Seminar / Training
Praxisorientierte Einordnung: Sicherheit entsteht nicht durch eine einzelne Option. Host, Daemon, Identität, Autorisierung, Projekt, Instanz, Gerät, Netzwerk und Storage bilden gemeinsame Schutzschichten. Jede Schicht wird mit einem konkreten Missbrauchsszenario geprüft.
Inhaltsübersicht
- Zielsetzung
- Zielgruppe und Voraussetzungen
- Seminarinhalte
- Praxisworkshop
- Typische Einsatzszenarien
Zielsetzung
Entwurf und Umsetzung einer belastbaren Incus-Sicherheitsbaseline. Teilnehmende können Zugriffe absichern, Rechte begrenzen, riskante Funktionen kontrollieren und Sicherheitsereignisse nachvollziehbar auswerten.
Zielgruppe und Voraussetzungen
Zielgruppe: Incus-Administratoren, Security Engineers, Plattformarchitekten, Auditoren und technische Verantwortliche.
Vorkenntnisse: Gute Incus- und Linux-Administrationskenntnisse sowie Grundlagen zu TLS, Identitätsmanagement, Netzwerkfirewalls und Linux-Sicherheitsmechanismen.
Seminarinhalte
1. Bedrohungsmodell und Hosthärtung
- Schritt 1: Schutzgüter, Angreiferrollen, Vertrauensgrenzen und administrative Wirkungskreise für die Plattform erfassen.
- Schritt 2: Hostzugriff, Paketquellen, Kernel, Zeitbasis, Firewall und Dateirechte in eine Baseline überführen.
- Schritt 3: Lokale Gruppenmitgliedschaft als weitreichenden administrativen Zugriff bewerten und entsprechend begrenzen.
2. Container- und VM-Isolation
- Schritt 1: Unprivilegierte Container, User Namespaces, AppArmor oder SELinux, Seccomp und Capability-Begrenzung einordnen.
- Schritt 2: Privilegierte Container, Nesting, Kernelinterception und Gast-API nur nach dokumentierter Risikoabwägung freigeben.
- Schritt 3: VMs, IOMMU, PCI-, GPU- und USB-Passthrough hinsichtlich Hostangriffsfläche bewerten.
3. Authentifizierung und Zertifikate
- Schritt 1: TLS-Clientzertifikate, Join-Tokens, Zertifikatserneuerung und Widerruf in einen Lebenszyklus überführen.
- Schritt 2: OIDC mit Issuer, Client, Audience, Claims und erlaubten Quellnetzen konfigurieren.
- Schritt 3: Serverzertifikate, ACME und vertrauenswürdige Proxys passend zur Netzwerkarchitektur absichern.
4. Feingranulare Autorisierung
- Schritt 1: Authentifizierung und Autorisierung klar trennen und Standardzugriff ohne Rechtebegrenzung vermeiden.
- Schritt 2: Rollen und Beziehungen in einer externen feingranularen Autorisierung modellieren oder Scriptlet-Regeln definieren.
- Schritt 3: Wirksame Zugriffe auf Projekt und Instanz prüfen und unerwartete Berechtigungsvererbung erkennen.
5. Projektrestriktionen und Ressourcenmissbrauch
- Schritt 1: Quotas und Limits gegen Ressourcenerschöpfung einsetzen.
- Schritt 2: Geräte, Netzwerke, Subnetze, Storage-Pools, Clustergruppen, Snapshots und Backups gezielt beschränken.
- Schritt 3: Profile und lokale Überschreibungen auf Möglichkeiten zur Umgehung von Restriktionen testen.
6. Netzwerkschutz, Audit und Reaktion
- Schritt 1: Bridge- oder OVN-ACLs mit Default-Deny, Address Sets und Logging aufbauen.
- Schritt 2: Logs, Events, Warnungen und Autorisierungsentscheidungen für Nachvollziehbarkeit zentral erfassen.
- Schritt 3: Zertifikat kompromittieren, Zugriff sperren, Auswirkungen prüfen und kontrollierte Wiederfreigabe durchführen.
