Fondements de la sécurité GCP
- Comprendre le modèle de responsabilité partagée en matière de sécurité de GCP.
- Comprendre l’approche de Google Cloud en matière de sécurité.
- Comprendre les types de menaces atténuées par Google et par GCP.
- Définir et comprendre la transparence d’accès et l’approbation d’accès (bêta).
Cloud Identity
- Cloud Identity.
- Synchronisation avec Microsoft Active Directory à l’aide de Google Cloud Directory Sync.
- Utilisation du service géré pour Microsoft Active Directory (bêta).
- Choisir entre l'authentification Google et l'authentification unique basée sur SAML.
- Bonnes pratiques, y compris la configuration DNS et les comptes de super administrateur.
Travaux pratiques
Définir des utilisateurs avec Cloud Identity Console.
Identités, accès et gestion des clés
- Gestionnaire de ressources GCP : projets, dossiers et organisations.
- Rôles GCP IAM, y compris les rôles personnalisés.
- Stratégies IAM de GCP, y compris les stratégies d'organisation.
- Libellés GCP Now.
- Maintenant, GCP recommande.
- Outil de dépannage GCP IAM.
- Journaux d'audit GCP IAM.
- Bonnes pratiques, y compris la séparation des tâches et le moindre privilège, etc.
Travaux pratiques
Configuration de Cloud IAM, y compris les rôles personnalisés et les règles d'organisation.
Configurer un cloud privé virtuel de Google pour l'isolement et la sécurité
- Configuration des pare-feu VPC (règles d’entrée et de sortie).
- Équilibrage de charge et politiques SSL.
- Accès privé à l'API Google.
- Utilisation du proxy SSL.
- Bonnes pratiques pour les réseaux VPC, y compris l'appairage et l'utilisation de VPC partagés.
- Meilleures pratiques de sécurité pour les VPN.
- Considérations de sécurité pour les options d’interconnexion et d’appairage.
- Produits de sécurité disponibles auprès des partenaires.
- Définition d'un périmètre de service, y compris des ponts de périmètre.
- Configuration d'une connectivité privée aux API et services Google.
Travaux pratiques
Configuration des pare-feu VPC.
Sécurisation de Compute Engine : techniques et bonnes pratiques
- Comptes de service Compute Engine, par défaut et définis par le client.
- Rôles IAM pour les machines virtuelles.
- Champs d'application de l'API pour les machines virtuelles.
- Gestion des clés SSH pour les machines virtuelles Linux.
- Gestion des connexions RDP pour les machines virtuelles Windows.
- Contrôles de stratégie de l’organisation : images approuvées, adresse IP publique, désactivation du port série.
- Chiffrement des images de VM avec des clés de chiffrement gérées par le client et fournies par le client.
- Recherche et correction de l’accès public aux VM.
- Meilleures pratiques, notamment l’utilisation d’images personnalisées renforcées, comptes de service personnalisés...
- Chiffrement des disques de VM avec des clés de chiffrement fournies par le client.
- Utilisation de VM blindées pour maintenir l’intégrité des VM.
Travaux pratiques
Configurer, utiliser et auditer des comptes et des étendues de service de VM. Effectuer un chiffrement de disques avec des clés de chiffrement fournies par le client.
Sécurisation des données cloud : techniques et meilleures pratiques
- Cloud Storage et autorisations IAM.
- Cloud Storage et ACLs.
- Audit des données cloud, y compris la recherche et la correction des données accessibles publiquement.
- URL signées de Cloud Storage.
- Signed policy documents.
- Chiffrement des objets Cloud Storage avec des clés de chiffrement gérées et fournies par le client.
- Meilleures pratiques, y compris la suppression de versions archivées d’objets après rotation des clés.
- Vues autorisées par BigQuery.
- Rôles BigQuery IAM.
- Meilleures pratiques, notamment préférer les autorisations IAM aux ACL.
Travaux pratiques
Utiliser des clés de chiffrement fournies par le client avec Cloud Storage. Utiliser des clés de chiffrement gérées par le client avec Cloud Storage et Cloud KMS. Créer une vue autorisée BigQuery.
Sécurisation des applications : techniques et meilleures pratiques
- Types de vulnérabilités de sécurité des applications.
- Protections DoS dans App Engine et les Cloud Functions.
- Cloud Security Scanner.
- Identity Aware Proxy.
Travaux pratiques
Utiliser Cloud Security Scanner pour rechercher des vulnérabilités dans une application App Engine. Configurer Identity Aware Proxy pour protéger un projet.
Sécurisation Kubernetes : techniques et meilleures pratiques
- Autorisation.
- Sécurisation des charges de travail.
- Sécurisation des clusters.
- Journalisation et surveillance.
Protéger contre les attaques Distributed Denial of Service (DDoS)
- Fonctionnement des attaques DDoS.
- Atténuations : GCLB, Cloud CDN, autoscaling, pare-feu VPC ingress et egress , Cloud Armor.
- Types de produits partenaires complémentaires.
Travaux pratiques
Configurer GCLB, CDN, blacklister du trafic avec Cloud Armor.
Protéger contre les vulnérabilités liées au contenu
- Menace : ransomware.
- Atténuations : sauvegardes, IAM, Data Loss Prevention API.
- Menaces : utilisation abusive des données, violations de la vie privée, contenu sensible/restreint/inacceptable.
- Menace: phishing d’identité et Oauth.
- Atténuation : classification du contenu à l’aide des API Cloud ML.
- Numérisation et rédaction de données à l’aide de l’API Data Loss Prevention.
Travaux pratiques
Rédaction de données sensibles avec l’API Data Loss Prevention.
Surveillance, la journalisation, l'audit et le scanning
- Security Command Center.
- Surveillance et journalisation Stackdriver.
- Journaux de flux VPC.
- Journalisation d'audit cloud.
- Déploiement et utilisation de Forseti.
Travaux pratiques
Installer des agents Stackdriver. Configurer et utiliser la surveillance et la journalisation Stackdriver. Afficher et utiliser des journaux de flux VPC dans Stackdriver. Configurer et afficher des journaux d’audit dans Stackdriver, etc.