Säkerhet i Google Cloud

Modul 01: Grunderna i Google Cloud Security

Ämnen

• Google Clouds inställning till säkerhet
• Modellen för delat säkerhetsansvar
• Hot som mildras av Google och Google Cloud
• Tillgång Transparens

Målsättningar

• Lär dig mer om Google Clouds strategi för säkerhet.
• Förstå modellen för delat säkerhetsansvar.
• Förstå vilka typer av hot som begränsas av Google och Google Cloud.
• Definiera och förstå åtkomsttransparens.

Modul 02 Molnidentitet

Ämnen

• Identitet i molnet
• Identitet i molnet
• Synkronisering av Google Cloud Directory
• Google Authentication jämfört med SAML-baserad SSO
• Bästa praxis för autentisering

Målsättningar

• Lär dig vad Cloud Identity är och vad det gör.
• Läs om hur Directory Sync på ett säkert sätt synkroniserar användare och behörigheter mellan LDAP- eller AD-servern på plats och molnet.
• Förstå de två sätt som Google Cloud hanterar autentisering på och hur du ställer in SSO.
• Utforska bästa praxis för att hantera grupper, behörigheter, domäner och administratörer med Cloud Identity.

Modul 03 Identitets- och åtkomsthantering (IAM)

Ämnen

• Resursansvarig
• IAM-roller
• IAM-policyer
• IAM Rekommendator
• Felsökare för IAM
• IAM-granskningsloggar
• Bästa praxis för IAM

Målsättningar

• Förstå Resource Manager: projekt, mappar och organisationer.
• Lär dig hur du implementerar IAM-roller, inklusive anpassade roller.
• Förstå IAM-policyer, inklusive organisationspolicyer.
• Förstå bästa praxis, inklusive åtskillnad av arbetsuppgifter och minsta möjliga behörighet, användning av Google-grupper i policyer och undvikande av grundläggande roller.
• Lär dig hur du konfigurerar IAM, inklusive anpassade roller och organisationsprinciper.

Aktivitet

• Laboration: Konfigurera IAM

Modul 04 Konfigurera virtuellt privat moln för isolering och säkerhet

Ämnen

• VPC-brandväggar
• Lastbalansering och SSL-policyer
• Policyer för samtrafik och peering
• Bästa praxis för VPC-nätverk
• VPC flödesloggar

Målsättningar

• Lär dig bästa praxis för att konfigurera VPC-brandväggar (både ingress- och egressregler).
• Förstå lastbalansering och SSL-policyer.
• Förstå hur man ställer in privat Google API-åtkomst.
• Förstå användning av SSL-proxy.
• Lär dig bästa praxis för VPC-nätverk, inklusive peering och delad VPC-användning, och korrekt användning av undernätverk.
• Lär dig bästa säkerhetsrutiner för VPN.
• Förstå säkerhetsaspekter för sammankoppling och peering-alternativ.
• Bli bekant med tillgängliga säkerhetsprodukter från partners.
• Lär dig att konfigurera VPC-brandväggar.
• Förhindra exfiltrering av data med VPC Service Controls.

Aktiviteter

• Laboration: Konfigurera VPC-brandväggar
• Laboration: Konfigurera och använda VPC-flödesloggar i Cloud Logging

Modul 05 Säkra Compute Engine: Tekniker och bästa praxis

Ämnen

• Servicekonton, IAM-roller och API-scopes
• Hantera VM-inloggningar
• Kontroll av organisationspolicy
• Bästa praxis för Compute Engine
• Kryptering av diskar med CSEK

Målsättningar

• Läs mer om Compute Engine-tjänstkonton, standard och kunddefinierade.
• Förstå IAM-roller och omfattningar för virtuella datorer.
• Förstå hur Shielded VM:er hjälper till att upprätthålla system- och applikationsintegriteten

Aktiviteter

• Laboration: Konfigurera, använda och granska VM-tjänstkonton och scope
• Laboration: Kryptera diskar med krypteringsnycklar som tillhandahålls av kunden

Modul 06 Säkra molndata: Tekniker och bästa praxis

Ämnen

• Molnlagring IAM-behörigheter och ACL:er
• Granskning av molndata
• Signerade webbadresser och policydokument
• Kryptering med CMEK och CSEK
• HSM i molnet
• BigQuery IAM-roller och auktoriserade vyer
• Bästa praxis för lagring

Målsättningar

• Använd molnbehörigheter och roller för att säkra molnresurser.
• Granska molndata.
• Använd signerade URL:er för att ge åtkomst till objekt i en Cloud Storage-bucket.
• Hantera vad som kan placeras i en Cloud Storage-bucket med hjälp av ett signerat policydokument.
• Kryptera molndata med hjälp av kundhanterade krypteringsnycklar (CMEK), kundlevererade krypteringsnycklar (CSEK) och Cloud HSM.
• Skydda data i BigQuery med hjälp av IAM-roller och auktoriserade vyer

