Etapa
3
Security in Google Cloud Platform
Neste curso, os participantes têm acesso a um amplo estudo sobre controles e técnicas de segurança no Google Cloud Platform.

Descrição

Por meio de palestras, demonstrações e laboratórios práticos, os participantes podem conhecer e implantar os componentes de uma solução do GCP segura. Os participantes também aprendem técnicas de mitigação para ataques em vários pontos de uma infraestrutura baseada no GCP, incluindo ataques distribuídos de negação de serviço, ataques de phishing e ameaças que envolvam a classificação e o uso de conteúdo.

Duração

2 dias, com instrutor
2 semanas, sob demanda

Objetivos:

Neste curso, os participantes aprendem a:

  • entender a abordagem de segurança do Google
  • gerenciar identidades administrativas com o Cloud Identity
  • implementar o acesso administrativo de menor privilégio usando o Google Cloud Resource Manager e o Cloud IAM
  • implementar controles de tráfego IP usando firewalls de VPC e o Cloud Armor
  • implementar o Identity-Aware Proxy
  • analisar alterações nas configurações ou nos metadados de recursos com os registros de auditoria do GCP
  • verificar e editar dados confidenciais com a API Data Loss Prevention
  • verificar uma implantação do GCP com Forseti
  • remediar tipos importantes de vulnerabilidades, especialmente no acesso público a dados e VMs

Método de realização

On-line autoguiado ou com instrutor

Público-alvo

Esta aula destina-se aos seguintes cargos:

  • Analistas, arquitetos e engenheiros de segurança da informação na nuvem
  • Especialistas em segurança da informação/cibersegurança
  • Arquitetos de infraestrutura em nuvem
  • Desenvolvedores de aplicativos em nuvem

Pré-requisitos

Para aproveitar ao máximo este curso, os participantes precisam cumprir os seguintes critérios:

  • conclusão do curso Google Cloud Platform Fundamentals: Core Infrastructure ou experiência equivalente
  • conclusão do curso Networking in Google Cloud Platform ou experiência equivalente
  • conhecimento de conceitos básicos sobre segurança da informação
    • Conceitos fundamentais:
      • vulnerabilidade, ameaça, superfície de ataque
      • confidencialidade, integridade, disponibilidade
    • Tipos de ameaças comuns e as respectivas estratégias de mitigação
    • Criptografia de chave pública
      • Pares de chaves públicas e privadas
      • Certificados
      • Tipos de criptografia
      • Tamanho da chave
    • Autoridades de certificação
    • Comunicação criptografada de Transport Layer Security/Secure Sockets Layer
    • Infraestruturas de chave pública
    • Política de segurança
  • proficiência básica nas ferramentas de linha de comando e em ambientes de sistema operacional Linux
  • experiência com operações de sistemas, incluindo implantação e gerenciamento de aplicativos, seja no local ou em um ambiente de nuvem pública
  • compreensão de leitura de código no Python ou JavaScript

Resumo do curso

PARTE I: como gerenciar a segurança no Google Cloud Platform

  • Abordagem do Google Cloud em relação à segurança
  • O modelo de responsabilidade compartilhada pela segurança
  • Ameaças mitigadas pelo Google e pelo GCP
  • Transparência no acesso
  • Cloud Identity
  • Sincronização com o Microsoft Active Directory
  • Escolher entre a autenticação do Google e o SSO baseado em SAML
  • Práticas recomendadas do GCP
  • Gerenciador de recursos do GCP: projetos, pastas e organizações
  • Papéis do IAM do GCP, incluindo papéis personalizados
  • Políticas do IAM do GCP, incluindo políticas da organização
  • Práticas recomendadas do IAM do GCP
  • Configurar firewalls VPC (regras de entrada e saída)
  • Políticas de balanceamento de carga e SSL
  • Acesso privado à API do Google
  • Uso de proxy SSL
  • Práticas recomendadas para estruturação de redes VPC
  • Práticas recomendadas de segurança para VPNs
  • Considerações de segurança para opções de interconexão e peering
  • Produtos de segurança disponíveis dos parceiros
  • Stackdriver Monitoring e Logging
  • Registros de fluxo da VPC
  • Cloud Audit Logging
  • Implantar e usar o Forseti

PARTE II: como mitigar vulnerabilidades no Google Cloud Platform

  • Contas de serviço do Compute Engine, padrão e definidas pelo cliente
  • Papéis do IAM para VMs
  • Escopos da API para VMs
  • Gerenciar chaves SSH para VMs do Linux
  • Gerenciar logins do RDP para VMs do Windows
  • Controles de política da organização: imagens confiáveis, endereço IP público, desativar a porta serial
  • Criptografar imagens de VM com chaves de criptografia gerenciadas pelo cliente e com chaves de criptografia fornecidas pelo cliente
  • Encontrar e corrigir o acesso público às VMs
  • Práticas recomendadas de VM
  • Criptografar discos de VM com chaves de criptografia fornecidas pelo cliente
  • Cloud Storage e permissões do IAM
  • Cloud Storage e ACLs
  • Auditoria de dados na nuvem, inclusive como encontrar e corrigir dados acessíveis publicamente
  • URLs assinados do Cloud Storage
  • Documentos de política assinados
  • Criptografar objetos do Cloud Storage com chaves de criptografia gerenciadas pelo cliente e com chaves de criptografia fornecidas pelo cliente
  • Práticas recomendadas, como a exclusão de versões arquivadas de objetos após a rotação da chave
  • Visualizações autorizadas pelo BigQuery
  • Papéis do IAM do BigQuery
  • Práticas recomendadas, incluindo a preferência por permissões do IAM em ACLs
  • Funcionamento dos ataques DDoS
  • Mitigações: GCLB, Cloud CDN, escalonamento automático, firewalls de entrada e saída VPC, Cloud Armor
  • Tipos de produtos complementares de parceiros
  • Tipos de vulnerabilidades de segurança em aplicativos
  • Proteções contra DoS no App Engine e no Cloud Functions
  • Cloud Security Scanner
  • Ameaça: phishing de identidade e Oauth
  • Identity-Aware Proxy
  • Ameaça: ransomware
  • Mitigações: backups, IAM, API Data Loss Prevention
  • Ameaças: uso indevido de dados, violações de privacidade, conteúdo confidencial/restrito/inaceitável
  • Mitigações: classificação de conteúdo usando as APIs do Cloud ML, verificação e edição de dados usando a API Data Loss Prevention