Inhaltsübersicht
- Seminarprofil
- Lernziele
- Zielgruppe und Voraussetzungen
- Seminarinhalte
- Praxislabor
- Methoden und Arbeitsweise
Seminarprofil
Das Seminar behandelt Keystone, Domänen, Projekte, Gruppen, Rollen und Quoten als zusammenhängendes Governance-Modell. Least Privilege, Rezertifizierung, Notfallkonten und sicherer Umgang mit privilegierten Zugangsdaten bilden den betrieblichen Schwerpunkt.
Lernziele
- Domänen, Projekte, Gruppen und Rollen konsistent modellieren
- Quoten und Mandantengrenzen an organisatorische Strukturen koppeln
- Least-Privilege-Rollen mit Positiv- und Negativtests prüfen
- Berechtigungen regelmäßig rezertifizieren und verwaiste Konten erkennen
- Notfallkonten, Tokens und privilegierte Secrets kontrolliert verwalten
Zielgruppe und Voraussetzungen
Zielgruppe: OpenStack-Administration, Identity and Access Management, IT-Sicherheit, Compliance, Service Management und Mandantenadministration.
Voraussetzungen: OpenStack-Grundkenntnisse. Erfahrung mit Verzeichnisdiensten, Rollenmodellen oder Berechtigungsprozessen ist hilfreich.
Seminarinhalte
Tag 1: Keystone, Projekte und organisatorische Strukturen
Die Themen werden in einer festen Reihenfolge aus Einordnung, technischer Umsetzung, Kontrolle und dokumentierter Prüfung bearbeitet.
Keystone-Grundlagen und Servicekatalog
Keystone stellt Identitäten, Projekte, Rollen, Tokens und den Servicekatalog für die übrigen OpenStack-Dienste bereit.
- Schritt 1 – Identitätsobjekte ordnen: Domänen, Benutzer, Gruppen, Projekte und Rollen werden mit eindeutiger Verantwortlichkeit modelliert.
- Schritt 2 – Rollenzuweisungen prüfen: Direkte und gruppenbasierte Zuweisungen werden nach Geltungsbereich und Vererbung ausgewertet.
- Schritt 3 – Tokenfluss nachvollziehen: Authentifizierung, Tokeninhalt, Gültigkeitsdauer und Verwendung an Service-Endpunkten werden analysiert.
- Schritt 4 – Servicekatalog kontrollieren: Regionen, Services, Endpunkte und Schnittstellentypen werden auf Vollständigkeit und korrekte Zieladressen geprüft.
Praxisbezug: Aufbau eines kleinen Identitätsmodells und Prüfung der daraus resultierenden Token- und Kataloginformationen.
Projekte, Quoten und Mandantentrennung
Projekte und Quoten bilden die organisatorische und ressourcenbezogene Grenze zwischen Nutzergruppen und Workloads.
- Schritt 1 – Projektstruktur planen: Organisationseinheiten, Umgebungen und Schutzklassen werden in ein nachvollziehbares Projektmodell übersetzt.
- Schritt 2 – Rollen zuweisen: Administrative und nutzende Rollen werden nach Minimalprinzip vergeben und von Plattformrollen getrennt.
- Schritt 3 – Quoten dimensionieren: Grenzen für Instanzen, Kerne, RAM, Volumes, Floating IPs und weitere Ressourcen werden aus Bedarf und Reserve abgeleitet.
- Schritt 4 – Verbrauch überwachen: Auslastung, Quotenengpässe und außergewöhnliche Verbrauchsmuster werden regelmäßig ausgewertet.
Praxisbezug: Anlage eines Mandantenmodells mit getrennten Projekten für Entwicklung, Test und Produktion.
Domänen, Gruppen und externe Identitätsquellen
Komplexere Organisationsstrukturen werden mit Domänen, Gruppen und gegebenenfalls angebundenen Identitätsquellen abgebildet.
- Schritt 1 – Namensräume trennen: Interne Dienste, lokale Administratoren und externe Benutzerbestände werden in getrennten Domänen organisiert.
- Schritt 2 – Gruppenmodell entwickeln: Fachrollen werden auf Gruppen abgebildet, um Einzelzuweisungen zu reduzieren und Entzug nachvollziehbar zu machen.
- Schritt 3 – Anbindung planen: LDAP- oder föderierte Identitätsquellen werden hinsichtlich Vertrauensstellung, Attributabbildung und Ausfallszenarien bewertet.
