GCSEC - Security in Google Cloud Platform

Thời lượng: 03 ngày

Trainocate Vietnam - Google Cloud Partner cung cấp khoá học giúp bạn khám phá các thành phần của Google Cloud và triển khai giải pháp bảo mật trên nền tảng này. Bạn cũng sẽ tìm hiểu cách giảm thiểu các cuộc tấn công tại một số điểm trong cơ sở hạ tầng dựa trên Google Cloud, bao gồm các cuộc tấn công từ chối dịch vụ phân tán, các cuộc tấn công lừa đảo và các mối đe dọa liên quan đến phân loại và sử dụng nội dung.

• Làm quen với Google Cloud Platform thông qua lộ trình học Google Cloud.
• Hiểu cách tiếp cận bảo mật của Google Quản lý danh tính quản trị bằng Cloud Identity.
• Triển khai quyền truy cập quản trị đặc quyền tối thiểu bằng Google Resource Manager, Cloud IAM.
• Triển khai kiểm soát lưu lượng IP bằng tường lửa VPC và Google Cloud Armor.
• Triển khai Proxy nhận biết danh tính.
• Phân tích các thay đổi đối với cấu hình hoặc siêu dữ liệu của tài nguyên bằng nhật ký kiểm tra Cloud.
• Bảo mật môi trường Kubernetes.
• Quét và biên tập dữ liệu nhạy cảm bằng Cloud Data Loss Prevention API.
• Quét triển khai Google Cloud bằng Forseti.
• Giảm thiểu các loại lỗ hổng quan trọng, đặc biệt là trong quyền truy cập công khai vào dữ liệu và VM

Mô-đun 1: Nền tảng của Bảo mật GCP

• Hiểu mô hình trách nhiệm bảo mật được chia sẻ của GCP.
• Hiểu cách tiếp cận bảo mật của Google Cloud.
• Hiểu các loại mối đe dọa được Google và GCP giảm thiểu.
• Định nghĩa và Hiểu về Tính minh bạch của quyền truy cập và Phê duyệt quyền truy cập (phiên bản beta).

Mô-đun 2: Danh tính đám mây

• Danh tính đám mây.
• Đồng bộ hóa với Microsoft Active Directory bằng Google Cloud Directory Sync.
• Sử dụng Dịch vụ được quản lý cho Microsoft Active Directory (phiên bản beta).
• Chọn giữa xác thực Google và SSO dựa trên SAML.
• Các biện pháp thực hành tốt nhất, bao gồm cấu hình DNS, tài khoản quản trị viên cấp cao.
• Phòng thí nghiệm: Xác định người dùng bằng Bảng điều khiển danh tính đám mây.

Mô-đun 3: Quản lý danh tính, quyền truy cập và khóa

• GCP Resource Manager: dự án, thư mục và tổ chức.
• Các vai trò IAM của GCP, bao gồm các vai trò tùy chỉnh.
• Các chính sách IAM của GCP, bao gồm các chính sách của tổ chức.
• Nhãn IAM của GCP.
• GCP IAM Recommender.
• GCP IAM Troubleshooter.
• Nhật ký kiểm tra IAM của GCP.
• Các biện pháp thực hành tốt nhất, bao gồm phân tách nhiệm vụ và đặc quyền tối thiểu, sử dụng nhóm Google trong chính sách và tránh sử dụng các vai trò nguyên thủy.
• Phòng thí nghiệm: Cấu hình Cloud IAM, bao gồm các vai trò tùy chỉnh và chính sách tổ chức.

Mô-đun 4: Cấu hình Google Virtual Private Cloud để cô lập và bảo mật

• Cấu hình tường lửa VPC (cả quy tắc vào và ra).
• Cân bằng tải và chính sách SSL.
• Truy cập API Google riêng tư.
• Sử dụng proxy SSL.
• Các biện pháp thực hành tốt nhất cho mạng VPC, bao gồm sử dụng VPC ngang hàng và chia sẻ, sử dụng đúng các mạng con.
• Các biện pháp thực hành bảo mật tốt nhất cho VPN.
• Các cân nhắc về bảo mật cho các tùy chọn kết nối và ngang hàng.
• Các sản phẩm bảo mật có sẵn từ các đối tác.
• Xác định chu vi dịch vụ, bao gồm các cầu nối chu vi.
• Thiết lập kết nối riêng tư với các API và dịch vụ của Google.
• Phòng thí nghiệm: Cấu hình tường lửa VPC.

