Das 4-tägige Format behandelt die identitätsbasierte Anbindung von Workloads, Kubernetes-Plattformen, Pipelines, Managed Containers, AI-Systemen und entfernten Ressourcen. Der Schwerpunkt liegt auf nachvollziehbaren Arbeitsschritten, kontrollierten Tests und einer Konfiguration, die sich in betrieblichen Umgebungen reproduzieren lässt.
Inhaltsverzeichnis
- Zielsetzung
- Seminarinhalte
- Workload-Identitäten und Vertrauensketten
- Kubernetes- und Cloud-Assertions
- GitHub-Actions- und generische JWT-Assertions
- OAuth-2.0-Client-Credentials und Bearer-Zugriff
- Secretless Pipeline- und Runtime-Zugriffe
- GitOps für Octelium-Ressourcen
- Kubernetes-Zugriff und Ingress
- Helm- und Workload-Client-Integration
- Managed Containers und Anwendungsbereitstellung
- Homelab, Außenstelle und entfernte Ressourcen
- AI- und MCP-Gateway-Architektur
- Toolbezogene Policies und Credential Injection
- Telemetrie für Pipelines, Workloads und Agenten
- Integrationsfehler, Rotation und Härtung
- Thematische Bündelung
- Praxisübungen
- Zielgruppe
- Voraussetzungen
- Methodik
Zielsetzung
maschinelle Zugriffe ohne statische Dauergeheimnisse automatisieren, Anwendungen sicher bereitstellen und verteilte Dienste einschließlich AI- und MCP-Endpunkten kontrolliert verbinden.
Seminarinhalte
Modul 1: Workload-Identitäten und Vertrauensketten
Dieses Modul erschließt Workload-Identitäten und Vertrauensketten. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: Ausgangslage, Schutzbedarf und beteiligte Akteure für „Workload-Identitäten und Vertrauensketten“ erfassen.
- Schritt 2: Komponenten, Vertrauensgrenzen und Datenflüsse in einem nachvollziehbaren Zielbild zuordnen.
- Schritt 3: einen zulässigen und einen unzulässigen Zugriffspfad anhand des Zielbilds durchspielen.
- Schritt 4: Annahmen, offene Risiken und technische Entscheidungen in einer belastbaren Architekturunterlage festhalten.
Modul 2: Kubernetes- und Cloud-Assertions
Dieses Modul erschließt Kubernetes- und Cloud-Assertions. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: Workload, Pipeline, Laufzeitumgebung und erforderliche Zielberechtigungen für „Kubernetes- und Cloud-Assertions“ beschreiben.
- Schritt 2: Workload-Identität, Assertion, Credential oder deklarative Ressource in den Bereitstellungsablauf integrieren.
- Schritt 3: Pipeline beziehungsweise Workload ohne manuell hinterlegte Dauergeheimnisse gegen den Zieldienst ausführen.
- Schritt 4: Token-, Sitzungs- und Policy-Daten kontrollieren sowie Rotation und Fehlerbehandlung automatisieren.
Modul 3: GitHub-Actions- und generische JWT-Assertions
Dieses Modul erschließt GitHub-Actions- und generische JWT-Assertions. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: Workload, Pipeline, Laufzeitumgebung und erforderliche Zielberechtigungen für „GitHub-Actions- und generische JWT-Assertions“ beschreiben.
- Schritt 2: Workload-Identität, Assertion, Credential oder deklarative Ressource in den Bereitstellungsablauf integrieren.
- Schritt 3: Pipeline beziehungsweise Workload ohne manuell hinterlegte Dauergeheimnisse gegen den Zieldienst ausführen.
- Schritt 4: Token-, Sitzungs- und Policy-Daten kontrollieren sowie Rotation und Fehlerbehandlung automatisieren.
Modul 4: OAuth-2.0-Client-Credentials und Bearer-Zugriff
Dieses Modul erschließt OAuth-2.0-Client-Credentials und Bearer-Zugriff. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: Identitätstypen, Attribute, Gruppenbezüge und Authentisierungsanforderungen für „OAuth-2.0-Client-Credentials und Bearer-Zugriff“ festlegen.
