Profil du formateur
Formateur consultant, expert, pédagogue et certifié dans son domaine
Méthode pédagogique
La formation est constituée d’apports théoriques et d’exercices pratiques. Chaque stagiaire dispose d’un poste de travail pour la formation en présentiel, et la gestion en petit groupe (jusqu’à 8 stagiaires) permet un suivi individualisé et adapté. Durant les sessions de formation, un support pédagogique est remis aux stagiaires.
Votre formation est en distanciel
Vous munir : un ordinateur, une connexion internet, une adresse e-mail valide, un équipement audio (micro et enceintes ou casque), une Webcam (facultatif , dans l’idéal) un deuxième écran (facultatif, dans l’idéal)
Suivi, évaluation, sanction
Des tours de table permettent de suivre la progression du stagiaire au fur et à mesure de la formation. Un suivi de la formation est réalisé par une feuille de présence émargée par demi-journée par les stagiaires et le formateur. Un questionnaire de satisfaction et une validation des acquis sont complétés par chaque stagiaire en fin de formation.
Formation sans certification.
Plan du cours
Module 1 - Les fondamentaux de la sécurité de Google Cloud Platform
- Comprendre le modèle de responsabilité partagée de la sécurité de GCP
- Comprendre l'approche de Google Cloud en matière de sécurité
- Comprendre les types de menaces atténuées par Google et par GCP
- Définir et comprendre la transparence de l'accès et l'approbation de l'accès
Module 2 - Identité dans le Cloud
- Identité dans le Cloud
- Synchronisation avec Microsoft Active Directory à l'aide de Google Cloud DirectorySync
- Utiliser Managed Service pour Microsoft Active Directory (beta )
- Choisir entre l'authentification Google et le SSO basé sur SAML
- Meilleures pratiques, y compris la configuration DNS, les comptes super-administrateurs
- Lab : Définition des utilisateurs avec la console d'identité cloud
Module 3 - Gestion des identité, des accès et des clés
- GCP Resource Manager : projets, dossiers et organisations
- Rôles GCP IAM, y compris les rôles personnalisés
- Politiques GCP IAM, y compris les politiques d'organisation
- Labels GCP IAM
- GCP IAM Recommender
- GCP IAM Troubleshooter
- Journaux d'audit GCP IAM
- Meilleures pratiques, y compris la séparation des tâches et le moindre privilège, l'utilisation des groupes Google dans les stratégies, et éviter l'utilisation de primitiveroles.
- Lab : Configuration de Cloud IAM, y compris les rôles personnalisés et les règles d'organisation
Module 4 - Configuration d'un Google Virtual Private Cloud pour l'isolement et la sécurité
- Configuration des pare-feu VPC (règles d'entrée et de sortie)
- Équilibrage de charge et règles SSL
- Accès privé à l'API Google
- Utilisation d'un proxy SSL
- Meilleures pratiques pour les réseaux VPC, y compris le peering et l'utilisation de VPC partagés, l'utilisation correcte des sous-réseaux
- Meilleures pratiques de sécurité pour les VPN
- Considérations de sécurité pour les options d'interconnexion et de peering
- Produits de sécurité disponibles auprès des partenaires
- Définition d'un périmètre de service, y compris les ponts de périmètre
- Mise en place d'une connectivité privée aux API et services Google
- Lab : Configuration des pare-feu VPC
Module 5 - Sécurisation de Compute Engine : techniques et meilleures pratiques
- Comptes de service Compute Engine, par défaut et définis par le client
- Rôles IAM pour les VM
- Champs d'application de l'API pour les machines virtuelles
- Gestion des clés SSH pour les VM Linux
- Gestion des connexions RDP pour les machines virtuelles Windows
- Contrôles de la politique d'organisation : images de confiance, adresse IP publique, désactivation du port série
- Chiffrement des images de VM avec des clés de chiffrement gérées par le client et avec des clés de chiffrement fournies par le client