- Schritt 4 – Notfallzugang sichern: Lokale Break-Glass-Konten werden getrennt verwahrt, überwacht und regelmäßig getestet.
Praxisbezug: Entwurf einer Domänen- und Gruppenstruktur mit getrenntem Notfallzugang.
Tag 2: Least Privilege, Rezertifizierung und Secrets
Die Themen werden in einer festen Reihenfolge aus Einordnung, technischer Umsetzung, Kontrolle und dokumentierter Prüfung bearbeitet.
Rollenmodell und Least Privilege
Berechtigungen werden auf notwendige Tätigkeiten begrenzt und über technische sowie organisatorische Kontrollen abgesichert.
- Schritt 1 – Tätigkeiten erfassen: Routinebetrieb, Benutzerverwaltung, Netzwerk, Storage, Audit und Störungsbehebung werden in einzelne Aufgaben zerlegt.
- Schritt 2 – Rollen zuschneiden: Aufgaben werden ohne unnötige Überschneidung zu Rollen gebündelt; privilegierte Funktionen bleiben separat.
- Schritt 3 – Zuweisung genehmigen: Beantragung, fachliche Freigabe, technische Umsetzung, Befristung und Rezertifizierung werden als Prozess definiert.
- Schritt 4 – Wirksamkeit prüfen: Positiv- und Negativtests belegen, dass erforderliche Aktionen funktionieren und unzulässige Aktionen blockiert bleiben.
Praxisbezug: Erstellung einer Rollenmatrix für Plattformadministration, Netzwerkbetrieb, Storagebetrieb, Audit und Mandantennutzung.
Identitätsprüfung und Rezertifizierung
Kontinuierliche Prüfung verhindert veraltete Konten, überhöhte Rechte und nicht nachvollziehbare privilegierte Zugriffe.
- Schritt 1 – Bestand exportieren: Benutzer, Gruppen, Rollen, Projektbindungen, Servicekonten und letzte Aktivität werden in einen prüfbaren Datenbestand überführt.
- Schritt 2 – Abweichungen erkennen: Verwaiste Konten, direkte Sonderrechte, dauerhafte Notfallkonten und unklare Eigentümer werden markiert.
- Schritt 3 – Rezertifizierung durchführen: Verantwortliche bestätigen Notwendigkeit, Umfang und Laufzeit der Rechte; nicht bestätigte Zuweisungen werden entzogen.
- Schritt 4 – Nachweis sichern: Prüfumfang, Entscheidungen, Ausnahmen und technische Umsetzung werden revisionsfest dokumentiert.
Praxisbezug: Auswertung einer Beispiel-Berechtigungsliste mit Kennzeichnung von Rezertifizierungsbedarf.
Secrets und privilegierte Zugangsdaten
Secrets werden weder in Quellcode noch in ungeschützten Konfigurationen abgelegt und erhalten einen kontrollierten Lebenszyklus.
- Schritt 1 – Secrets identifizieren: Passwörter, Tokens, private Schlüssel, Application Credentials und Recovery-Codes werden vollständig erfasst.
- Schritt 2 – Ablage absichern: Geeignete Secret Stores, Verschlüsselung, Zugriffsrollen und Auditierung werden festgelegt.
- Schritt 3 – Ausgabe minimieren: Logs, Shell-Historien, Tickets, Backups und Pipeline-Artefakte werden auf unbeabsichtigte Offenlegung geprüft.
- Schritt 4 – Rotation und Widerruf planen: Kompromittierung, Personalwechsel, Ablauf und Notfall führen zu definierten Austauschverfahren.
Praxisbezug: Überprüfung eines Beispiel-Deployments auf unsichere Secrets und Entwicklung eines Bereinigungsplans.
Praxislabor
- Aufbau eines kleinen Identitätsmodells und Prüfung der daraus resultierenden Token- und Kataloginformationen.
- Anlage eines Mandantenmodells mit getrennten Projekten für Entwicklung, Test und Produktion.
- Entwurf einer Domänen- und Gruppenstruktur mit getrenntem Notfallzugang.
- Erstellung einer Rollenmatrix für Plattformadministration, Netzwerkbetrieb, Storagebetrieb, Audit und Mandantennutzung.
- Auswertung einer Beispiel-Berechtigungsliste mit Kennzeichnung von Rezertifizierungsbedarf.
