Inhaltsverzeichnis
- Seminarüberblick
- Einordnung und Praxisbezug
- Schrittweise Seminarinhalte
- Praxisübungen
- Zielgruppe und Voraussetzungen
Seminarüberblick
Crossplane kann weitreichende Rechte in Cloud- und Drittsystemen besitzen. Daher müssen Plattform-API, Kubernetes-Berechtigungen, Provider-Identitäten, Paketquellen und externe Policies als gemeinsame Vertrauenskette betrachtet werden.
Das Seminar entwickelt aus einem Threat Model konkrete technische Kontrollen. Namespaced Ressourcen, getrennte ProviderConfigs, Workload Identity, Policy as Code, sichere Secrets, Paketprüfung und Auditdaten werden in einem mandantenfähigen Betriebsmodell zusammengeführt.
Einordnung und Praxisbezug
- Nachvollziehbares Threat Model für Control Plane, Pakete und externe Systeme.
- Minimalberechtigungen und klare Mandantengrenzen auf Kubernetes- und Providerseite.
- Durchsetzbare Guardrails für Regionen, Größen, Verschlüsselung und Löschschutz.
- Auditierbare Liefer- und Betriebsprozesse mit kontrollierten Ausnahmen.
Schrittweise Seminarinhalte
Schritt 1: Bedrohungsmodell erstellen
- Akteure, Assets, Vertrauensgrenzen und Angriffswege erfassen.
- Fehlkonfiguration, kompromittiertes Paket und privilegierte Identität getrennt bewerten.
Schritt 2: Namespace- und Tenancy-Modell festlegen
- Namespaced XRs und MRs für Teamgrenzen nutzen.
- Clusterweite Ressourcen und Legacy-Modelle besonders absichern.
Schritt 3: Kubernetes-RBAC minimieren
- Rollen für Konsumenten, Plattformteam und Betreiber trennen.
- Aggregierte Crossplane-Rechte und zusätzliche Function- oder Operation-Rechte prüfen.
Schritt 4: Provider-Identitäten absichern
- Workload Identity und kurzlebige Credentials bevorzugen.
- Konten, Projekte, Subscriptions und Umgebungen durch getrennte ProviderConfigs isolieren.
Schritt 5: Secrets kontrollieren
- Speicherung, Verschlüsselung, Namespace, Rotation und Zugriff definieren.
- Verbindungsdaten als komponierte Secrets mit klarer Ownership ausgeben.
Schritt 6: Plattform-API als Guardrail gestalten
- Erlaubte Serviceklassen statt roher Providerfelder anbieten.
- Defaults, Validierung und Statusinformationen sicherheitsorientiert entwerfen.
Schritt 7: Policy as Code einsetzen
- Admission Policies mit Kyverno-, Gatekeeper- oder nativen Mechanismen umsetzen.
- Globale Regeln von providerabhängiger Composition-Logik trennen.
Schritt 8: Löschung und Lebenszyklen schützen
- Management Policies, Usage und Deletion Policy kombinieren.
- Kritische Ressourcen gegen unbeabsichtigte Löschung und Reihenfolgefehler sichern.
Schritt 9: Paketlieferkette absichern
- Registry-Vertrauen, Digests, Signaturen und Schwachstellenprüfung etablieren.
- ImageConfig und Freigabegates für externe Pakete einsetzen.
Schritt 10: Runtime-Härtung umsetzen
- Service Accounts, Containerrechte, Netzwerkzugriff und Ressourcenlimits minimieren.
- Provider und Functions nach Risiko isolieren.
Schritt 11: Audit und Change Logs nutzen
- Änderungen an Plattform-APIs, Paketen und Ressourcen nachvollziehbar erfassen.
- Kubernetes-Audit, Git-Historie und externe Providerlogs korrelieren.
Schritt 12: Ausnahmen und Notfallzugriff regeln
- Zeitlich begrenzte Overrides und Break-Glass-Verfahren definieren.
- Jede Ausnahme protokollieren, prüfen und zurückbauen.
Schritt 13: Kontrollen testen
- Policy-Tests, Berechtigungsprüfungen und missbräuchliche Requests automatisieren.
- Regelmäßige Sicherheits- und Recovery-Übungen planen.
Praxisübungen
- Erstellung eines Threat Models für eine mandantenfähige Control Plane.