- Schritt 2: Identitätsressourcen und Anmeldeverfahren konfigurieren sowie erforderliche Claims zuordnen.
- Schritt 3: Anmeldung und Sitzungsaufbau mit regulären und abweichenden Identitätsmerkmalen testen.
- Schritt 4: Claims, Gerätebezug, Sitzung und Richtlinienentscheidung prüfen und sicherheitsrelevante Befunde dokumentieren.
Modul 5: Secretless Pipeline- und Runtime-Zugriffe
Dieses Modul erschließt Secretless Pipeline- und Runtime-Zugriffe. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: Bedrohungen, Angriffsflächen, Vertrauensgrenzen und Missbrauchsszenarien für „Secretless Pipeline- und Runtime-Zugriffe“ modellieren.
- Schritt 2: präventive Kontrollen, minimale Berechtigungen und sichere Standardwerte in der Konfiguration umsetzen.
- Schritt 3: Umgehungs-, Fehlbedienungs- und Rechteausweitungsszenarien kontrolliert testen.
- Schritt 4: Befunde bewerten, Härtungsmaßnahmen priorisieren und die Wirksamkeit durch erneute Tests belegen.
Modul 6: GitOps für Octelium-Ressourcen
Dieses Modul erschließt GitOps für Octelium-Ressourcen. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: Workload, Pipeline, Laufzeitumgebung und erforderliche Zielberechtigungen für „GitOps für Octelium-Ressourcen“ beschreiben.
- Schritt 2: Workload-Identität, Assertion, Credential oder deklarative Ressource in den Bereitstellungsablauf integrieren.
- Schritt 3: Pipeline beziehungsweise Workload ohne manuell hinterlegte Dauergeheimnisse gegen den Zieldienst ausführen.
- Schritt 4: Token-, Sitzungs- und Policy-Daten kontrollieren sowie Rotation und Fehlerbehandlung automatisieren.
Modul 7: Kubernetes-Zugriff und Ingress
Dieses Modul erschließt Kubernetes-Zugriff und Ingress. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: Backend, Protokoll, Namensraum, Erreichbarkeit und Schutzbedarf für „Kubernetes-Zugriff und Ingress“ aufnehmen.
- Schritt 2: Namespace, Service und Weiterleitungsparameter deklarativ anlegen und die Auflösung kontrollieren.
- Schritt 3: Zugriff über den vorgesehenen Client- oder clientlosen Pfad mit passenden Identitäten durchführen.
- Schritt 4: Routing, Richtlinienentscheidung und Dienstprotokollierung prüfen sowie Fehlkonfigurationen korrigieren.
Modul 8: Helm- und Workload-Client-Integration
Dieses Modul erschließt Helm- und Workload-Client-Integration. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: Workload, Pipeline, Laufzeitumgebung und erforderliche Zielberechtigungen für „Helm- und Workload-Client-Integration“ beschreiben.
- Schritt 2: Workload-Identität, Assertion, Credential oder deklarative Ressource in den Bereitstellungsablauf integrieren.
- Schritt 3: Pipeline beziehungsweise Workload ohne manuell hinterlegte Dauergeheimnisse gegen den Zieldienst ausführen.
- Schritt 4: Token-, Sitzungs- und Policy-Daten kontrollieren sowie Rotation und Fehlerbehandlung automatisieren.
Modul 9: Managed Containers und Anwendungsbereitstellung
Dieses Modul erschließt Managed Containers und Anwendungsbereitstellung. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: Plattform-, Kubernetes-, DNS-, Zertifikats- und Speicheranforderungen für „Managed Containers und Anwendungsbereitstellung“ erfassen.
- Schritt 2: Installation beziehungsweise Bereitstellung schrittweise ausführen und Konfigurationswerte nachvollziehbar setzen.
- Schritt 3: Komponentenstatus, Namensauflösung, Anmeldung und einen vollständigen Testzugriff verifizieren.
- Schritt 4: Sicherung, Wiederherstellung und kontrolliertes Zurücksetzen für den aufgebauten Stand erproben.
Modul 10: Homelab, Außenstelle und entfernte Ressourcen
Dieses Modul erschließt Homelab, Außenstelle und entfernte Ressourcen. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: Protokoll, Zieladresse, Portbereich, DNS-Anforderungen und Identitätskontext für „Homelab, Außenstelle und entfernte Ressourcen“ erfassen.
