SECURITY IN GCP

SECURITY IN GCP

  • 10 janvier 2024
Type(s) : PDE
Prérequis : Avoir suivi les formations Google Cloud Platform suivantes ou avoir une expérience équivalente : Fundamentals : Core Infrastructure (GO8324) Networking in Google Cloud Platform (GO5976) Connaissance des concepts fondamentaux de la sécurité de l’information, parmi lesquels : Concepts fondamentaux : vulnerability, threat, attack surface, confidentiality, integrity, availability Types de menaces courantes et leurs stratégies d’atténuation Public-key cryptography Certificate authorities Transport Layer Security/Secure Sockets Layer encrypted communication Public key infrastructures Security policy Compétence de base avec les outils de ligne de commande et les environnements de système d’exploitation Linux Expérience des opérations systèmes, y compris le déploiement et la gestion d’applications, sur site ou dans un environnement de cloud public Compréhension du code en Python ou JavaScript
Objectifs : Comprendre l’approche de Google en matière de sécurité Gérer les identités administratives à l’aide de Cloud Identity. Mettre en oeuvre l’accès administratif au moindre privilège à l’aide de Google Cloud Resource Manager, Cloud IAM. Mettre en oeuvre les contrôles de trafic IP à l’aide de pare-feu VPC et de Cloud Armor Définir les modifications Identity Aware Proxy Analyzing de la configuration ou des métadonnées des ressources avec les journaux d’audit GCP Rechercher et expurger les données sensibles avec l’API Data Loss Prevention Analyser un déploiement GCP avec Forseti Corriger d’importants types de vulnérabilités, en particulier dans l’accès public aux données et aux machines virtuelles
Durée : 3 jours - 21 heures

Profil du formateur

Formateur consultant, expert, pédagogue et certifié dans son domaine

Méthode pédagogique

La formation est constituée d’apports théoriques et d’exercices pratiques. Chaque stagiaire dispose d’un poste de travail pour la formation en présentiel, et la gestion en petit groupe (jusqu’à 8 stagiaires) permet un suivi individualisé et adapté. Durant les sessions de formation, un support pédagogique est remis aux stagiaires.

Votre formation est en distanciel

Vous munir : un ordinateur, une connexion internet, une adresse e-mail valide, un équipement audio (micro et enceintes ou casque), une Webcam (facultatif , dans l’idéal) un deuxième écran (facultatif, dans l’idéal)

Suivi, évaluation, sanction

Des tours de table permettent de suivre la progression du stagiaire au fur et à mesure de la formation. Un suivi de la formation est réalisé par une feuille de présence émargée par demi-journée par les stagiaires et le formateur. Un questionnaire de satisfaction et une validation des acquis sont complétés par chaque stagiaire en fin de formation.

Formation sans certification.

Plan du cours

Module 1 - Les fondamentaux de la sécurité de Google Cloud Platform

  • Comprendre le modèle de responsabilité partagée de la sécurité de GCP
  • Comprendre l'approche de Google Cloud en matière de sécurité
  • Comprendre les types de menaces atténuées par Google et par GCP
  • Définir et comprendre la transparence de l'accès et l'approbation de l'accès

Module 2 - Identité dans le Cloud

  • Identité dans le Cloud
  • Synchronisation avec Microsoft Active Directory à l'aide de Google Cloud DirectorySync
  • Utiliser Managed Service pour Microsoft Active Directory (beta )
  • Choisir entre l'authentification Google et le SSO basé sur SAML
  • Meilleures pratiques, y compris la configuration DNS, les comptes super-administrateurs
  • Lab : Définition des utilisateurs avec la console d'identité cloud

Module 3 - Gestion des identité, des accès et des clés

  • GCP Resource Manager : projets, dossiers et organisations
  • Rôles GCP IAM, y compris les rôles personnalisés
  • Politiques GCP IAM, y compris les politiques d'organisation
  • Labels GCP IAM
  • GCP IAM Recommender
  • GCP IAM Troubleshooter
  • Journaux d'audit GCP IAM
  • Meilleures pratiques, y compris la séparation des tâches et le moindre privilège, l'utilisation des groupes Google dans les stratégies, et éviter l'utilisation de primitiveroles.
  • Lab : Configuration de Cloud IAM, y compris les rôles personnalisés et les règles d'organisation

Module 4 - Configuration d'un Google Virtual Private Cloud pour l'isolement et la sécurité

  • Configuration des pare-feu VPC (règles d'entrée et de sortie)
  • Équilibrage de charge et règles SSL
  • Accès privé à l'API Google
  • Utilisation d'un proxy SSL
  • Meilleures pratiques pour les réseaux VPC, y compris le peering et l'utilisation de VPC partagés, l'utilisation correcte des sous-réseaux
  • Meilleures pratiques de sécurité pour les VPN
  • Considérations de sécurité pour les options d'interconnexion et de peering
  • Produits de sécurité disponibles auprès des partenaires
  • Définition d'un périmètre de service, y compris les ponts de périmètre
  • Mise en place d'une connectivité privée aux API et services Google
  • Lab : Configuration des pare-feu VPC