- Überprüfung eines Beispiel-Deployments auf unsichere Secrets und Entwicklung eines Bereinigungsplans.
Methoden und Arbeitsweise
Fachliche Einordnung, strukturierte Demonstrationen, geführte Systemübungen, technische Prüflisten und dokumentierte Störungsszenarien wechseln sich ab. Jeder Arbeitsschritt wird mit Ausgangszustand, erwarteter Wirkung, Prüfkriterium und Rückfallmöglichkeit beschrieben. Die Übungen verwenden realistische Rollen- und Fehlerbilder; produktive Zugangsdaten oder externe Verbindungen sind nicht erforderlich.
Seminar und Anbieter vergleichen
Öffentliche Schulung
Diese Seminarform ist auch als Präsenzseminar bekannt und bedeutet, dass Sie in unseren Räumlichkeiten von einem Trainer vor Ort geschult werden. Jeder Teilnehmer hat einen Arbeitsplatz mit virtueller Schulungsumgebung. Öffentliche Seminare werden in deutscher Sprache durchgeführt, die Unterlagen sind teilweise in Englisch.
Inhausschulung
Diese Seminarform bietet sich für Unternehmen an, welche gleichzeitig mehrere Teilnehmer gleichzeitig schulen möchten. Der Trainer kommt zu Ihnen ins Haus und unterrichtet in Ihren Räumlichkeiten. Diese Seminare können auf Deutsch – bei Firmenseminaren ist auch Englisch möglich – gebucht werden.
Webinar
Diese Art der Schulung ist geeignet, wenn Sie die Präsenz eines Trainers nicht benötigen, nicht reisen können und über das Internet an einer Schulung teilnehmen möchten.
Fachbereichsleitung und Trainingskoordination
-

Lucas Beich
Telefon: + 49 (221) 74740055
E-Mail: lucas.beich@seminar-experts.de -

Paul Goldschmidt
Telefon: + 49 (221) 74740055
E-Mail: paul.goldschmidt@seminar-experts.de
Seminardetails
| Dauer: | 2 Tage ca. 6 h/Tag, Beginn 1. Tag: 10:00 Uhr, weitere Tage 09:00 Uhr |
| Preis: |
Öffentlich oder Live Stream: € 1.198 zzgl. MwSt. Inhaus: € 3.400 zzgl. MwSt. |
| Teilnehmeranzahl: | min. 2 - max. 8 |
| Teilnehmer: | OpenStack-Administration, Identity and Access Management, IT-Sicherheit, Compliance, Service Management und Mandantenadministration. |
| Voraussetzungen: | OpenStack-Grundkenntnisse. Erfahrung mit Verzeichnisdiensten, Rollenmodellen oder Berechtigungsprozessen ist hilfreich. |
| Standorte: | Stream Live, Inhaus/Firmenseminar, Berlin, Bremen, Darmstadt, Dresden, Erfurt, Essen, Flensburg, Frankfurt, Freiburg, Friedrichshafen, Hamburg, Hamm, Hannover, Jena, Kassel, Köln, Konstanz, Leipzig, Luxemburg, Magdeburg, Mainz, München, Münster, Nürnberg, Paderborn, Potsdam, Regensburg, Rostock, Stuttgart, Trier, Ulm, Wuppertal, Würzburg |
| Methoden: | Fachliche Einordnung, Demonstrationen, praktische Übungen am System, Prüflisten und dokumentierte Störungsszenarien |
| Seminararten: | Öffentlich, Webinar, Inhaus, Workshop - Alle Seminare mit Trainer vor Ort, Webinar nur wenn ausdrücklich gewünscht |
| Durchführungsgarantie: | ja, ab 2 Teilnehmern |
| Sprache: | Deutsch - bei Firmenseminaren ist auch Englisch möglich |
| Seminarunterlage: | Dokumentation auf Datenträger oder als Download |
| Teilnahmezertifikat: | ja, selbstverständlich |
| Verpflegung: | Kalt- / Warmgetränke, Mittagessen (wahlweise vegetarisch) |
| Support: | 3 Anrufe im Seminarpreis enthalten |
| Barrierefreier Zugang: | an den meisten Standorten verfügbar |
| Weitere Informationen unter + 49 (221) 74740055 |
Seminartermine
Die Ergebnissliste kann durch Anklicken der Überschrift neu sortiert werden.
