Dziękujemy za wysłanie zapytania! Jeden z członków naszego zespołu skontaktuje się z Państwem wkrótce.
Dziękujemy za wysłanie rezerwacji! Jeden z członków naszego zespołu skontaktuje się z Państwem wkrótce.
Plan Szkolenia
Podstawy bezpieczeństwa & wspólna odpowiedzialność
- Modele usług chmurowych (IaaS, PaaS, SaaS) i gdzie bezpieczeństwo aplikacji ma zastosowanie w każdym z tych modeli
- Model wspólnej odpowiedzialności i przykłady odpowiedzialności klienta wobec dostawcy
- Podstawowe wymiary bezpieczeństwa i standardy konfiguracji (benchmarki CIS i najlepsze praktyki dostawcy)
- Podstawy IAM w chmurze: role, polityki, grupy i projekty najmniejszej liczby uprawnień
- Federacja, pojedyncze logowanie i wieloskładnikowa autoryzacja w chmurze
- Zasady modelu Zero Trust dla aplikacji chmurowych i wzorce segmentacji sieci
- Zabezpieczanie wirtualnych maszyn, kontenerów i zarządzanych usług za pomocą sztyletowych list kontrolnych
- Zarządzanie kluczami i wzorce szyfrowania (w spoczynku i w trakcie transmisji); koncepcje KMS i zarządzanie tajnymi informacjami
- Kontrole sieciowe, grupy bezpieczeństwa, podstawy WAF i ochrona punktów końcowych usług
- Koncepcje bezpiecznego SDLC i „przesunięcia w lewo”: sprawdzanie poprawności, SAST, skanowanie zależności i integracja SCA
- Bezpieczne wzorce kodowania i powszechne pułapki (OWASP Top Ten mapowane do kontekstów chmurowych)
- Obsługa tajnych informacji w kodzie i zmiennych środowiskowych; uwagi dotyczące łańcucha dostaw (zależności i uruchomienia CI/CD)
- Zagrożenia aplikacji internetowych: złamane kontrolowanie dostępu, iniekcje, nieprawidłowe konfiguracje, awarie kryptograficzne i ich specyficzne dla chmury objawienia
- Bezpieczeństwo API: uwierzytelnianie, ograniczanie częstotliwości, walidacja schematów i kontrola bramki API
- Ochrona podczas uruchamiania: dostrajanie WAF, koncepcje RASP i obrony uruchomienia kontenerów
- SAST, DAST, IAST, skanowanie zależności i sposób interpretacji i triowania wyników
- Ocena postawy i konfiguracji chmury: narzędzia CSPM/CNAPP, benchmarking i automatyczne sprawdzanie zgodności
- Projektowanie ciągłego monitorowania: rejestrowanie, telemetria, integracja SIEM i alertowanie (przykłady CloudTrail, Azure Monitor, GCP Logging)
- Planowanie bezpiecznych testów penetracyjnych w chmurze: zasady dostawcy, zakres i uwagi prawne
- Powszechne ścieżki ataków w chmurze i demonstracje eksploatacji podatności w laboratorium (kontrolowane środowisko)
- Przepływy napraw, strategie łatania i śledzenie podatności z KPI
- Klasyfikacja danych, architektury szyfrowania i wzorce tokenizacji
- Bezpieczeństwo DBaaS i magazynowania: kontrole dostępu, kopie zapasowe i bezpieczne snapshoty
- Uwagi dotyczące prywatności i zgodności: rezydencja danych, podstawy GDPR i kontrola umowna
- Mikroserwisy, sieci usług i wzorce bezpiecznej komunikacji (mTLS, wzajemne uwierzytelnianie)
- Podstawowe bezpieczeństwo kontenerów i Kubernetes: wzmocnienie obrazów, skanowanie i polityki uruchomienia
- Uwagi dotyczące bezpieczeństwa bezserwerowego: najmniejsza liczba uprawnień, wstrzykiwanie zdarzeń i implikacje zimnego uruchomienia
- Wykrywanie i reagowanie na incydenty w środowiskach chmurowych: scenariusze, śledztwo i zbieranie dowodów
- Audit i ocena przez strony trzecie: testy penetracyjne, przegląd bezpieczeństwa i mapowanie certyfikatów
- Zarządzanie, automatyzacja polityk i mierzenie postawy bezpieczeństwa w czasie
- Podstawowe sprawdzenie: uruchomienie skanowania konfiguracji chmury i skanowania aplikacji SAST/DAST
- Wdrożenie napraw: IAM najmniejszej liczby uprawnień, szyfrowanie i zabezpieczenia CI/CD
- Walidacja ulepszeń i przygotowanie drogi napraw i monitorowania
Wymagania
- Zrozumienie ogólnych koncepcji rozwoju oprogramowania
- Doświadczenie z co najmniej jednym językiem programowania lub stosem internetowym
- Znałość podstawowych koncepcji sieciowych i systemów operacyjnych
Grupa docelowa
- Developers
- Menadżerowie
- Specjaliści IT i bezpieczeństwa
21 godzin
Opinie uczestników (2)
Azure web security, to było bardziej to, czego oczekiwałem, testy penetracyjne, których nigdy bym nie przeprowadził w mojej pracy
Toby
Szkolenie - Application Security in the Cloud
Przetłumaczone przez sztuczną inteligencję
Informacje o cold boot attack i omówienie sposobów zabezpieczenia przed tym atakiem.