Praxisworkshop
- Erstellung einer Sicherheitsbaseline mit Host-, Server-, Projekt-, Instanz- und Netzwerkmaßnahmen.
- Einrichtung von OIDC und eingeschränkter Autorisierung für zwei Betriebsrollen.
- Angriffssimulation mit zu weitreichendem Geräte- oder Projektzugriff und anschließender Härtung.
Typische Einsatzszenarien
- Mandantenfähige interne oder externe Plattformen.
- Regulierte Umgebungen mit Nachweis-, Audit- und Berechtigungsanforderungen.
- Delegierter Plattformzugriff für Entwickler, Betrieb und Support.
Seminar und Anbieter vergleichen
Öffentliche Schulung
Diese Seminarform ist auch als Präsenzseminar bekannt und bedeutet, dass Sie in unseren Räumlichkeiten von einem Trainer vor Ort geschult werden. Jeder Teilnehmer hat einen Arbeitsplatz mit virtueller Schulungsumgebung. Öffentliche Seminare werden in deutscher Sprache durchgeführt, die Unterlagen sind teilweise in Englisch.
Inhausschulung
Diese Seminarform bietet sich für Unternehmen an, welche gleiche mehrere Teilnehmer gleichzeitig schulen möchten. Der Trainer kommt zu Ihnen ins Haus und unterrichtet in Ihren Räumlichkeiten. Diese Seminare können in Deutsch - bei Firmenseminaren ist auch Englisch möglich gebucht werden.
Webinar
Diese Art der Schulung ist geeignet, wenn Sie die Präsenz eines Trainers nicht benötigen, nicht Reisen können und über das Internet an einer Schulung teilnehmen möchten.
Fachbereichsleitung / Trainingsleitung / Ansprechpartner
-

Michael Adler
Telefon: + 41 (800) 225127
E-Mail: michael.adler@seminar-experts.ch -

Stefano Conti
Telefon: + 41 (800) 225127
E-Mail: stefano.conti@seminar-experts.ch
Seminardetails
| Dauer: | 3 Tage ca. 6 h/Tag, Beginn 1. Tag: 10:00 Uhr, weitere Tage 09:00 Uhr |
| Preis: |
Öffentlich und Webinar: CHF 1.797 zzgl. MwSt. Inhaus: CHF 5.100 zzgl. MwSt. |
| Teilnehmeranzahl: | min. 2 - max. 8 |
| Teilnehmer: | Incus-Administratoren, Security Engineers, Plattformarchitekten, Auditoren und technische Verantwortliche. |
| Voraussetzungen: | Gute Incus- und Linux-Administrationskenntnisse sowie Grundlagen zu TLS, Identitätsmanagement, Netzwerkfirewalls und Linux-Sicherheitsmechanismen. |
| Standorte: | Basel, Bern, Luzern, Sankt Gallen, Winterthur, Zürich |
| Methoden: | Vortrag, Demonstrationen, Schritt-für-Schritt-Anleitungen und praktische Übungen am System |
| Seminararten: | Öffentlich, Webinar, Inhouse, Workshop - alle Seminare mit Trainer vor Ort, Webinar nur wenn ausdrücklich gewünscht |
| Durchführungsgarantie: | ja, ab 2 Teilnehmern |
| Sprache: | Deutsch - bei Firmenseminaren ist auch Englisch möglich |
| Seminarunterlage: | Dokumentation auf Datenträger oder als Download |
| Teilnahmezertifikat: | ja, selbstverständlich |
| Verpflegung: | Kalt- / Warmgetränke, Mittagessen (wahlweise vegetarisch) |
| Support: | 3 Anrufe im Seminarpreis enthalten |
| Barrierefreier Zugang: | an den meisten Standorten verfügbar |
| Weitere Informationen unter +41 (800) 225127 |
Seminartermine
Die Ergebnissliste kann durch Anklicken der Überschrift neu sortiert werden.