Aktiviteter

• Laboration: Använda kundlevererade krypteringsnycklar med molnlagring
• Laboration: Använda kundhanterade krypteringsnycklar med Cloud Storage och Cloud KMS
• Laboration: Skapa en BigQuery-auktoriserad vy

Modul 07 Applikationssäkerhet: Tekniker och bästa praxis

Ämnen

• Olika typer av sårbarheter i applikationssäkerheten
• Webbsäkerhetsskanner
• Hot: Identitets- och Oauth-phishing
• Identitetsmedveten proxy
• Hemlig chef

Målsättningar

• Påminna om olika typer av sårbarheter i applikationssäkerhet.
• Förstå DoS-skydd i App Engine och Cloud Functions.
• Förstå vilken roll Web Security Scanner har för att minska riskerna.
• Definiera och påminna om hoten från Identity och Oauth phishing.
• Förstå vilken roll Identity-Aware Proxy har för att minska riskerna.
• Lagra programreferenser och metadata på ett säkert sätt med Secret Manager.

Aktiviteter

• Laboration: Använda Web Security Scanner för att hitta sårbarheter i en App Engine-applikation
• Laboration: Konfigurera Identity-Aware Proxy för att skydda ett projekt
• Laboration: Konfigurera och använda autentiseringsuppgifter med Secret Manager

Modul 08 Säkra Google Kubernetes Engine: Tekniker och bästa praxis

Ämnen

• Introduktion till Kubernetes/GKE
• Autentisering och auktorisering
• Härdning av dina kluster
• Säkra dina arbetsbelastningar
• Övervakning och loggning

Målsättningar

• Förstå de grundläggande komponenterna i en Kubernetes-miljö.
• Förstå hur autentisering och auktorisering fungerar i Google Kubernetes Engine.
• Minns hur man härdar Kubernetes-kluster mot attacker.
• Minns hur man härdar Kubernetes arbetsbelastningar mot attacker.
• Förstå loggning och övervakningsalternativ i Google Kubernetes Engine.

Modul 09 Skydd mot DDoS-attacker (Distributed Denial of Service)

Ämnen

• Hur DDoS-attacker fungerar
• Begränsningar av Google Cloud
• Olika typer av kompletterande partnerprodukter

Målsättningar

• Förstå hur DDoS-attacker fungerar.
• Minns vanliga begränsande åtgärder: Cloud Load Balancing, Cloud CDN, autoscaling, VPC ingress och egress brandväggar, Google Cloud Armor.
• Påminna om de olika typer av kompletterande partnerprodukter som finns tillgängliga.
• Använd Google Cloud Armor för att blockera en IP-adress och begränsa åtkomsten till en HTTP-lastbalanserare

Aktiviteter

• Laboration: Konfigurera blockering av trafiklistor med Google Cloud Armor

Modul 10 Sårbarheter relaterade till innehåll: Tekniker och bästa praxis

Ämnen

• Hot Ransomware
• Begränsning av utpressningstrojaner
• Hot: Datamissbruk, integritetskränkningar, känsligt innehåll
• Begränsningar relaterade till innehåll

Målsättningar

• Diskutera hotet från utpressningstrojaner.
• Förstå åtgärder mot utpressningstrojaner: Säkerhetskopior, IAM, Cloud Data Loss Prevention API.
• Förstå hoten mot innehållet: Datamissbruk, integritetskränkningar, känsligt/begränsat/icke godtagbart innehåll.
• Återkalla åtgärder för att minska hot mot innehåll: Klassificering av innehåll med hjälp av Cloud ML API:er; skanning och redigering av data med hjälp av DLP API.

Aktiviteter

• Laboration: Redigering av känsliga data med DLP AP

Modul 11 Övervakning, loggning, granskning och skanning

Ämnen

• Granskningsloggar för molnet
• Distribuera och använda Forseti

Målsättningar

• Förstå och använda Security Command Center.
• Förstå och använda Cloud Monitoring och Cloud Logging.
• Installera övervaknings- och loggningsagenterna.
• Förstå revisionsloggar i molnet.
• Få erfarenhet av att konfigurera och visa Cloud Audit Logs.
• Få erfarenhet av att driftsätta och använda Forseti.
• Lär dig hur du inventerar en distribution med Forseti Inventory.
• Lär dig hur du skannar en distribution med Forseti Scanner

Aktiviteter

• Laboration: Installera agenter för loggning och övervakning av moln
• Laboration: Konfigurera och använda loggning och övervakning av molnet
• Laboration: Konfigurera och visa granskningsloggar för molnet