- Schritt 2: passenden Service samt Weiterleitung, Namensraum und Richtlinienbindung deklarativ konfigurieren.
- Schritt 3: Verbindungsaufbau, Namensauflösung und Datenfluss mit erlaubten und verweigerten Clients testen.
- Schritt 4: Timeouts, Routing-, DNS- und Transportfehler systematisch isolieren und die Korrektur validieren.
Modul 11: AI- und MCP-Gateway-Architektur
Dieses Modul erschließt AI- und MCP-Gateway-Architektur. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: Modelle, Agenten, MCP-Server, Tools, Datenklassen und Vertrauensgrenzen für „AI- und MCP-Gateway-Architektur“ inventarisieren.
- Schritt 2: Gateway-Service, Identitätsbezug, Tool-Grenzen und Richtlinien für den vorgesehenen Aufrufpfad konfigurieren.
- Schritt 3: erlaubte und verweigerte Tool-Aufrufe einschließlich Secretless-Zugang kontrolliert ausführen.
- Schritt 4: Aufrufkontext, Policy-Entscheidung und Telemetrie auswerten und Schutzmaßnahmen gegen Missbrauch nachschärfen.
Modul 12: Toolbezogene Policies und Credential Injection
Dieses Modul erschließt Toolbezogene Policies und Credential Injection. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: Modelle, Agenten, MCP-Server, Tools, Datenklassen und Vertrauensgrenzen für „Toolbezogene Policies und Credential Injection“ inventarisieren.
- Schritt 2: Gateway-Service, Identitätsbezug, Tool-Grenzen und Richtlinien für den vorgesehenen Aufrufpfad konfigurieren.
- Schritt 3: erlaubte und verweigerte Tool-Aufrufe einschließlich Secretless-Zugang kontrolliert ausführen.
- Schritt 4: Aufrufkontext, Policy-Entscheidung und Telemetrie auswerten und Schutzmaßnahmen gegen Missbrauch nachschärfen.
Modul 13: Telemetrie für Pipelines, Workloads und Agenten
Dieses Modul erschließt Telemetrie für Pipelines, Workloads und Agenten. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: benötigte Logs, Metriken, Traces, Attribute und Aufbewahrungsanforderungen für „Telemetrie für Pipelines, Workloads und Agenten“ definieren.
- Schritt 2: OpenTelemetry-Ausgabe und Empfänger so konfigurieren, dass relevante Zugriffskontexte erhalten bleiben.
- Schritt 3: Testzugriffe und Policy-Entscheidungen erzeugen und die Signale über gemeinsame Merkmale korrelieren.
- Schritt 4: Lücken, übermäßige Datenerfassung und Alarmgrenzen prüfen und die Telemetrie gezielt nachschärfen.
Modul 14: Integrationsfehler, Rotation und Härtung
Dieses Modul erschließt Integrationsfehler, Rotation und Härtung. Fachliche Einordnung, Sicherheitswirkung und praktische Umsetzung werden so verbunden, dass Entscheidungen und Konfigurationsfolgen nachvollziehbar bleiben.
- Schritt 1: Normalzustand, Service-Level, Abhängigkeiten und relevante Zustandsindikatoren für „Integrationsfehler, Rotation und Härtung“ festlegen.
- Schritt 2: Cluster-, Komponenten- und Ressourcenstatus systematisch erfassen und eine belastbare Baseline bilden.
- Schritt 3: ein typisches Fehlerbild kontrolliert erzeugen und anhand von Logs, Metriken und Zustandsdaten eingrenzen.
- Schritt 4: Störung beheben, Wirksamkeit nachweisen und die Arbeitsschritte als Runbook dokumentieren.
Thematische Bündelung
Der Intensivblock bündelt die Inhalte der folgenden Fachseminare. Die Themen werden nicht nur aneinandergereiht, sondern in einem gemeinsamen Laboraufbau zu durchgängigen Arbeitsabläufen verbunden.
