Inhaltsübersicht
- Seminarprofil
- Lernziele
- Zielgruppe und Voraussetzungen
- Seminarinhalte
- Praxislabor
- Methoden und Arbeitsweise
Seminarprofil
Das Seminar behandelt Schlüsselmanagement, Verschlüsselung und Secret-Schutz als zusammenhängenden Lebenszyklus. Architektur, Rollen, Rotation, Ausfallverhalten, ruhende Daten, Transportverschlüsselung und Zertifikatsmanagement werden praxisnah verbunden.
Lernziele
- Schlüsselarten und Vertrauensanker einer Cloud-Plattform einordnen
- Rollen für Erzeugung, Nutzung, Rotation und Vernichtung trennen
- verschlüsselte Volumes, Backups und Plattformdaten passend absichern
- TLS- und Zertifikatsbeziehungen vollständig dokumentieren
- Secrets ohne Offenlegung in Code, Logs oder Pipeline-Artefakten verwalten
Zielgruppe und Voraussetzungen
Zielgruppe: Plattformadministration, IT-Sicherheit, PKI- und Schlüsselmanagement, Storagebetrieb, Compliance und technische Architektur.
Voraussetzungen: Grundkenntnisse zu Kryptografie, Zertifikaten, OpenStack und Kubernetes. Erfahrung mit privilegierten Zugangsdaten oder KMS-Lösungen ist hilfreich.
Seminarinhalte
Tag 1: Schlüsselarchitektur, Lifecycle und Secrets
Die Themen werden in einer festen Reihenfolge aus Einordnung, technischer Umsetzung, Kontrolle und dokumentierter Prüfung bearbeitet.
Schlüsselmanagement-Architektur
Schlüsselverwaltung trennt Schlüsselmaterial, Richtlinien, Nutzung und Administration von den verschlüsselten Daten.
- Schritt 1 – Schlüsselobjekte erfassen: Master Keys, Volume-Schlüssel, Zertifikatsschlüssel, Signaturschlüssel und Secrets werden klassifiziert.
- Schritt 2 – Vertrauensanker festlegen: Softwarebasierte KMS, HSM oder angebundene Schlüsselplattformen werden nach Schutzbedarf und Verfügbarkeit bewertet.
- Schritt 3 – Zugriffsmodell definieren: Erzeugen, Nutzen, Rotieren, Sichern, Wiederherstellen und Vernichten erhalten getrennte Rollen.
- Schritt 4 – Ausfallverhalten planen: KMS-Ausfall, Netzwerkunterbrechung, Schlüsselverlust und Notfallzugriff werden mit klaren Grenzen beschrieben.
Praxisbezug: Entwurf einer Schlüsselarchitektur für verschlüsselte Volumes und Dienstzertifikate.
Schlüssel-Lifecycle und Rotation
Schlüssel werden von der Erzeugung bis zur nachweisbaren Vernichtung kontrolliert und mit abhängigen Datenbeständen verknüpft.
- Schritt 1 – Erzeugung absichern: Zufallsquelle, Schlüssellänge, Algorithmus, Eigentümer und Zweck werden festgelegt.
- Schritt 2 – Nutzung begrenzen: Zulässige Dienste, Gültigkeitsdauer, Exportierbarkeit und Protokollierung werden durch Richtlinien eingeschränkt.
- Schritt 3 – Rotation durchführen: Neue Schlüssel, parallele Gültigkeit, Umschlüsselung, Funktionstest und Rücknahme des Altmaterials werden geplant.
- Schritt 4 – Vernichtung nachweisen: Abhängigkeiten, Aufbewahrungsfristen, Backups und sichere Löschung werden vor der Vernichtung geprüft.
Praxisbezug: Erstellung eines Rotationsplans für einen Plattformschlüssel mit Rückfall- und Nachweisschritten.
Secrets und privilegierte Zugangsdaten
Secrets werden weder in Quellcode noch in ungeschützten Konfigurationen abgelegt und erhalten einen kontrollierten Lebenszyklus.
- Schritt 1 – Secrets identifizieren: Passwörter, Tokens, private Schlüssel, Application Credentials und Recovery-Codes werden vollständig erfasst.