Module 5 - Sécurisation de Compute Engine : techniques et meilleures pratiques

  • Comptes de service Compute Engine, par défaut et définis par le client
  • Rôles IAM pour les VM
  • Champs d'application de l'API pour les machines virtuelles
  • Gestion des clés SSH pour les VM Linux
  • Gestion des connexions RDP pour les machines virtuelles Windows
  • Contrôles de la politique d'organisation : images de confiance, adresse IP publique, désactivation du port série
  • Chiffrement des images de VM avec des clés de chiffrement gérées par le client et avec des clés de chiffrement fournies par le client
  • Recherche et correction de l'accès public aux machines virtuelles
  • Meilleures pratiques, y compris l'utilisation d'images personnalisées renforcées, de comptes de service personnalisés (pas le compte de service par défaut), d'APIscopes adaptés, et l'utilisation d'informations d'identification par défaut de l'application au lieu de clés gérées par l'utilisateur
  • Lab : Configuration, utilisation et audit des comptes de service et des champs d'application des VM
  • Chiffrer les disques VM avec des clés de chiffrement fournies par le client
  • Lab : Chiffrer les disques avec des clés de chiffrement fournies par le client Utiliser Shielded VMs pour maintenir l'intégrité des machines virtuelles

Module 6 - Sécurisation des données cloud : techniques et meilleures les pratiques

  • Stockage dans le Cloud et permissions IAM
  • Stockage dans le Cloud et ACL
  • L'audit des données dans le Cloud, y compris la recherche et la correction des données accessibles au public
  • URL de stockage en nuage signées
  • Documents de politique signés
  • Chiffrement des objets de stockage dans le nuage avec des clés de chiffrement gérées par le client et avec des clés de chiffrement fournies par le client
  • Meilleures pratiques, y compris la suppression des versions archivées des objets après la rotation des clés
  • Lab : Utiliser des clés de chiffrement fournies par le client avec le stockage dans le Cloud
  • Lab : Utilisation de clés de chiffrement gérées par le client avec Cloud Storage et Cloud KMS
  • Vues autorisées BigQuery
  • Rôles IAM BigQuery
  • Meilleures pratiques, y compris préférer les permissions IAM aux ACLs
  • Lab : Création d'une vue autorisée BigQuery

Module 7 - Sécurisation des applications : techniques et meilleures pratiques

  • Types de vulnérabilités de la sécurité des applications
  • Protections DoS dans App Engine et Cloud Functions
  • Scanner de sécurité du cloud
  • Lab : Utilisation de Cloud Security Scanner pour trouver des vulnérabilités dans une application App Engine
  • Proxy conscient de l'identité
  • Lab : Configurer Identity Aware Proxy pour protéger un projet

Module 8 - Sécurisation de Kubernetes : techniques et meilleures pratiques

  • Autorisation
  • Sécurisation des charges de travail
  • Sécurisation des clusters
  • Logging et monitoring

Module 9 - Protection contre les attaques Distributed Denial of Service (DDoS)

  • Comment fonctionnent les attaques DDoS
  • Atténuations : GCLB, Cloud CDN, autoscaling, VPC ingress et egress firewalls, Cloud Armor (y compris son langage de règles)
  • Types de produits partenaires complémentaires
  • Lab : Configuration du GCLB, CDN, blacklistage du trafic avec Cloud Armor

Module 10 - Protection contre les vulnérabilités liées au contenu

  • Menace : Ransomware
  • Atténuations : Sauvegardes, IAM, Data Loss Prevention API
  • Menaces : Utilisation abusive des données, violation de la vie privée, contenu sensible/restreint/inacceptable
  • Menace : Hameçonnage d'identité et Oauth
  • Atténuations : Classification du contenu à l'aide des API Cloud ML ; analyse et expurgation des données à l'aide de l'API de prévention des pertes de données
  • Lab : Expurger les données sensibles avec l'API de prévention des pertes de données

Module 11 - Surveillance, journalisation, audit et analyse

  • Centre de commandement de la sécurité
  • Surveillance et journalisation de Stackdriver
  • Lab : Installation des agents Stackdriver
  • Lab : Configuration et utilisation de la surveillance et de la journalisation de Stackdriver
  • Journaux de flux VPC
  • Lab : Visualiser et utiliser les logs de flux VPC dans Stackdriver
  • Journalisation de l'audit du cloud
  • Lab : Configurer et visualiser les logs d'audit dans Stackdriver
  • Déployer et utiliser Forseti
  • Lab : Inventorier un déploiement avec Forseti Inventory (démo)
  • Lab : Scanner un déploiement avec Forseti Scanner

 

En partenariat avec Global Knowledge.

Nous contacter

AMS Formation (France)
03 83 67 63 05
22 Rue de Medreville
54000 Nancy – France

AMS Formation (Luxembourg)
00 352 26 10 22 58
145, route de Pétange
L-4645 Niederkorn – Luxembourg

ams-formation@ams-training.com

Suivez-nous

Retrouvez toute l'actualité d'AMS Formation sur les réseaux sociaux.