Das 3-tägige Format behandelt die Entwicklung, Prüfung und betriebliche Steuerung fein granularer Zero-Trust-Regeln mit CEL und OPA/Rego. Der Schwerpunkt liegt auf nachvollziehbaren Arbeitsschritten, kontrollierten Tests und einer Konfiguration, die sich in betrieblichen Umgebungen reproduzieren lässt.
Inhaltsverzeichnis
- Zielsetzung
- Seminarinhalte
- Policy-Architektur und Entscheidungszeitpunkt
- Subjekte, Ressourcen und Kontextattribute
- ALLOW, DENY, Standardverhalten und Priorität
- CEL-Syntax, Datentypen und Ausdrücke
- CEL-Regeln für Identität, Gerät und Sitzung
- CEL-Regeln für Anfrage und Servicekontext
- OPA/Rego-Grundlagen und Datenmodell
- Komplexe Entscheidungen und wiederverwendbare Regeln
- Policy-Bindung an Services und Identitäten
- Testmatrix, Grenzfälle und Regressionstests
- Entscheidungsanalyse und Konfliktbehebung
- Versionierung, Freigabe und Policy-Governance
- Praxisübungen
- Zielgruppe
- Voraussetzungen
- Methodik
Zielsetzung
kontextbezogene ALLOW- und DENY-Entscheidungen nachvollziehbar modellieren, Regelkonflikte vermeiden und Policies mit einer belastbaren Test- und Freigabestrategie betreiben.
Seminarinhalte
Modul 1: Policy-Architektur und Entscheidungszeitpunkt
Dieses Modul erschließt Policy-Architektur und Entscheidungszeitpunkt. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: Ausgangslage, Schutzbedarf und beteiligte Akteure für „Policy-Architektur und Entscheidungszeitpunkt“ erfassen.
- Schritt 2: Komponenten, Vertrauensgrenzen und Datenflüsse in einem nachvollziehbaren Zielbild zuordnen.
- Schritt 3: einen zulässigen und einen unzulässigen Zugriffspfad anhand des Zielbilds durchspielen.
- Schritt 4: Annahmen, offene Risiken und technische Entscheidungen in einer belastbaren Architekturunterlage festhalten.
Modul 2: Subjekte, Ressourcen und Kontextattribute
Dieses Modul erschließt Subjekte, Ressourcen und Kontextattribute. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: Schutzobjekt, Subjekt, Kontextmerkmale und gewünschte ALLOW- beziehungsweise DENY-Entscheidung definieren.
- Schritt 2: die Regel für „Subjekte, Ressourcen und Kontextattribute“ mit CEL oder OPA/Rego umsetzen und mit eindeutiger Priorität zuordnen.
- Schritt 3: Grenzfälle in einer Testmatrix aus erlaubten, verweigerten und unvollständigen Anfragen ausführen.
- Schritt 4: Entscheidungsweg und Auswertungsdaten untersuchen, Regelkonflikte beseitigen und die Policy versionieren.
Modul 3: ALLOW, DENY, Standardverhalten und Priorität
Dieses Modul erschließt ALLOW, DENY, Standardverhalten und Priorität. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: Schutzobjekt, Subjekt, Kontextmerkmale und gewünschte ALLOW- beziehungsweise DENY-Entscheidung definieren.
- Schritt 2: die Regel für „ALLOW, DENY, Standardverhalten und Priorität“ mit CEL oder OPA/Rego umsetzen und mit eindeutiger Priorität zuordnen.
- Schritt 3: Grenzfälle in einer Testmatrix aus erlaubten, verweigerten und unvollständigen Anfragen ausführen.
- Schritt 4: Entscheidungsweg und Auswertungsdaten untersuchen, Regelkonflikte beseitigen und die Policy versionieren.
Modul 4: CEL-Syntax, Datentypen und Ausdrücke
Dieses Modul erschließt CEL-Syntax, Datentypen und Ausdrücke. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: Schutzobjekt, Subjekt, Kontextmerkmale und gewünschte ALLOW- beziehungsweise DENY-Entscheidung definieren.
- Schritt 2: die Regel für „CEL-Syntax, Datentypen und Ausdrücke“ mit CEL oder OPA/Rego umsetzen und mit eindeutiger Priorität zuordnen.
- Schritt 3: Grenzfälle in einer Testmatrix aus erlaubten, verweigerten und unvollständigen Anfragen ausführen.
- Schritt 4: Entscheidungsweg und Auswertungsdaten untersuchen, Regelkonflikte beseitigen und die Policy versionieren.
Modul 5: CEL-Regeln für Identität, Gerät und Sitzung
Dieses Modul erschließt CEL-Regeln für Identität, Gerät und Sitzung. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: Schutzobjekt, Subjekt, Kontextmerkmale und gewünschte ALLOW- beziehungsweise DENY-Entscheidung definieren.