- Aufbau getrennter RBAC- und ProviderConfig-Grenzen.
- Implementierung von Policies für Regionen, Größen und Verschlüsselung.
- Absicherung von Package Pull und Runtime über zentrale Regeln.
- Test von Löschschutz, unerlaubter Berechtigung und Break-Glass-Verfahren.
Zielgruppe und Voraussetzungen
Zielgruppe: Security Engineers, Platform Engineers, Cloud Security Architects, Kubernetes-Administratoren und Governance-Verantwortliche.
Voraussetzungen: Gute Kubernetes- und Crossplane-Kenntnisse sowie Grundlagen zu IAM, RBAC, Secrets und Policy as Code.
Seminar und Anbieter vergleichen
Öffentliche Schulung
Diese Seminarform ist auch als Präsenzseminar bekannt und bedeutet, dass Sie in unseren Räumlichkeiten von einem Trainer vor Ort geschult werden. Jeder Teilnehmer hat einen Arbeitsplatz mit virtueller Schulungsumgebung. Öffentliche Seminare werden in deutscher Sprache durchgeführt, die Unterlagen sind teilweise in Englisch.
Inhausschulung
Diese Seminarform bietet sich für Unternehmen an, welche gleichzeitig mehrere Teilnehmer gleichzeitig schulen möchten. Der Trainer kommt zu Ihnen ins Haus und unterrichtet in Ihren Räumlichkeiten. Diese Seminare können auf Deutsch – bei Firmenseminaren ist auch Englisch möglich – gebucht werden.
Webinar
Diese Art der Schulung ist geeignet, wenn Sie die Präsenz eines Trainers nicht benötigen, nicht reisen können und über das Internet an einer Schulung teilnehmen möchten.
Fachbereichsleiter / Leiter der Trainer / Ihre Ansprechpartner
-

Lucas Beich
Telefon: + 49 (221) 74740055
E-Mail: lucas.beich@seminar-experts.de -

Paul Goldschmidt
Telefon: + 49 (221) 74740055
E-Mail: paul.goldschmidt@seminar-experts.de
Seminardetails
| Dauer: | 3 Tage ca. 6 h/Tag, Beginn 1. Tag: 10:00 Uhr, weitere Tage 09:00 Uhr |
| Preis: |
Öffentlich oder Live Stream: € 1.797 zzgl. MwSt. Inhaus: € 5.100 zzgl. MwSt. |
| Teilnehmeranzahl: | min. 2 - max. 8 |
| Teilnehmer: | Security Engineers, Platform Engineers, Cloud Security Architects, Kubernetes-Administratoren und Governance-Verantwortliche |
| Voraussetzungen: | Gute Kubernetes- und Crossplane-Kenntnisse sowie Grundlagen zu IAM, RBAC, Secrets und Policy as Code |
| Standorte: | Stream Live, Inhaus/Firmenseminar, Berlin, Bremen, Darmstadt, Dresden, Erfurt, Essen, Flensburg, Frankfurt, Freiburg, Friedrichshafen, Hamburg, Hamm, Hannover, Jena, Kassel, Köln, Konstanz, Leipzig, Luxemburg, Magdeburg, Mainz, München, Münster, Nürnberg, Paderborn, Potsdam, Regensburg, Rostock, Stuttgart, Trier, Ulm, Wuppertal, Würzburg |
| Methoden: | Vortrag, Demonstrationen, praktische Übungen am System |
| Seminararten: | Öffentlich, Webinar, Inhaus, Workshop - Alle Seminare mit Trainer vor Ort, Webinar nur wenn ausdrücklich gewünscht |
| Durchführungsgarantie: | ja, ab 2 Teilnehmern |
| Sprache: | Deutsch - bei Firmenseminaren ist auch Englisch möglich |
| Seminarunterlage: | Dokumentation auf Datenträger oder als Download |
| Teilnahmezertifikat: | ja, selbstverständlich |
| Verpflegung: | Kalt- / Warmgetränke, Mittagessen (wahlweise vegetarisch) |
| Support: | 3 Anrufe im Seminarpreis enthalten |
| Barrierefreier Zugang: | an den meisten Standorten verfügbar |
| Weitere Informationen unter + 49 (221) 74740055 |
Seminartermine
Die Ergebnissliste kann durch Anklicken der Überschrift neu sortiert werden.