- Octelium Workload-Identitäten, DevOps und GitOps
- Octelium Kubernetes-Zugriff und Ingress
- Octelium Managed Containers und Anwendungsbereitstellung
- Octelium Homelab und Zugriff auf entfernte Ressourcen
- Octelium AI- und MCP-Gateway
Praxisübungen
- eine Pipeline über kurzlebige Workload-Identität an einen geschützten Dienst anbinden.
- Kubernetes-Zugriff und Ingress für Benutzer und Workloads getrennt absichern.
- eine Anwendung deklarativ bereitstellen und über GitOps aktualisieren.
- eine entfernte Ressource und einen MCP-Endpunkt ohne statische Clientgeheimnisse anbinden.
- Identitäts-, Token-, Routing- und Policy-Fehler in einem verteilten Ablauf korrelieren.
Zielgruppe
DevOps- und Plattformteams, Kubernetes-Administratoren, Cloud- und AI-Architekten, Softwareentwickler und DevSecOps-Fachkräfte.
Voraussetzungen
Gute Kenntnisse in Kubernetes, CI/CD, OIDC oder JWT, Containerbereitstellung, GitOps, HTTP und YAML.
Methodik
Vier Tage sind erforderlich, weil Workload-Identitäten, Kubernetes-Zugriff, GitOps, Anwendungsbereitstellung, entfernte Ressourcen und AI/MCP-Gateways in mehreren automatisierten End-to-End-Szenarien verbunden werden. Ein fünfter Tag ist fachlich nicht notwendig, da der Schwerpunkt auf Integration statt tiefem Plattformbetrieb liegt. Die Durchführung kombiniert fachliche Einordnung, Demonstration, angeleitete Konfiguration, eigenständige Laborphasen, Positiv- und Negativtests sowie eine strukturierte Fehleranalyse. Jeder Themenblock endet mit einer prüfbaren Konfiguration und einer dokumentierten Kontrollliste.
Seminar und Anbieter vergleichen
Öffentliche Schulung
Diese Seminarform ist auch als Präsenzseminar bekannt und bedeutet, dass Sie in unseren Räumlichkeiten von einem Trainer vor Ort geschult werden. Jeder Teilnehmer hat einen Arbeitsplatz mit virtueller Schulungsumgebung. Öffentliche Seminare werden in deutscher Sprache durchgeführt, die Unterlagen sind teilweise in Englisch.
Inhausschulung
Diese Seminarform bietet sich für Unternehmen an, welche gleiche mehrere Teilnehmer gleichzeitig schulen möchten. Der Trainer kommt zu Ihnen ins Haus und unterrichtet in Ihren Räumlichkeiten. Diese Seminare können in Deutsch - bei Firmenseminaren ist auch Englisch möglich gebucht werden.
Webinar
Diese Art der Schulung ist geeignet, wenn Sie die Präsenz eines Trainers nicht benötigen, nicht Reisen können und über das Internet an einer Schulung teilnehmen möchten.
Fachbereichsleitung und Ansprechpersonen
-

René Launa
Telefon: + 43 (720) 022000
E-Mail: rené.launa@seminar-experts.at -

Adam Steyer
Telefon: + 43 (720) 022000
E-Mail:
Seminardetails
| Dauer: | 4 Tage, ca. 6 Stunden pro Tag; Beginn am 1. Tag 10:00 Uhr, an den Folgetagen 09:00 Uhr |
| Preis: |
Öffentlich und Webinar: € 2.396 zzgl. MwSt. Inhaus: € 6.800 zzgl. MwSt. |
| Teilnehmeranzahl: | mindestens 2, höchstens 8 |
| Zielgruppe: | DevOps- und Plattformteams, Kubernetes-Administratoren, Cloud- und AI-Architekten, Softwareentwickler und DevSecOps-Fachkräfte |
| Voraussetzungen: | Gute Kenntnisse in Kubernetes, CI/CD, OIDC oder JWT, Containerbereitstellung, GitOps, HTTP und YAML |
| Durchführung: | Praxisorientiertes Präsenz- oder Live-Online-Seminar mit Laborübungen |
| Inhouse: | auf Anfrage |
Seminartermine
Die Ergebnissliste kann durch Anklicken der Überschrift neu sortiert werden.
