Schulung

Best-Practices der Cloud Security

Theoretische und praktische Grundlagen der Sicherheit in (Public) Clouds

Auch als interaktive Online-Schulung verfügbar.

Diese Schulung gibt Antworten auf folgende Fragen:

Was ist bei Cloud-Security anders als bei klassischer IT Security?

Warum ist das Zero Trust Paradigma in der Cloud von besonderer Wichtigkeit?

Wie stelle ich das Identity- und Access Management auf sichere Beine?

Wie sorge ich für den Fall der Fälle vor?

Beschreibung

Software- und Infrastrukturentwicklung funktioniert in der Cloud in Teilen anders als im eigenen Rechenzentrum. Das Gleiche gilt für die Absicherung der entwickelten Anwendungen und Infrastruktur – dass die Cloud „von überall aus dem Internet“ erreicht werden kann, ist Segen und Fluch gleichermaßen. Daher betrachtet diese Schulung die verschiedenen Teilgebiete der Cloud aus der Perspektive des Zero Trust Paradigmas. Ein besonderes Augenmerk liegt auf dem Bereich „Identity and Access Management“, aber auch die Domänen Compute, Network und Data werden eingehend bezüglich der Informationssicherheit beleuchtet. Abgerundet wird das Training mit Themengebieten rund um cloud-spezifisches Logging, Monitoring und Alerting, sowie Incidence Preparedness und Response.

In allen Bereichen werden cloud-native Features, deren Stolperschwellen und sich ergebende Angriffsvektoren erklärt, sowie Best Practices zu ihrer Absicherung besprochen. Das Seminar geht dabei sowohl auf Workloads ein, die im sogenannten „Lift and Shift“ Verfahren in die Cloud portiert werden, als auch auf cloud-native Entwicklungen. Das Training ist zuerst immer cloud-agnostisch, also unabhängig von einzelnen Cloud-Providern gehalten. In jedem Themenblock wird nach der generellen Betrachtung aber auch auf die Implementierungen und Besonderheiten bei verschiedenen Cloudprovidern eingegangen.

Demonstrationen und Hands-On Training ermöglichen es den Teilnehmenden, das theoretische Wissen direkt in die Praxis zu übertragen.

Kursinhalt

Grundlagen und Konzepte

  • Begriffe und Definitionen

  • Marktüberblick über Cloud Providers und Services

  • Standard Prozesse und Frameworks

  • Infrastructure as Code + DevOps

Cloud Security Model

  • Schutzziele

  • Zero Trust

  • Service Models und Shared Responsibility

Organisation

  • Ressource Hierarchie

  • Policies

  • User Management

Identity and Access Management

  • Access Control Flows in der Cloud

  • Struktur und Komponenten von Access Control Policies

  • Unterschiedliche Arten von Access Control Policies und Schutzmechanismen

  • Zero Trust mit bedingten Access Policies

  • Cross-Account Access und Cross-Cloud Access

Compute

  • Virtuelle Maschinen

  • Container

  • Function as a Service

Network

  • Software Defined Networking

  • Schutz von Virtualisierten Netzwerken

  • Die Verknüpfung von On-Premise und Cloud-basierten Netzwerken

Data

  • Grundlagen und Unterschiede verschiedener Service Modelle

  • Schlüssel und Passwortmanagement

  • Data Security Lifecycle

Applikation

  • Refresher: Shared Responsibility Model

  • Die Verknüpfung von Applikationen und Features der Clouds

  • Features, die die Sichere Softwareentwicklung in der Cloud unterstützen

  • Deployment Prozess: Pipelines, Supply Chains

Logging, Monitoring und Alerting

  • Standardlogs und On-Demand Logs

  • Applikationslogging

  • Lösungen für Cloud-natives Monitoring und Alerting

  • Anomalieerkennung, Threat Detection / Response

Preparedness, Business Continuity und Disaster Recovery

  • Cloud-native Backup Strategien

  • Incident Playbooks für (Multi-)Cloud Environments

  • Threat Modeling in der Cloud

  • Interne Konfigurationsaudits vs. External Penetration Tests

Top 10 Best Practices

  • Die wichtigsten 10 Takeaways zur sofortigen Überprüfung Ihrer Umgebung

Facts

Zielgruppe

  • DevOps Engineers

  • Administratoren

  • Softwarearchitekten

  • Softwareentwickler

  • Sicherheitsbeauftragte

Dauer

1 bis 3 Tage

Voraussetzungen

Erfahrungen mit der Absicherung von On-Premise-Workloads sind hilfreich

Das Seminar bietet sich auch zur Durchführung in Form eines Workshops an, in dem die individuelle Kundensituation, der Schutzbedarf und spezifische Ansatzpunkte mit eingebracht und lösungsorientiert diskutiert werden.

Unsere Experten bringen aufgrund ihrer langjährigen praktischen Erfahrungen eine hohe Glaubwürdigkeit bei der Darstellung realitätsbezogener Gefahren mit.

Trainer

Unsere Trainer sind aktiv tätige erfahrene Security Consultants

Nehmen Sie Kontakt per E-Mail auf, rufen Sie uns an oder nutzen Sie unser Kontaktformular.

Zurück

DevSecOps: Sicherheit in der CI/CD Pipeline
Weiter

Grundlagenschulung "Durchführung von Penetrationstests"