Seminar Crossplane Security, Governance und Policy as Code

Inhaltsverzeichnis

  1. Seminarüberblick
  2. Einordnung und Praxisbezug
  3. Schrittweise Seminarinhalte
  4. Praxisübungen
  5. Zielgruppe und Voraussetzungen

Seminarüberblick

Crossplane kann weitreichende Rechte in Cloud- und Drittsystemen besitzen. Daher müssen Plattform-API, Kubernetes-Berechtigungen, Provider-Identitäten, Paketquellen und externe Policies als gemeinsame Vertrauenskette betrachtet werden.

Das Seminar entwickelt aus einem Threat Model konkrete technische Kontrollen. Namespaced Ressourcen, getrennte ProviderConfigs, Workload Identity, Policy as Code, sichere Secrets, Paketprüfung und Auditdaten werden in einem mandantenfähigen Betriebsmodell zusammengeführt.

Einordnung und Praxisbezug

  • Nachvollziehbares Threat Model für Control Plane, Pakete und externe Systeme.
  • Minimalberechtigungen und klare Mandantengrenzen auf Kubernetes- und Providerseite.
  • Durchsetzbare Guardrails für Regionen, Größen, Verschlüsselung und Löschschutz.
  • Auditierbare Liefer- und Betriebsprozesse mit kontrollierten Ausnahmen.

Schrittweise Seminarinhalte

Schritt 1: Bedrohungsmodell erstellen

  • Akteure, Assets, Vertrauensgrenzen und Angriffswege erfassen.
  • Fehlkonfiguration, kompromittiertes Paket und privilegierte Identität getrennt bewerten.

Schritt 2: Namespace- und Tenancy-Modell festlegen

  • Namespaced XRs und MRs für Teamgrenzen nutzen.
  • Clusterweite Ressourcen und Legacy-Modelle besonders absichern.

Schritt 3: Kubernetes-RBAC minimieren

  • Rollen für Konsumenten, Plattformteam und Betreiber trennen.
  • Aggregierte Crossplane-Rechte und zusätzliche Function- oder Operation-Rechte prüfen.

Schritt 4: Provider-Identitäten absichern

  • Workload Identity und kurzlebige Credentials bevorzugen.
  • Konten, Projekte, Subscriptions und Umgebungen durch getrennte ProviderConfigs isolieren.

Schritt 5: Secrets kontrollieren

  • Speicherung, Verschlüsselung, Namespace, Rotation und Zugriff definieren.
  • Verbindungsdaten als komponierte Secrets mit klarer Ownership ausgeben.

Schritt 6: Plattform-API als Guardrail gestalten

  • Erlaubte Serviceklassen statt roher Providerfelder anbieten.
  • Defaults, Validierung und Statusinformationen sicherheitsorientiert entwerfen.

Schritt 7: Policy as Code einsetzen

  • Admission Policies mit Kyverno-, Gatekeeper- oder nativen Mechanismen umsetzen.
  • Globale Regeln von providerabhängiger Composition-Logik trennen.

Schritt 8: Löschung und Lebenszyklen schützen

  • Management Policies, Usage und Deletion Policy kombinieren.
  • Kritische Ressourcen gegen unbeabsichtigte Löschung und Reihenfolgefehler sichern.

Schritt 9: Paketlieferkette absichern

  • Registry-Vertrauen, Digests, Signaturen und Schwachstellenprüfung etablieren.
  • ImageConfig und Freigabegates für externe Pakete einsetzen.

Schritt 10: Runtime-Härtung umsetzen

  • Service Accounts, Containerrechte, Netzwerkzugriff und Ressourcenlimits minimieren.
  • Provider und Functions nach Risiko isolieren.

Schritt 11: Audit und Change Logs nutzen

  • Änderungen an Plattform-APIs, Paketen und Ressourcen nachvollziehbar erfassen.
  • Kubernetes-Audit, Git-Historie und externe Providerlogs korrelieren.

Schritt 12: Ausnahmen und Notfallzugriff regeln

  • Zeitlich begrenzte Overrides und Break-Glass-Verfahren definieren.
  • Jede Ausnahme protokollieren, prüfen und zurückbauen.

Schritt 13: Kontrollen testen

  • Policy-Tests, Berechtigungsprüfungen und missbräuchliche Requests automatisieren.
  • Regelmäßige Sicherheits- und Recovery-Übungen planen.

Praxisübungen

  1. Erstellung eines Threat Models für eine mandantenfähige Control Plane.
  2. Aufbau getrennter RBAC- und ProviderConfig-Grenzen.
  3. Implementierung von Policies für Regionen, Größen und Verschlüsselung.
  4. Absicherung von Package Pull und Runtime über zentrale Regeln.
  5. Test von Löschschutz, unerlaubter Berechtigung und Break-Glass-Verfahren.