Mô-đun 5: Bảo mật Compute Engine: các kỹ thuật và biện pháp thực hành tốt nhất

• Tài khoản dịch vụ Compute Engine, mặc định và do khách hàng xác định.
• Vai trò IAM cho VM.
• Phạm vi API cho VM.
• Quản lý khóa SSH cho VM Linux.
• Quản lý thông tin đăng nhập RDP cho VM Windows.
• Kiểm soát chính sách tổ chức: hình ảnh đáng tin cậy, địa chỉ IP công khai, vô hiệu hóa cổng nối tiếp.
• Mã hóa hình ảnh VM bằng khóa mã hóa do khách hàng quản lý và bằng khóa mã hóa do khách hàng cung cấp.
• Tìm và khắc phục quyền truy cập công khai vào VM.
• Các biện pháp thực hành tốt nhất, bao gồm sử dụng hình ảnh tùy chỉnh được bảo vệ, tài khoản dịch vụ tùy chỉnh (không phải tài khoản dịch vụ mặc định), phạm vi API được điều chỉnh và sử dụng thông tin xác thực mặc định của ứng dụng thay vì khóa do người dùng quản lý.
• Phòng thí nghiệm: Cấu hình, sử dụng và kiểm tra tài khoản và phạm vi dịch vụ VM.
• Mã hóa đĩa VM bằng khóa mã hóa do khách hàng cung cấp.
• Phòng thí nghiệm: Mã hóa đĩa bằng khóa mã hóa do khách hàng cung cấp.
• Sử dụng VM được bảo vệ để duy trì tính toàn vẹn của máy ảo.

Mô-đun 6: Ghi nhật ký và phân tích nâng cao

• Lưu trữ đám mây và quyền IAM.
• Lưu trữ đám mây và ACL.
• Kiểm tra dữ liệu đám mây, bao gồm tìm và khắc phục dữ liệu có thể truy cập công khai.
• URL lưu trữ đám mây đã ký.
• Tài liệu chính sách đã ký.
• Mã hóa các đối tượng lưu trữ đám mây bằng khóa mã hóa do khách hàng quản lý và bằng khóa mã hóa do khách hàng cung cấp.
• Các biện pháp thực hành tốt nhất, bao gồm xóa các phiên bản lưu trữ của đối tượng sau khi xoay khóa.
• Thực hành: Sử dụng khóa mã hóa do khách hàng cung cấp với Cloud Storage.
• Thực hành: Sử dụng khóa mã hóa do khách hàng quản lý với Cloud Storage và Cloud KMS.
• Chế độ xem được BigQuery ủy quyền.
• Vai trò IAM của BigQuery.
• Các biện pháp thực hành tốt nhất, bao gồm ưu tiên quyền IAM hơn ACL.
• Thực hành: Tạo chế độ xem được BigQuery ủy quyền.

Mô-đun 7: Bảo mật ứng dụng: các kỹ thuật và biện pháp thực hành tốt nhất

• Các loại lỗ hổng bảo mật ứng dụng.
• Bảo vệ DoS trong App Engine và Cloud Functions.
• Cloud Security Scanner.
• Thực hành: Sử dụng Cloud Security Scanner để tìm lỗ hổng trong ứng dụng App Engine.
• Proxy nhận dạng danh tính.
• Thực hành: Cấu hình Proxy nhận dạng danh tính để bảo vệ dự án.

Mô-đun 8: Bảo mật Kubernetes: các kỹ thuật và biện pháp thực hành tốt nhất

• Ủy quyền.
• Bảo mật khối lượng công việc.
• Bảo mật cụm.
• Ghi nhật ký và giám sát.