- Schritt 2: die Regel für „CEL-Regeln für Identität, Gerät und Sitzung“ mit CEL oder OPA/Rego umsetzen und mit eindeutiger Priorität zuordnen.
- Schritt 3: Grenzfälle in einer Testmatrix aus erlaubten, verweigerten und unvollständigen Anfragen ausführen.
- Schritt 4: Entscheidungsweg und Auswertungsdaten untersuchen, Regelkonflikte beseitigen und die Policy versionieren.
Modul 6: CEL-Regeln für Anfrage und Servicekontext
Dieses Modul erschließt CEL-Regeln für Anfrage und Servicekontext. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: Schutzobjekt, Subjekt, Kontextmerkmale und gewünschte ALLOW- beziehungsweise DENY-Entscheidung definieren.
- Schritt 2: die Regel für „CEL-Regeln für Anfrage und Servicekontext“ mit CEL oder OPA/Rego umsetzen und mit eindeutiger Priorität zuordnen.
- Schritt 3: Grenzfälle in einer Testmatrix aus erlaubten, verweigerten und unvollständigen Anfragen ausführen.
- Schritt 4: Entscheidungsweg und Auswertungsdaten untersuchen, Regelkonflikte beseitigen und die Policy versionieren.
Modul 7: OPA/Rego-Grundlagen und Datenmodell
Dieses Modul erschließt OPA/Rego-Grundlagen und Datenmodell. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: Schutzobjekt, Subjekt, Kontextmerkmale und gewünschte ALLOW- beziehungsweise DENY-Entscheidung definieren.
- Schritt 2: die Regel für „OPA/Rego-Grundlagen und Datenmodell“ mit CEL oder OPA/Rego umsetzen und mit eindeutiger Priorität zuordnen.
- Schritt 3: Grenzfälle in einer Testmatrix aus erlaubten, verweigerten und unvollständigen Anfragen ausführen.
- Schritt 4: Entscheidungsweg und Auswertungsdaten untersuchen, Regelkonflikte beseitigen und die Policy versionieren.
Modul 8: Komplexe Entscheidungen und wiederverwendbare Regeln
Dieses Modul erschließt Komplexe Entscheidungen und wiederverwendbare Regeln. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: Schutzobjekt, Subjekt, Kontextmerkmale und gewünschte ALLOW- beziehungsweise DENY-Entscheidung definieren.
- Schritt 2: die Regel für „Komplexe Entscheidungen und wiederverwendbare Regeln“ mit CEL oder OPA/Rego umsetzen und mit eindeutiger Priorität zuordnen.
- Schritt 3: Grenzfälle in einer Testmatrix aus erlaubten, verweigerten und unvollständigen Anfragen ausführen.
- Schritt 4: Entscheidungsweg und Auswertungsdaten untersuchen, Regelkonflikte beseitigen und die Policy versionieren.
Modul 9: Policy-Bindung an Services und Identitäten
Dieses Modul erschließt Policy-Bindung an Services und Identitäten. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: Schutzobjekt, Subjekt, Kontextmerkmale und gewünschte ALLOW- beziehungsweise DENY-Entscheidung definieren.
- Schritt 2: die Regel für „Policy-Bindung an Services und Identitäten“ mit CEL oder OPA/Rego umsetzen und mit eindeutiger Priorität zuordnen.
- Schritt 3: Grenzfälle in einer Testmatrix aus erlaubten, verweigerten und unvollständigen Anfragen ausführen.
- Schritt 4: Entscheidungsweg und Auswertungsdaten untersuchen, Regelkonflikte beseitigen und die Policy versionieren.
Modul 10: Testmatrix, Grenzfälle und Regressionstests
Dieses Modul erschließt Testmatrix, Grenzfälle und Regressionstests. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: Schutzobjekt, Subjekt, Kontextmerkmale und gewünschte ALLOW- beziehungsweise DENY-Entscheidung definieren.
- Schritt 2: die Regel für „Testmatrix, Grenzfälle und Regressionstests“ mit CEL oder OPA/Rego umsetzen und mit eindeutiger Priorität zuordnen.
- Schritt 3: Grenzfälle in einer Testmatrix aus erlaubten, verweigerten und unvollständigen Anfragen ausführen.
- Schritt 4: Entscheidungsweg und Auswertungsdaten untersuchen, Regelkonflikte beseitigen und die Policy versionieren.
Modul 11: Entscheidungsanalyse und Konfliktbehebung
Dieses Modul erschließt Entscheidungsanalyse und Konfliktbehebung. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: Normalzustand, Service-Level, Abhängigkeiten und relevante Zustandsindikatoren für „Entscheidungsanalyse und Konfliktbehebung“ festlegen.
- Schritt 2: Cluster-, Komponenten- und Ressourcenstatus systematisch erfassen und eine belastbare Baseline bilden.
