Security in Google Cloud

• Identifier les fondements de la sécurité Google Cloud.
• Gérer les identités d’administration avec Google Cloud.
• Implémenter l’administration des utilisateurs avec Identity and Access Management (IAM).
• Configurer des Virtual Private Clouds (VPC) pour l’isolation, la sécurité et la journalisation.
• Appliquer des techniques et des bonnes pratiques pour gérer en toute sécurité Compute Engine.
• Appliquer des techniques et des bonnes pratiques pour gérer en toute sécurité les données Google Cloud.
• Appliquer des techniques et des bonnes pratiques pour sécuriser les applications Google Cloud.
• Appliquer des techniques et des bonnes pratiques pour sécuriser les ressources Google Kubernetes Engine (GKE).
• Gérer la protection contre les attaques par déni de service distribué (DDoS).
• Gérer les vulnérabilités liées au contenu.
• Mettre en œuvre les solutions de surveillance, de journalisation, d’audit et d’analyse de Google Cloud

Cette formation vous donne une étude approfondie des contrôles et des techniques de sécurité dans Google Cloud.

Grâce à des présentations, des démonstrations et des ateliers pratiques, vous explorerez et déploierez les composants d’une solution Google Cloud sécurisée, à l’aide de services tels que Cloud Identity, Identity and Access Management (IAM), Cloud Load Balancing, Cloud IDS, Web Security Scanner , BeyondCorp Enterprise, Cloud DNS et bien plus encore.

Module 1: Les bases de la sécurité Google Cloud

Sujets

• L’approche de Google Cloud en matière de sécurité
• Le modèle de responsabilité partagée en matière de sécurité
• Menaces atténuées par Google et Google Cloud
• Accéder à la transparence

Objectifs

• Expliquer le modèle de responsabilité partagée en matière de sécurité de Google Cloud.
• Décrire l’approche de Google Cloud en matière de sécurité.
• Reconnaître les types de menaces atténuées par Google et par Google Cloud.
• Identifier les engagements de Google Cloud en matière de conformité réglementaire.

Module 2: Sécuriser l’accès à Google Cloud

Sujets

• Identité Cloud
• Synchronisation d’annuaire Google Cloud
• Microsoft AD géré
• Authentification Google par rapport à l’authentification unique basée sur SAML
• Plate-forme d’identité
• Meilleures pratiques d’authentification

Objectifs

• Décrire ce qu’est Cloud Identity et ce qu’il fait.
• Expliquer comment Google Cloud Directory Sync synchronise en toute sécurité les utilisateurs et les autorisations entre votre serveur LDAP ou AD sur site et le cloud.
• Explorer et appliquer les bonnes pratiques de gestion des groupes, des autorisations, des domaines et des administrateurs avec Cloud Identity.

Activités

• Démonstration : Définir des utilisateurs avec Cloud Identity Console

Module 3: Identity and Access Management (IAM)

Sujets

• Gestionnaire de ressources
• Rôles IAM
• Comptes de service
• Politiques IAM et d’Organization
• Fédération d’identité de charge de travail
• Intelligence politique

Objectifs

• Identifier les objets IAM pouvant être utilisés pour organiser les ressources dans Google Cloud.
• Expliquer les fonctionnalités liées à la gestion des projets Google Cloud.
• Définir les politiques IAM, y compris les politiques d’organisation.
• Mettre en œuvre le contrôle d’accès avec Cloud IAM.
• Fournir un accès aux ressources Google Cloud à l’aide de rôles IAM prédéfinis et personnalisés.

Activités

• Configuration d’IAM

Module 4: Configuration du cloud privé virtuel pour l’isolation et la sécurité

Sujets

• Pare-feu VPC
• Équilibrage de charge et politiques SSL
• Options d’interconnexion et d’appairage
• VPC Service Controls
• Access Context Manager
• VPC Flow Logs
• Cloud IDS

Objectifs

• Décrire la fonction des réseaux VPC.
• Reconnaître et mettre en œuvre les meilleures pratiques pour la configuration des pare-feu VPC (règles d’entrée et de sortie).
• Sécurisez les projets avec VPC Service Controls.
• Appliquer des politiques SSL aux équilibreurs de charge.
• Activez la journalisation de flux VPC, puis utilisez Cloud Logging pour accéder aux journaux.
• Déployer Cloud IDS et afficher les détails des menaces dans Cloud Console

Activités

• Lab: Configuration des pare-feu VPC
• Lab: Configurer et utiliser les journaux de flux VPC dans Cloud Logging
• Démonstration : Sécuriser des projets avec VPC Service Controls
• Lab: Premiers pas avec Cloud IDS

Module 5: Sécuriser Compute Engine : techniques et bonnes pratiques

Sujets

• Service accounts, rôles IAM et champs d’application d’API
• Gestion des connexions aux VM
• Contrôles de la politique de l’Organization
• Shielded VMs et Confidential VMs
• • Certificate Authority Service
• Bonnes pratiques de Compute Engine

Objectifs

• Créer et gérer des comptes de service pour les instances Compute Engine (par défaut et définis par le client).
• Détailler les rôles et les étendues IAM pour les machines virtuelles.
• Explorer et appliquer les bonnes pratiques pour les instances Compute Engine.
• Expliquer la fonction du service Règle d’administration.