Mô-đun 9: Bảo vệ chống lại các cuộc tấn công từ chối dịch vụ phân tán

• Cách thức hoạt động của các cuộc tấn công DDoS.
• Biện pháp giảm thiểu: GCLB, Cloud CDN, tự động mở rộng quy mô, tường lửa vào và ra VPC, Cloud Armor (bao gồm ngôn ngữ quy tắc của nó).
• Các loại sản phẩm đối tác bổ sung.
• Phòng thí nghiệm: Cấu hình GCLB, CDN, danh sách đen lưu lượng truy cập bằng Cloud Armor.

Mô-đun 10: Bảo vệ chống lại các lỗ hổng liên quan đến nội dung

• Mối đe dọa: Ransomware.
• Biện pháp giảm thiểu: Sao lưu, IAM, API phòng ngừa mất dữ liệu.
• Mối đe dọa: Sử dụng sai dữ liệu, vi phạm quyền riêng tư, nội dung nhạy cảm/bị hạn chế/không được chấp nhận.
• Mối đe dọa: Lừa đảo danh tính và Oauth.
• Biện pháp giảm thiểu: Phân loại nội dung bằng API Cloud ML; quét và biên tập dữ liệu bằng API phòng ngừa mất dữ liệu.
• Phòng thí nghiệm: Biên tập dữ liệu nhạy cảm bằng API phòng ngừa mất dữ liệu.

Mô-đun 11: Giám sát, Ghi nhật ký, Kiểm toán và Quét

• Trung tâm chỉ huy bảo mật.
• Giám sát và ghi nhật ký Stackdriver.
• Thực hành: Cài đặt tác nhân Stackdriver.
• Thực hành: Cấu hình và sử dụng giám sát và ghi nhật ký Stackdriver.
• Nhật ký luồng VPC.
• Thực hành: Xem và sử dụng nhật ký luồng VPC trong Stackdriver.
• Ghi nhật ký kiểm toán đám mây.
• Thực hành: Cấu hình và xem nhật ký kiểm toán trong Stackdriver.
• Triển khai và sử dụng Forseti.
• Thực hành: Kiểm kê triển khai bằng Forseti Inventory (bản demo).
• Thực hành: Quét triển khai bằng Forseti Scanner (bản demo).

Lớp học này dành cho các vai trò công việc sau:

• Các nhà phân tích, kiến ​​trúc sư và kỹ sư bảo mật thông tin.
• Các chuyên gia bảo mật thông tin/an ninh mạng.
• Các kiến ​​trúc sư cơ sở hạ tầng đám mây.
• Ngoài ra, khóa học dành cho Google và nhân viên thực địa đối tác làm việc với khách hàng trong các vai trò công việc đó.
• Khóa học cũng hữu ích cho các nhà phát triển ứng dụng đám mây.

Để tận dụng tối đa khóa học này, người tham gia phải có:

• Hoàn thành trước Google Cloud Platform Fundamentals: Cơ sở hạ tầng cốt lõi hoặc kinh nghiệm tương đương
• Hoàn thành trước Mạng trong Google Cloud Platform hoặc kinh nghiệm tương đương
• Kiến thức về các khái niệm cơ bản trong bảo mật thông tin: Các khái niệm cơ bản: lỗ hổng, mối đe dọa, bề mặt tấn công tính bảo mật, tính toàn vẹn, tính khả dụng
• Các loại mối đe dọa phổ biến và các chiến lược giảm thiểu của chúng
• Mật mã khóa công khai Cặp khóa công khai và riêng tư Chứng chỉ
• Các loại mật mã Độ rộng khóa Cơ quan cấp chứng chỉ Bảo mật lớp vận chuyển/Ổ cắm bảo mật
• Giao tiếp được mã hóa theo lớp Cơ sở hạ tầng khóa công khai Chính sách bảo mật
• Thành thạo cơ bản với các công cụ dòng lệnh và môi trường hệ điều hành Linux
• Kinh nghiệm vận hành hệ thống, bao gồm triển khai và quản lý ứng dụng, tại chỗ hoặc trong môi trường đám mây công cộng
• Đọc hiểu mã bằng Python hoặc JavaScript

Khóa học này không đi kèm đến bất kỳ chứng nhận nào.

Hãy liên hệ qua Fanpage Trainocate Vietnam để nhận thêm thông tin thi chứng chỉ Google Cloud.

Tìm hiểu thêm về các khóa học Google Cloud tại Trainocate Vietnam nhé!