- Schritt 2 – Ablage absichern: Geeignete Secret Stores, Verschlüsselung, Zugriffsrollen und Auditierung werden festgelegt.
- Schritt 3 – Ausgabe minimieren: Logs, Shell-Historien, Tickets, Backups und Pipeline-Artefakte werden auf unbeabsichtigte Offenlegung geprüft.
- Schritt 4 – Rotation und Widerruf planen: Kompromittierung, Personalwechsel, Ablauf und Notfall führen zu definierten Austauschverfahren.
Praxisbezug: Überprüfung eines Beispiel-Deployments auf unsichere Secrets und Entwicklung eines Bereinigungsplans.
Tag 2: Ruhende Daten, Transportwege und Zertifikate
Die Themen werden in einer festen Reihenfolge aus Einordnung, technischer Umsetzung, Kontrolle und dokumentierter Prüfung bearbeitet.
Verschlüsselung ruhender Daten
Verschlüsselung ruhender Daten wird für Volumes, Backups, Objektablagen, Datenbanken und administrative Endgeräte differenziert umgesetzt.
- Schritt 1 – Datenorte erfassen: Produktivdaten, Replikate, Snapshots, Backups, temporäre Dateien und Logs werden berücksichtigt.
- Schritt 2 – Verschlüsselungsebene wählen: Datenträger-, Backend-, Volume- oder Anwendungsebene wird nach Bedrohungsmodell ausgewählt.
- Schritt 3 – Schlüsselzuordnung prüfen: Mandantentrennung, Rotation, Backup und Wiederherstellung des Schlüsselmaterials werden sichergestellt.
- Schritt 4 – Wirksamkeit testen: Unberechtigter Direktzugriff, Restore und Schlüsselwechsel werden kontrolliert geprüft.
Praxisbezug: Bewertung mehrerer Datenklassen und Auswahl einer passenden Verschlüsselungsebene.
Verschlüsselung von Kommunikationswegen
TLS und geschützte Tunnel sichern API-, Management-, Storage- und Mandantenverkehr gegen Mithören und Manipulation.
- Schritt 1 – Verbindungen inventarisieren: Externe und interne APIs, Datenbanken, Message Queue, Storage, Monitoring und Verwaltungszugriffe werden erfasst.
- Schritt 2 – Zertifikatsmodell wählen: Interne PKI, Zertifikatsprofile, Namen, Laufzeiten und Vertrauensketten werden definiert.
- Schritt 3 – Sichere Parameter setzen: Protokollversionen, Cipher, Clientauthentifizierung und Zertifikatsprüfung werden verbindlich konfiguriert.
- Schritt 4 – Ablauf und Fehler testen: Erneuerung, abgelaufenes Zertifikat, falsche Vertrauenskette und Namensfehler werden kontrolliert simuliert.
Praxisbezug: Erstellung einer Zertifikats- und Kommunikationsmatrix für zentrale Plattformdienste.
Konfiguration, Secrets und Zertifikate
Konfigurationsdaten, Geheimnisse und Zertifikate werden getrennt, versioniert und mit minimalem Zugriff verwaltet.
- Schritt 1 – Daten klassifizieren: Öffentliche Konfiguration, vertrauliche Parameter, Passwörter, Schlüssel und Zertifikate werden eindeutig unterschieden.
- Schritt 2 – Ablage festlegen: ConfigMaps, Kubernetes-Secrets, externe Schlüsselverwaltung und verschlüsselte Repositories werden nach Schutzbedarf gewählt.
- Schritt 3 – Rotation planen: Gültigkeit, Erneuerung, Abhängigkeiten, Rollout und Rückfall werden für Zertifikate und Zugangsdaten festgelegt.
- Schritt 4 – Verwendung prüfen: Mounts, Umgebungsvariablen, Dateirechte und unbeabsichtigte Ausgabe in Logs werden kontrolliert.
Praxisbezug: Planung einer Zertifikatsrotation mit betroffenen Diensten, Reihenfolge und Prüfschritten.
Praxislabor
- Entwurf einer Schlüsselarchitektur für verschlüsselte Volumes und Dienstzertifikate.
- Erstellung eines Rotationsplans für einen Plattformschlüssel mit Rückfall- und Nachweisschritten.
