécurité

• Configuration des pare-feu VPC (règles d'entrée et de sortie)
• Équilibrage de charge et règles SSL
• Accès privé à l'API Google
• Utilisation d'un proxy SSL
• Meilleures pratiques pour les réseaux VPC, y compris le peering et l'utilisation de VPC partagés, l'utilisation correcte des sous-réseaux
• Meilleures pratiques de sécurité pour les VPN
• Considérations de sécurité pour les options d'interconnexion et de peering
• Produits de sécurité disponibles auprès des partenaires
• Définition d'un périmètre de service, y compris les ponts de périmètre
• Mise en place d'une connectivité privée aux API et services Google
• Lab : Configuration des pare-feu VPC

Module 5 - Sécurisation de Compute Engine : techniques et meilleures pratiques

• Comptes de service Compute Engine, par défaut et définis par le client
• Rôles IAM pour les VM
• Champs d'application de l'API pour les machines virtuelles
• Gestion des clés SSH pour les VM Linux
• Gestion des connexions RDP pour les machines virtuelles Windows
• Contrôles de la politique d'organisation : images de confiance, adresse IP publique, désactivation du port série
• Chiffrement des images de VM avec des clés de chiffrement gérées par le client et avec des clés de chiffrement fournies par le client
• Recherche et correction de l'accès public aux machines virtuelles
• Meilleures pratiques, y compris l'utilisation d'images personnalisées renforcées, de comptes de service personnalisés (pas le compte de service par défaut), d'APIscopes adaptés, et l'utilisation d'informations d'identification par défaut de l'application au lieu de clés gérées par l'utilisateur
• Lab : Configuration, utilisation et audit des comptes de service et des champs d'application des VM
• Chiffrer les disques VM avec des clés de chiffrement fournies par le client
• Lab : Chiffrer les disques avec des clés de chiffrement fournies par le client Utiliser Shielded VMs pour maintenir l'intégrité des machines virtuelles

Module 6 - Sécurisation des données cloud : techniques et meilleures les pratiques

• Stockage dans le Cloud et permissions IAM
• Stockage dans le Cloud et ACL
• L'audit des données dans le Cloud, y compris la recherche et la correction des données accessibles au public
• URL de stockage en nuage signées
• Documents de politique signés
• Chiffrement des objets de stockage dans le nuage avec des clés de chiffrement gérées par le client et avec des clés de chiffrement fournies par le client
• Meilleures pratiques, y compris la suppression des versions archivées des objets après la rotation des clés
• Lab : Utiliser des clés de chiffrement fournies par le client avec le stockage dans le Cloud
• Lab : Utilisation de clés de chiffrement gérées par le client avec Cloud Storage et Cloud KMS
• Vues autorisées BigQuery
• Rôles IAM BigQuery
• Meilleures pratiques, y compris préférer les permissions IAM aux ACLs
• Lab : Création d'une vue autorisée BigQuery

Module 7 - Sécurisation des applications : techniques et meilleures pratiques

• Types de vulnérabilités de la sécurité des applications
• Protections DoS dans App Engine et Cloud Functions
• Scanner de sécurité du cloud
• Lab : Utilisation de Cloud Security Scanner pour trouver des vulnérabilités dans une application App Engine
• Proxy conscient de l'identité
• Lab : Configurer Identity Aware Proxy pour protéger un projet

Module 8 - Sécurisation de Kubernetes : techniques et meilleures pratiques

• Autorisation
• Sécurisation des charges de travail
• Sécurisation des clusters
• Logging et monitoring

Module 9 - Protection contre les attaques Distributed Denial of Service (DDoS)

• Comment fonctionnent les attaques DDoS
• Atténuations : GCLB, Cloud CDN, autoscaling, VPC ingress et egress firewalls, Cloud Armor (y compris son langage de règles)
• Types de produits partenaires complémentaires
• Lab : Configuration du GCLB, CDN, blacklistage du trafic avec Cloud Armor

Module 10 - Protection contre les vulnérabilités liées au contenu

• Menace : Ransomware
• Atténuations : Sauvegardes, IAM, Data Loss Prevention API
• Menaces : Utilisation abusive des données, violation de la vie privée, contenu sensible/restreint/inacceptable
• Menace : Hameçonnage d'identité et Oauth
• Atténuations : Classification du contenu à l'aide des API Cloud ML ; analyse et expurgation des données à l'aide de l'API de prévention des pertes de données
• Lab : Expurger les données sensibles avec l'API de prévention des pertes de données

Module 11 - Surveillance, journalisation, audit et analyse

• Centre de commandement de la sécurité
• Surveillance et journalisation de Stackdriver
• Lab : Installation des agents Stackdriver
• Lab : Configuration et utilisation de la surveillance et de la journalisation de Stackdriver
• Journaux de flux VPC
• Lab : Visualiser et utiliser les logs de flux VPC dans Stackdriver
• Journalisation de l'audit du cloud
• Lab : Configurer et visualiser les logs d'audit dans Stackdriver
• Déployer et utiliser Forseti
• Lab : Inventorier un déploiement avec Forseti Inventory (démo)
• Lab : Scanner un déploiement avec Forseti Scanner

Avoir suivi les formations Google Cloud Platform suivantes ou avoir une expérience équivalente :

• Fundamentals : Core Infrastructure (GO8324)
• Networking in Google Cloud Platform (GO5976)

Connaissance des concepts fondamentaux de la sécurité de l’information, parmi lesquels :

• Concepts fondamentaux : vulnerability, threat, attack surface, confidentiality, integrity, availability
• Types de menaces courantes et leurs stratégies d’atténuation
• Public-key cryptography
• Certificate authorities
• Transport Layer Security/Secure Sockets Layer encrypted communication
• Public key infrastructures
• Security policy

Compétence de base avec les outils de ligne de commande et les environnements de système d’exploitation Linux

Expérience des opérations systèmes, y compris le déploiement et la gestion d’applications, sur site ou dans un environnement de cloud public

Compréhension du code en Python ou JavaScript

Supports de cours et labs officiels Google.

Les participants réalisent un test d'évaluation des connaissances en amont et en aval de la formation pour valider les connaissances acquises pendant la formation.