Activités

• Lab : Configuration, utilisation et audit des comptes de service et des étendues de VM

Module 6: Securing Cloud Data: Techniques and Best Practices

Sujets

• Autorisations Cloud Storage IAM et LCA
• Audit des données cloud
• URL et documents de politique signés
• Chiffrement avec CMEK et CSEK
• HSM cloud
• Rôles BigQuery IAM et vues autorisées
• Meilleures pratiques de stockage

Objectifs

• Utiliser les autorisations et les rôles IAM pour sécuriser les ressources cloud.
• Créer et encapsuler des clés de chiffrement à l’aide du certificat de clé publique RSA de Google Compute Engine.
• Chiffrer les disques persistants et les associer aux instances Compute Engine.
• Gérer les clés et les données chiffrées à l’aide de Cloud Key Management Service (Cloud KMS) et Cloud HSM.
• Créer des vues BigQuery autorisées.
• Reconnaître et mettre en œuvre les meilleures pratiques de configuration des options de stockage.

Activités

• Lab : Utilisation des clés de chiffrement fournies par le client avec Cloud Storage
• Lab : Utiliser des clés de chiffrement gérées par le client avec Cloud Storage et Cloud KMS
• Lab : Créer une vue autorisée BigQuery

Module 7: Sécurisation des applications : techniques et bonnes pratiques

Sujets

• Types de vulnérabilités de sécurité des applications
• Web Security Scanner
• Menace : hameçonnage d’identité et Oauth
• Identity-Aware Proxy
• Secret Manager

Objectifs

• Rappel des différents types de vulnérabilités de sécurité des applications.
• Détecter les vulnérabilités dans les applications App Engine à l’aide de Web Security Scanner.
• Sécuriser les applications Compute Engine à l’aide de BeyondCorp Enterprise.
• Sécuriser les informations d’identification de l’application à l’aide de Secret Manager.
• Identifier les menaces d’OAuth et d’hameçonnage d’identité.

Activités

• Atelier : Utiliser Web Security Scanner pour rechercher des vulnérabilités dans une application App Engine
• Atelier : Sécuriser les applications Compute Engine avec BeyondCorp Enterprise
• Atelier : Configurer et utiliser des identifiants avec Secret Manager

Module 8: Sécuriser Google Kubernetes Engine : techniques et bonnes pratiques

Sujets

• Authentification et autorisation
• Durcissement de vos clusters
• Sécurisation de vos charges de travail
• Surveillance et journalisation

Objectifs

• Expliquer les différences entre les comptes de service Kubernetes et les comptes de service Google.
• Reconnaître et mettre en œuvre les bonnes pratiques pour configurer GKE en toute sécurité.
• Expliquer les options de journalisation et de surveillance dans Google Kubernetes Engine.

Module 9: Protection contre les attaques par déni de service distribué (DDoS)

Sujets

• Comment fonctionnent les attaques DDoS
• Atténuations Google Cloud
• Types de produits partenaires complémentaires

Objectifs

• Identifier les quatre couches de l’atténuation DDoS.
• Identifier les méthodes utilisées par Google Cloud pour atténuer le risque de DDoS pour ses clients.
• Utiliser Google Cloud Armor pour bloquer une adresse IP et restreindre l’accès à une adresse HTTP.
• Équilibreur de charge

Activités

• Lab : Configurer la liste de blocage du trafic avec Google Cloud Armor

Module 10: Vulnérabilités liées au contenu : techniques et bonnes pratiques

Sujets

• Menace : rançongiciel
• Atténuation des ransomwares
• Menaces : utilisation abusive des données, violation de la vie privée, contenu sensible
• Atténuation liée au contenu
• Masquer les données sensibles avec l’API DLP

Objectifs

• Discuter de la menace des ransomwares.
• Expliquer les stratégies d’atténuation des ransomwares (sauvegardes, IAM, API Cloud Data Loss Prevention).
• Mettre en évidence les menaces courantes pour le contenu (utilisation abusive des données, violations de la vie privée, contenu sensible/restreint/inacceptable).
• Identifier les solutions aux menaces sur le contenu (classification, analyse, rédaction).
• Détecter et masquer les données sensibles à l’aide de l’API Cloud DLP.

Activités

• Lab : Masquer les données sensibles avec l’API DLP

Module 11: Surveillance, journalisation, audit et analyse

Sujets

• Centre de commandement de la sécurité
• Surveillance dans le cloud et journalisation dans le cloud
• Journaux d’audit cloud
• Automatisation de la sécurité dans le cloud

Objectifs

• Expliquer et utiliser le Security Command Center.
• Appliquer Cloud Monitoring et Cloud Logging à un projet.
• Appliquer les journaux d’audit Cloud à un projet.
• Identifier les méthodes d’automatisation de la sécurité dans les environnements Google Cloud.

Activités

• Lab : Configurer et utiliser Cloud Monitoring et Cloud Logging
• Lab : Configurer et afficher les journaux d’audit Cloud