Software- und Infrastrukturentwicklung funktioniert in der Cloud in Teilen anders als im eigenen Rechenzentrum. Das Gleiche gilt für die Absicherung der entwickelten Anwendungen und Infrastruktur – dass die Cloud „von überall aus dem Internet“ erreicht werden kann, ist Segen und Fluch gleichermaßen. Daher betrachtet das Training „Grundlagen der Cloud Security“ die verschiedenen Teilgebiete der Cloud aus der Perspektive des Zero Trust Paradigmas. Ein besonderes Augenmerk liegt auf dem Bereich „Identity and Access Management“, aber auch die Domänen Compute, Network und Data werden eingehend bezüglich der Informationssicherheit beleuchtet. Abgerundet wird das Training mit Themengebieten rund um cloud-spezifisches Logging, Monitoring und Alerting, sowie Incidence Preparedness und Response.
Sicherheit bei der Entwicklung und dem Deployment von Anwendungen in der Cloud
Das Training „Grundlagen der Cloud Security“ richtet sich an DevOps Engineers, Administratoren, Softwarearchitekten, Softwareentwickler und Sicherheitsbeauftragte und vermittelt die theoretischen und praktischen Grundlagen von Security in (Public) Clouds. Idealerweise haben die Teilnehmer bereits Erfahrungen mit der Absicherung von On-Premise-Workloads gesammelt und möchten ihr Wissen auf den Aufbau und die Absicherung von Workloads in der Cloud übertragen.
Cloud Security:
In allen Bereichen werden cloud-native Features, deren Stolperschwellen und sich ergebende Angriffsvektoren erklärt, sowie Best Practices zu ihrer Absicherung besprochen. Das Seminar geht dabei sowohl auf Workloads ein, die im sogenannten „Lift and Shift“ Verfahren in die Cloud portiert werden, als auch auf cloud-native Entwicklungen. Das Training ist zuerst immer cloud-agnostisch, also unabhängig von einzelnen Cloud-Providern gehalten. In jedem Themenblock wird nach der generellen Betrachtung aber auch auf die Implementierungen und Besonderheiten bei verschiedenen Cloudprovidern eingegangen.
Demonstrationen und Hands-On Training ermöglichen es den Teilnehmenden, das theoretische Wissen direkt in die Praxis zu übertragen.
Demonstrationen und Hands-On Training ermöglichen es den Teilnehmenden, das theoretische Wissen direkt in die Praxis zu übertragen.
Kursinhalt
Grundlagen und Konzepte
- Begriffe und Definitionen
- Marktüberblick über Cloud Providers und Services
- Standard Prozesse und Frameworks
- Infrastructure as Code + DevOps
Cloud Security Model
- Schutzziele
- Zero Trust
- Service Models und Shared Responsibility
Organisation
- Ressource Hierarchie
- Policies
- User Management
Identity and Access Management
- Access Control Flows in der Cloud
- Struktur und Komponenten von Access Control Policies
- Unterschiedliche Arten von Access Control Policies und Schutzmechanismen
- Zero Trust mit bedingten Access Policies
- Cross-Account Access und Cross-Cloud Access
Compute
- Virtuelle Maschinen
- Container
- Function as a Service
Network
- Software Defined Networking
- Schutz von Virtualisierten Netzwerken
- Die Verknüpfung von On-Premise und Cloud-basierten Netzwerken
Data
- Grundlagen und Unterschiede verschiedener Service Modelle
- Schlüssel und Passwortmanagement
- Data Security Lifecycle
Applikation
- Refresher: Shared Responsibility Model
- Die Verknüpfung von Applikationen und Features der Clouds
- Features, die die Sichere Softwareentwicklung in der Cloud unterstützen
- Deployment Prozess: Pipelines, Supply Chains
Logging, Monitoring und Alerting
- Standardlogs und On-Demand Logs
- Applikationslogging
- Lösungen für Cloud-natives Monitoring und Alerting
- Anomalieerkennung, Threat Detection / Response
Preparedness, Business Continuity und Disaster Recovery
- Cloud-native Backup Strategien
- Incident Playbooks für (Multi-)Cloud Environments
- Threat Modeling in der Cloud
- Interne Konfigurationsaudits vs. External Penetration Tests
Top 10 Best Practices
- Die wichtigsten 10 Takeaways zur sofortigen Überprüfung Ihrer Umgebung
Facts
Zielgruppe
- DevOps Engineers
- Administratoren
- Softwarearchitekten
- Softwareentwickler
- Sicherheitsbeauftragte
Dauer
3 Tage oder individuell zugeschnitten
Voraussetzungen
Idealerweise haben Sie bereits Erfahrungen mit der Absicherung von On-Premise-Workloads gesammelt und möchten Ihr Wissen auf den Aufbau und die Absicherung von Workloads in der Cloud übertragen.
Unser Schulungsangebot richtet sich an Unternehmen und Organisationen. Schon ab drei Teilnehmern kann eine Schulung wirtschaftlich sein. Diese findet bei Ihnen im Haus statt oder wird von uns in Ihrer Wunschumgebung organisiert.
Trainer:
IT-Security Consultant und Penetrationstester