- Recherche et correction de l'accès public aux machines virtuelles
- Meilleures pratiques, y compris l'utilisation d'images personnalisées renforcées, de comptes de service personnalisés (pas le compte de service par défaut), d'APIscopes adaptés, et l'utilisation d'informations d'identification par défaut de l'application au lieu de clés gérées par l'utilisateur
- Lab : Configuration, utilisation et audit des comptes de service et des champs d'application des VM
- Chiffrer les disques VM avec des clés de chiffrement fournies par le client
- Lab : Chiffrer les disques avec des clés de chiffrement fournies par le client Utiliser Shielded VMs pour maintenir l'intégrité des machines virtuelles
Module 6 - Sécurisation des données cloud : techniques et meilleures les pratiques
- Stockage dans le Cloud et permissions IAM
- Stockage dans le Cloud et ACL
- L'audit des données dans le Cloud, y compris la recherche et la correction des données accessibles au public
- URL de stockage en nuage signées
- Documents de politique signés
- Chiffrement des objets de stockage dans le nuage avec des clés de chiffrement gérées par le client et avec des clés de chiffrement fournies par le client
- Meilleures pratiques, y compris la suppression des versions archivées des objets après la rotation des clés
- Lab : Utiliser des clés de chiffrement fournies par le client avec le stockage dans le Cloud
- Lab : Utilisation de clés de chiffrement gérées par le client avec Cloud Storage et Cloud KMS
- Vues autorisées BigQuery
- Rôles IAM BigQuery
- Meilleures pratiques, y compris préférer les permissions IAM aux ACLs
- Lab : Création d'une vue autorisée BigQuery
Module 7 - Sécurisation des applications : techniques et meilleures pratiques
- Types de vulnérabilités de la sécurité des applications
- Protections DoS dans App Engine et Cloud Functions
- Scanner de sécurité du cloud
- Lab : Utilisation de Cloud Security Scanner pour trouver des vulnérabilités dans une application App Engine
- Proxy conscient de l'identité
- Lab : Configurer Identity Aware Proxy pour protéger un projet
Module 8 - Sécurisation de Kubernetes : techniques et meilleures pratiques
- Autorisation
- Sécurisation des charges de travail
- Sécurisation des clusters
- Logging et monitoring
Module 9 - Protection contre les attaques Distributed Denial of Service (DDoS)
- Comment fonctionnent les attaques DDoS
- Atténuations : GCLB, Cloud CDN, autoscaling, VPC ingress et egress firewalls, Cloud Armor (y compris son langage de règles)
- Types de produits partenaires complémentaires
- Lab : Configuration du GCLB, CDN, blacklistage du trafic avec Cloud Armor
Module 10 - Protection contre les vulnérabilités liées au contenu
- Menace : Ransomware
- Atténuations : Sauvegardes, IAM, Data Loss Prevention API
- Menaces : Utilisation abusive des données, violation de la vie privée, contenu sensible/restreint/inacceptable
- Menace : Hameçonnage d'identité et Oauth
- Atténuations : Classification du contenu à l'aide des API Cloud ML ; analyse et expurgation des données à l'aide de l'API de prévention des pertes de données
- Lab : Expurger les données sensibles avec l'API de prévention des pertes de données
Module 11 - Surveillance, journalisation, audit et analyse
- Centre de commandement de la sécurité
- Surveillance et journalisation de Stackdriver
- Lab : Installation des agents Stackdriver
- Lab : Configuration et utilisation de la surveillance et de la journalisation de Stackdriver
- Journaux de flux VPC
- Lab : Visualiser et utiliser les logs de flux VPC dans Stackdriver
- Journalisation de l'audit du cloud
- Lab : Configurer et visualiser les logs d'audit dans Stackdriver
- Déployer et utiliser Forseti
- Lab : Inventorier un déploiement avec Forseti Inventory (démo)
- Lab : Scanner un déploiement avec Forseti Scanner
En partenariat avec Global Knowledge.