- Überprüfung eines Beispiel-Deployments auf unsichere Secrets und Entwicklung eines Bereinigungsplans.
- Bewertung mehrerer Datenklassen und Auswahl einer passenden Verschlüsselungsebene.
- Erstellung einer Zertifikats- und Kommunikationsmatrix für zentrale Plattformdienste.
- Planung einer Zertifikatsrotation mit betroffenen Diensten, Reihenfolge und Prüfschritten.
Methoden und Arbeitsweise
Fachliche Einordnung, strukturierte Demonstrationen, geführte Systemübungen, technische Prüflisten und dokumentierte Störungsszenarien wechseln sich ab. Jeder Arbeitsschritt wird mit Ausgangszustand, erwarteter Wirkung, Prüfkriterium und Rückfallmöglichkeit beschrieben. Die Übungen verwenden realistische Rollen- und Fehlerbilder; produktive Zugangsdaten oder externe Verbindungen sind nicht erforderlich.
Seminar und Anbieter vergleichen
Öffentliche Schulung
Diese Seminarform ist auch als Präsenzseminar bekannt und bedeutet, dass Sie in unseren Räumlichkeiten von einem Trainer vor Ort geschult werden. Jeder Teilnehmer hat einen Arbeitsplatz mit virtueller Schulungsumgebung. Öffentliche Seminare werden in deutscher Sprache durchgeführt, die Unterlagen sind teilweise in Englisch.
Inhausschulung
Diese Seminarform bietet sich für Unternehmen an, welche gleiche mehrere Teilnehmer gleichzeitig schulen möchten. Der Trainer kommt zu Ihnen ins Haus und unterrichtet in Ihren Räumlichkeiten. Diese Seminare können in Deutsch - bei Firmenseminaren ist auch Englisch möglich gebucht werden.
Webinar
Diese Art der Schulung ist geeignet, wenn Sie die Präsenz eines Trainers nicht benötigen, nicht Reisen können und über das Internet an einer Schulung teilnehmen möchten.
Fachbereichsleitung und Trainingskoordination
-

Michael Adler
Telefon: + 41 (800) 225127
E-Mail: michael.adler@seminar-experts.ch -

Stefano Conti
Telefon: + 41 (800) 225127
E-Mail: stefano.conti@seminar-experts.ch
Seminardetails
| Dauer: | 2 Tage ca. 6 h/Tag, Beginn 1. Tag: 10:00 Uhr, weitere Tage 09:00 Uhr |
| Preis: |
Öffentlich und Webinar: CHF 1.198 zzgl. MwSt. Inhaus: CHF 3.400 zzgl. MwSt. |
| Teilnehmeranzahl: | min. 2 - max. 8 |
| Teilnehmer: | Plattformadministration, IT-Sicherheit, PKI- und Schlüsselmanagement, Storagebetrieb, Compliance und technische Architektur. |
| Voraussetzungen: | Grundkenntnisse zu Kryptografie, Zertifikaten, OpenStack und Kubernetes. Erfahrung mit privilegierten Zugangsdaten oder KMS-Lösungen ist hilfreich. |
| Standorte: | Basel, Bern, Luzern, Sankt Gallen, Winterthur, Zürich |
| Methoden: | Fachliche Einordnung, Demonstrationen, praktische Übungen am System, Prüflisten und dokumentierte Störungsszenarien |
| Seminararten: | Öffentlich, Webinar, Inhaus, Workshop - Alle Seminare mit Trainer vor Ort, Webinar nur wenn ausdrücklich gewünscht |
| Durchführungsgarantie: | ja, ab 2 Teilnehmern |
| Sprache: | Deutsch - bei Firmenseminaren ist auch Englisch möglich |
| Seminarunterlage: | Dokumentation auf Datenträger oder als Download |
| Teilnahmezertifikat: | ja, selbstverständlich |
| Verpflegung: | Kalt- / Warmgetränke, Mittagessen (wahlweise vegetarisch) |
| Support: | 3 Anrufe im Seminarpreis enthalten |
| Barrierefreier Zugang: | an den meisten Standorten verfügbar |
| Weitere Informationen unter +41 (800) 225127 |
Seminartermine
Die Ergebnissliste kann durch Anklicken der Überschrift neu sortiert werden.