Zielgruppe und Voraussetzungen

Zielgruppe: Security Engineers, Platform Engineers, Cloud Security Architects, Kubernetes-Administratoren und Governance-Verantwortliche.

Voraussetzungen: Gute Kubernetes- und Crossplane-Kenntnisse sowie Grundlagen zu IAM, RBAC, Secrets und Policy as Code.

Seminar und Anbieter vergleichen

Öffentliche Schulung

Diese Seminarform ist auch als Präsenzseminar bekannt und bedeutet, dass Sie in unseren Räumlichkeiten von einem Trainer vor Ort geschult werden. Jeder Teilnehmer hat einen Arbeitsplatz mit virtueller Schulungsumgebung. Öffentliche Seminare werden in deutscher Sprache durchgeführt, die Unterlagen sind teilweise in Englisch.

Mehr dazu...

Inhausschulung

Diese Seminarform bietet sich für Unternehmen an, welche gleiche mehrere Teilnehmer gleichzeitig schulen möchten. Der Trainer kommt zu Ihnen ins Haus und unterrichtet in Ihren Räumlichkeiten. Diese Seminare können in Deutsch - bei Firmenseminaren ist auch Englisch möglich gebucht werden.

Mehr dazu...

Webinar

Diese Art der Schulung ist geeignet, wenn Sie die Präsenz eines Trainers nicht benötigen, nicht Reisen können und über das Internet an einer Schulung teilnehmen möchten.

Mehr dazu...

Fachbereichsleiter / Leiter der Trainer / Ihre Ansprechpartner

Seminardetails

   
Dauer: 3 Tage ca. 6 h/Tag, Beginn 1. Tag: 10:00 Uhr, weitere Tage 09:00 Uhr
Preis: Öffentlich und Webinar: € 1.797 zzgl. MwSt.
Inhaus: € 5.100 zzgl. MwSt.
Teilnehmeranzahl: min. 2 - max. 8
Teilnehmer: Security Engineers, Platform Engineers, Cloud Security Architects, Kubernetes-Administratoren und Governance-Verantwortliche
Voraussetzungen: Gute Kubernetes- und Crossplane-Kenntnisse sowie Grundlagen zu IAM, RBAC, Secrets und Policy as Code
Standorte: Bregenz, Graz, Innsbruck, Klagenfurt, Linz, Salzburg, Wien
Methoden: Vortrag, Demonstrationen, praktische Übungen am System
Seminararten: Öffentlich, Webinar, Inhaus, Workshop - Alle Seminare mit Trainer vor Ort, Webinar nur wenn ausdrücklich gewünscht
Durchführungsgarantie: ja, ab 2 Teilnehmern
Sprache: Deutsch - bei Firmenseminaren ist auch Englisch möglich
Seminarunterlage: Dokumentation auf Datenträger oder als Download
Teilnahmezertifikat: ja, selbstverständlich
Verpflegung: Kalt- / Warmgetränke, Mittagessen (wahlweise vegetarisch)
Support: 3 Anrufe im Seminarpreis enthalten
Barrierefreier Zugang: an den meisten Standorten verfügbar
  Weitere Informationen unter + 43 (720) 022000

Seminartermine

Die Ergebnissliste kann durch Anklicken der Überschrift neu sortiert werden.

Seminar Startdatum Enddatum Ort Dauer
Innsbruck 3 Tage
Stream gespeichert 3 Tage
Klagenfurt 3 Tage
Bregenz 3 Tage
Linz 3 Tage
Salzburg 3 Tage
Graz 3 Tage
Wien 3 Tage
Inhaus / Firmenseminar 3 Tage
Stream live 3 Tage
Wien 3 Tage
Stream live 3 Tage
Inhaus / Firmenseminar 3 Tage
Stream gespeichert 3 Tage
Innsbruck 3 Tage
Klagenfurt 3 Tage
Bregenz 3 Tage
Linz 3 Tage
Salzburg 3 Tage
Graz 3 Tage
Salzburg 3 Tage
Graz 3 Tage
Wien 3 Tage
Inhaus / Firmenseminar 3 Tage
Stream live 3 Tage
Innsbruck 3 Tage
Stream gespeichert 3 Tage
Klagenfurt 3 Tage
Bregenz 3 Tage
Linz 3 Tage
Bregenz 3 Tage
Linz 3 Tage
Salzburg 3 Tage
Graz 3 Tage
Wien 3 Tage
Inhaus / Firmenseminar 3 Tage
Stream live 3 Tage
Innsbruck 3 Tage
Stream gespeichert 3 Tage
Klagenfurt 3 Tage
Nach oben
Seminare als Stream SRI zertifiziert
© 2026 www.seminar-experts.at All rights reserved.  | Kontakt | Impressum | Nach oben