- Schritt 3: ein typisches Fehlerbild kontrolliert erzeugen und anhand von Logs, Metriken und Zustandsdaten eingrenzen.
- Schritt 4: Störung beheben, Wirksamkeit nachweisen und die Arbeitsschritte als Runbook dokumentieren.
Modul 12: Versionierung, Freigabe und Policy-Governance
Dieses Modul erschließt Versionierung, Freigabe und Policy-Governance. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: Workload, Pipeline, Laufzeitumgebung und erforderliche Zielberechtigungen für „Versionierung, Freigabe und Policy-Governance“ beschreiben.
- Schritt 2: Workload-Identität, Assertion, Credential oder deklarative Ressource in den Bereitstellungsablauf integrieren.
- Schritt 3: Pipeline beziehungsweise Workload ohne manuell hinterlegte Dauergeheimnisse gegen den Zieldienst ausführen.
- Schritt 4: Token-, Sitzungs- und Policy-Daten kontrollieren sowie Rotation und Fehlerbehandlung automatisieren.
Praxisübungen
- eine Policy-Matrix für Rollen, Geräte, Zeitfenster und Servicepfade entwerfen.
- fachlich identische Regeln in CEL und Rego umsetzen und vergleichen.
- Prioritäts- und Konfliktfälle mit automatisierbaren Tests absichern.
- eine fehlerhafte Regel anhand der Entscheidungsdaten lokalisieren und korrigieren.
- einen versionsgeführten Freigabeprozess für Policies definieren.
Zielgruppe
Security Engineers, IAM- und Plattformteams, Zero-Trust-Architekten, DevSecOps-Fachkräfte und technische Auditoren.
Voraussetzungen
Grundkenntnisse in Attributmodellen, logischen Ausdrücken, YAML, Identitäten, Services und Softwaretests; Programmiererfahrung ist hilfreich.
Methodik
Drei Tage sind erforderlich, weil das Policy-Modell, CEL und OPA/Rego getrennt erarbeitet und anschließend mit Prioritäten, Kontextdaten, Testmatrizen, Fehlersuche und Governance in realistischen Regeln verbunden werden. Die Durchführung kombiniert fachliche Einordnung, Demonstration, angeleitete Konfiguration, eigenständige Laborphasen, Positiv- und Negativtests sowie eine strukturierte Fehleranalyse. Jeder Themenblock endet mit einer prüfbaren Konfiguration und einer dokumentierten Kontrollliste.
Seminar und Anbieter vergleichen
Öffentliche Schulung
Diese Seminarform ist auch als Präsenzseminar bekannt und bedeutet, dass Sie in unseren Räumlichkeiten von einem Trainer vor Ort geschult werden. Jeder Teilnehmer hat einen Arbeitsplatz mit virtueller Schulungsumgebung. Öffentliche Seminare werden in deutscher Sprache durchgeführt, die Unterlagen sind teilweise in Englisch.
Inhausschulung
Diese Seminarform bietet sich für Unternehmen an, welche gleichzeitig mehrere Teilnehmer gleichzeitig schulen möchten. Der Trainer kommt zu Ihnen ins Haus und unterrichtet in Ihren Räumlichkeiten. Diese Seminare können auf Deutsch – bei Firmenseminaren ist auch Englisch möglich – gebucht werden.
Webinar
Diese Art der Schulung ist geeignet, wenn Sie die Präsenz eines Trainers nicht benötigen, nicht reisen können und über das Internet an einer Schulung teilnehmen möchten.
Fachbereichsleitung und Ansprechpersonen
-

Lucas Beich
Telefon: + 49 (221) 74740055
E-Mail: lucas.beich@seminar-experts.de -

Paul Goldschmidt
Telefon: + 49 (221) 74740055
E-Mail: paul.goldschmidt@seminar-experts.de
Seminardetails
| Dauer: | 3 Tage, ca. 6 Stunden pro Tag; Beginn am 1. Tag 10:00 Uhr, an den Folgetagen 09:00 Uhr |
| Preis: |
Öffentlich oder Live Stream: € 1.797 zzgl. MwSt. Inhaus: € 5.100 zzgl. MwSt. |
| Teilnehmeranzahl: | mindestens 2, höchstens 8 |
| Zielgruppe: | Security Engineers, IAM- und Plattformteams, Zero-Trust-Architekten, DevSecOps-Fachkräfte und technische Auditoren |
| Voraussetzungen: | Grundkenntnisse in Attributmodellen, logischen Ausdrücken, YAML, Identitäten, Services und Softwaretests; Programmiererfahrung ist hilfreich |
| Durchführung: | Praxisorientiertes Präsenz- oder Live-Online-Seminar mit Laborübungen |
| Inhouse: | auf Anfrage |
Seminartermine
Die Ergebnissliste kann durch Anklicken der Überschrift neu sortiert werden.
