Security in Google Cloud Platform

PARTE I: GESTIÓN DE LA SEGURIDAD EN GOOGLE CLOUD

Módulo 1: Fundamentos de seguridad GCP

• Comprender el modelo de responsabilidad de seguridad compartida de GCP
• Comprender el enfoque de seguridad de Google Cloud
• Comprender los tipos de amenazas mitigadas por Google y por GCP
• Definir y comprender la transparencia de acceso y la aprobación de acceso (beta)

Módulo 2: Identidad en la nube

• Identidad de la nube
• Sincronización con Microsoft Active Directory usando Google Cloud Directory Sync
• Uso del servicio administrado para Microsoft Active Directory (beta)
• Elegir entre la autenticación de Google y el SSO basado en SAML
• Mejores prácticas, incluida la configuración de DNS, cuentas de superadministrador
• Laboratorio: Definición de usuarios con Cloud Identity Console

Módulo 3: Identidad, acceso y gestión de claves

• GCP Resource Manager: proyectos, carpetas y organizaciones.
• Roles GCP IAM, incluidos roles personalizados
• Políticas de GCP IAM, incluidas las políticas de la organización
• Etiquetas GCP IAM
• GCP IAM Recomender
• Solucionador de problemas de GCP IAM
• Registros de auditoría de GCP IAM
• Las mejores prácticas, incluida la separación de funciones y el menor privilegio, el uso de grupos de Google en las políticas y el uso de roles primitivos
• Laboratorios: Configuración de Cloud IAM, incluidos roles personalizados y políticas de organización

Módulo 4: Configuración de Google Virtual Private Cloud para aislamiento y seguridad

• Configuración de firewalls VPC (reglas de entrada y salida)
• Balanceo de carga y políticas SSL
• Acceso privado a la API de Google
• Uso de proxy SSL
• Mejores prácticas para redes VPC, incluido el uso compartido y VPC compartido, uso correcto de subredes
• Mejores prácticas de seguridad para VPN
• Consideraciones de seguridad para las opciones de interconexión y emparejamiento
• Productos de seguridad disponibles de partners
• Definir un perímetro de servicio, incluidos los puentes perimetrales.
• Configuración de conectividad privada a servicios y API de Google
• Laboratorio: Configuración de firewalls VPC
• Laboratorio: Controles de Servicio de VPC

PARTE II: LAS MEJORES PRÁCTICAS DE SEGURIDAD EN GOOGLE CLOUD

Módulo 5: Asegurar el motor de cómputo - Técnicas y mejores prácticas

• Cuentas de servicio de Compute Engine, predeterminadas y definidas por el cliente
• Roles de IAM para máquinas virtuales
• Ámbitos de API para máquinas virtuales
• Administrar claves SSH para máquinas virtuales Linux
• Administrar inicios de sesión RDP para máquinas virtuales de Windows
• Control de políticas de la organización: Imágenes confiables, dirección IP pública, desactivación del puerto serie
• Cifrado de imágenes de VM con claves de cifrado administradas por el cliente y con claves de cifrado proporcionadas por el cliente
• Encontrar y remediar el acceso público a máquinas virtuales
• Mejores prácticas, incluido el uso de imágenes personalizadas reforzadas, cuentas de servicio personalizadas (no la cuenta de servicio predeterminada), ámbitos API personalizados y el uso de credenciales predeterminadas de la aplicación en lugar de claves administradas por el usuario
• Laboratorio: Configuración, uso y auditoría de cuentas y ámbitos de servicio de VM
• Cifrado de discos VM con claves de cifrado proporcionadas por el cliente
• Laboratorio: Cifrado de discos con claves de cifrado proporcionadas por el cliente
• Uso de máquinas virtuales blindadas para mantener la integridad de las máquinas virtuales 
• Cloud HSM
• Laboratorio: Uso y verificación de claves en Cloud HSM (demo)

Módulo 6: Protección de datos en la nube - Técnicas y mejores prácticas

• Almacenamiento en la nube y permisos IAM
• Almacenamiento en la nube y ACL
• Auditoría de datos en la nube, incluida la búsqueda y reparación de datos de acceso público
• URL de almacenamiento en la nube firmadas
• Documentos de política firmados
• Cifrar objetos de Cloud Storage con claves de cifrado administradas por el cliente y con claves de cifrado proporcionadas por el cliente
• Mejores prácticas, incluida la eliminación de versiones archivadas de objetos después de la rotación de teclas
• Laboratorio: Uso de claves de cifrado proporcionadas por el cliente con Cloud Storage
• Laboratorio: Uso de claves de cifrado administradas por el cliente con Cloud Storage y Cloud KMS
• Vistas autorizadas de BigQuery
• Roles BigQuery IAM
• Mejores prácticas, incluida la preferencia de permisos de IAM sobre ACL
• Laboratorio: Creación de una vista autorizada BigQuery

Módulo 7: Protección de aplicaciones - Técnicas y mejores prácticas

• Secret Manager
• Laboratorio: Configuración y uso de credenciales con Secret Manager
• Tipos de vulnerabilidades de seguridad de la aplicación
• Protecciones DoS en App Engine y funciones en la nube
• Escáner de seguridad en la nube
• Laboratorio: Uso de Cloud Security Scanner para encontrar vulnerabilidades en una aplicación de App Engine
• Proxy consciente de identidad
• Laboratorio: Configuración de Proxy Aware de identidad para proteger un proyecto

Módulo 8: Asegurar Kubernetes - Técnicas y mejores prácticas

• Introducción a Kubernetes/GKE
• Autorización
• Asegurar cargas de trabajo
• Asegurando racimos
• Registro y Monitoreo

PARTE III: MITIGAR LAS VULNERABILIDADES EN LA NUBE DE GOOGLE

Módulo 9: Protección contra ataques distribuidos de denegación de servicio

• Cómo funcionan los ataques DDoS
• Mitigaciones: GCLB, Cloud CDN, autoescalado, firewall de entrada y salida de VPC, Cloud Armor (incluido sus reglas de lenguaje)
• Tipos de productos complementarios asociados
• Laboratorio: Configuración de GCLB, CDN, listas negras de tráfico con Cloud Armor

Módulo 10: Protección contra vulnerabilidades relacionadas con el contenido.

• Amenaza: Ransomware
• Mitigaciones: copias de seguridad, IAM, API de prevención de pérdida de datos
• Amenazas: uso indebido de datos, violaciones de privacidad, contenido confidencial / restringido / inaceptable
• Amenaza: Identidad y phishing de Oauth
• Mitigaciones: Clasificación de contenido mediante API de Cloud ML; escanear y redactar datos utilizando la API de prevención de pérdida de datos
• Laboratorio: Redacción de datos confidenciales con API de prevención de pérdida de datos

Módulo 11: Monitoreo, registro, auditoría y escaneo

• Centro de comando de seguridad
• Laboratorio: Utilización del centro de comando de seguridad (demo)
• Monitoreo y registro de Stackdriver
• Laboratorio: Instalación de Cloud Logging y monitorización de alertas
• Laboratorio: Configuración y uso de Cloud Logging y monitorización
• Registros de flujo de VPC
• Laboratorio: Visualización y uso de registros de flujo VPC y Cloud Logging
• Registro de auditoría en la nube
• Laboratorio: Configuración y visualización de registros de auditoría en la nube
• Implementación y uso de Forseti
• Laboratorio: Inventario de una implementación con Forseti Inventory (demo)
• Laboratorio: Escaneo de una implementación con Forseti Scanner (demo)