Security in Google Cloud Platform (GO-SGCP-3D)

PARTE I: GESTIÓN DE LA SEGURIDAD EN GOOGLE CLOUD

Módulo 1: Fundamentos de seguridad GCP

  • Comprender el modelo de responsabilidad de seguridad compartida de GCP
  • Comprender el enfoque de seguridad de Google Cloud
  • Comprender los tipos de amenazas mitigadas por Google y por GCP
  • Definir y comprender la transparencia de acceso y la aprobación de acceso (beta)

Módulo 2: Identidad en la nube

  • Identidad de la nube
  • Sincronización con Microsoft Active Directory usando Google Cloud Directory Sync
  • Uso del servicio administrado para Microsoft Active Directory (beta)
  • Elegir entre la autenticación de Google y el SSO basado en SAML
  • Mejores prácticas, incluida la configuración de DNS, cuentas de superadministrador

Módulo 3: Identidad, acceso y gestión de claves

  • GCP Resource Manager: proyectos, carpetas y organizaciones.
  • Roles GCP IAM, incluidos roles personalizados
  • Políticas de GCP IAM, incluidas las políticas de la organización
  • Etiquetas GCP IAM
  • GCP IAM Recomender
  • Solucionador de problemas de GCP IAM
  • Registros de auditoría de GCP IAM
  • Las mejores prácticas, incluida la separación de funciones y el menor privilegio, el uso de grupos de Google en las políticas y el uso de roles primitivos

Módulo 4: Configuración de Google Virtual Private Cloud para aislamiento y seguridad

  • Configuración de firewalls VPC (reglas de entrada y salida)
  • Balanceo de carga y políticas SSL
  • Acceso privado a la API de Google
  • Uso de proxy SSL
  • Mejores prácticas para redes VPC, incluido el uso compartido y VPC compartido, uso correcto de subredes
  • Mejores prácticas de seguridad para VPN
  • Consideraciones de seguridad para las opciones de interconexión y emparejamiento
  • Productos de seguridad disponibles de partners
  • Definir un perímetro de servicio, incluidos los puentes perimetrales.
  • Configuración de conectividad privada a servicios y API de Google


PARTE II: LAS MEJORES PRÁCTICAS DE SEGURIDAD EN GOOGLE CLOUD

Módulo 5: Asegurar el motor de cómputo - Técnicas y mejores prácticas

  • Cuentas de servicio de Compute Engine, predeterminadas y definidas por el cliente
  • Roles de IAM para máquinas virtuales
  • Ámbitos de API para máquinas virtuales
  • Administrar claves SSH para máquinas virtuales Linux
  • Administrar inicios de sesión RDP para máquinas virtuales de Windows
  • Control de políticas de la organización: Imágenes confiables, dirección IP pública, desactivación del puerto serie
  • Cifrado de imágenes de VM con claves de cifrado administradas por el cliente y con claves de cifrado proporcionadas por el cliente
  • Encontrar y remediar el acceso público a máquinas virtuales
  • Mejores prácticas, incluido el uso de imágenes personalizadas reforzadas, cuentas de servicio personalizadas (no la cuenta de servicio predeterminada), ámbitos API personalizados y el uso de credenciales predeterminadas de la aplicación en lugar de claves administradas por el usuario
  • Cifrado de discos VM con claves de cifrado proporcionadas por el cliente
  • Uso de máquinas virtuales blindadas para mantener la integridad de las máquinas virtuales 
  • Cloud HSM

Módulo 6: Protección de datos en la nube - Técnicas y mejores prácticas

  • Almacenamiento en la nube y permisos IAM
  • Almacenamiento en la nube y ACL
  • Auditoría de datos en la nube, incluida la búsqueda y reparación de datos de acceso público
  • URL de almacenamiento en la nube firmadas
  • Documentos de política firmados
  • Cifrar objetos de Cloud Storage con claves de cifrado administradas por el cliente y con claves de cifrado proporcionadas por el cliente
  • Mejores prácticas, incluida la eliminación de versiones archivadas de objetos después de la rotación de teclas
  • Vistas autorizadas de BigQuery
  • Roles BigQuery IAM
  • Mejores prácticas, incluida la preferencia de permisos de IAM sobre ACL

Módulo 7: Protección de aplicaciones - Técnicas y mejores prácticas

  • Secret Manager
  • Tipos de vulnerabilidades de seguridad de la aplicación
  • Protecciones DoS en App Engine y funciones en la nube
  • Escáner de seguridad en la nube
  • Proxy consciente de identidad

Módulo 8: Asegurar Kubernetes - Técnicas y mejores prácticas

  • Introducción a Kubernetes/GKE
  • Autorización
  • Asegurar cargas de trabajo
  • Asegurando racimos
  • Registro y Monitoreo


PARTE III: MITIGAR LAS VULNERABILIDADES EN LA NUBE DE GOOGLE

Módulo 9: Protección contra ataques distribuidos de denegación de servicio

  • Cómo funcionan los ataques DDoS
  • Mitigaciones: GCLB, Cloud CDN, autoescalado, firewall de entrada y salida de VPC, Cloud Armor.
  • Tipos de productos complementarios asociados

Módulo 10: Protección contra vulnerabilidades relacionadas con el contenido.

  • Amenaza: Ransomware
  • Mitigaciones: copias de seguridad, IAM, API de prevención de pérdida de datos
  • Amenazas: uso indebido de datos, violaciones de privacidad, contenido confidencial / restringido / inaceptable
  • Amenaza: Identidad y phishing de Oauth
  • Mitigaciones: Clasificación de contenido mediante API de Cloud ML; escanear y redactar datos utilizando la API de prevención de pérdida de datos

Módulo 11: Monitoreo, registro, auditoría y escaneo

  • Centro de comando de seguridad
  • Monitoreo y registro de Stackdriver
  • Registros de flujo de VPC
  • Registro de auditoría en la nube
  • Implementación y uso de Forseti