Plan Szkolenia

Podstawy bezpieczeństwa & wspólna odpowiedzialność
  • Modele usług chmurowych (IaaS, PaaS, SaaS) i gdzie bezpieczeństwo aplikacji ma zastosowanie w każdym z tych modeli
  • Model wspólnej odpowiedzialności i przykłady odpowiedzialności klienta wobec dostawcy
  • Podstawowe wymiary bezpieczeństwa i standardy konfiguracji (benchmarki CIS i najlepsze praktyki dostawcy)
Zarządzanie tożsamością, dostępem i model Zero Trust
  • Podstawy IAM w chmurze: role, polityki, grupy i projekty najmniejszej liczby uprawnień
  • Federacja, pojedyncze logowanie i wieloskładnikowa autoryzacja w chmurze
  • Zasady modelu Zero Trust dla aplikacji chmurowych i wzorce segmentacji sieci
Bezpieczne infrastruktury i zabezpieczenie platformy
  • Zabezpieczanie wirtualnych maszyn, kontenerów i zarządzanych usług za pomocą sztyletowych list kontrolnych
  • Zarządzanie kluczami i wzorce szyfrowania (w spoczynku i w trakcie transmisji); koncepcje KMS i zarządzanie tajnymi informacjami
  • Kontrole sieciowe, grupy bezpieczeństwa, podstawy WAF i ochrona punktów końcowych usług
Bezpieczne tworzenie oprogramowania w chmurze
  • Koncepcje bezpiecznego SDLC i „przesunięcia w lewo”: sprawdzanie poprawności, SAST, skanowanie zależności i integracja SCA
  • Bezpieczne wzorce kodowania i powszechne pułapki (OWASP Top Ten mapowane do kontekstów chmurowych)
  • Obsługa tajnych informacji w kodzie i zmiennych środowiskowych; uwagi dotyczące łańcucha dostaw (zależności i uruchomienia CI/CD)
Zagrożenia, podatności i ochrona aplikacji
  • Zagrożenia aplikacji internetowych: złamane kontrolowanie dostępu, iniekcje, nieprawidłowe konfiguracje, awarie kryptograficzne i ich specyficzne dla chmury objawienia
  • Bezpieczeństwo API: uwierzytelnianie, ograniczanie częstotliwości, walidacja schematów i kontrola bramki API
  • Ochrona podczas uruchamiania: dostrajanie WAF, koncepcje RASP i obrony uruchomienia kontenerów
Testowanie, skanowanie i ciągłe ocena
  • SAST, DAST, IAST, skanowanie zależności i sposób interpretacji i triowania wyników
  • Ocena postawy i konfiguracji chmury: narzędzia CSPM/CNAPP, benchmarking i automatyczne sprawdzanie zgodności
  • Projektowanie ciągłego monitorowania: rejestrowanie, telemetria, integracja SIEM i alertowanie (przykłady CloudTrail, Azure Monitor, GCP Logging)
Testy penetracyjne i zarządzanie podatnościami
  • Planowanie bezpiecznych testów penetracyjnych w chmurze: zasady dostawcy, zakres i uwagi prawne
  • Powszechne ścieżki ataków w chmurze i demonstracje eksploatacji podatności w laboratorium (kontrolowane środowisko)
  • Przepływy napraw, strategie łatania i śledzenie podatności z KPI
Bezpieczeństwo danych i prywatność w chmurze
  • Klasyfikacja danych, architektury szyfrowania i wzorce tokenizacji
  • Bezpieczeństwo DBaaS i magazynowania: kontrole dostępu, kopie zapasowe i bezpieczne snapshoty
  • Uwagi dotyczące prywatności i zgodności: rezydencja danych, podstawy GDPR i kontrola umowna
Projektowanie bezpiecznych aplikacji w chmurze
  • Mikroserwisy, sieci usług i wzorce bezpiecznej komunikacji (mTLS, wzajemne uwierzytelnianie)
  • Podstawowe bezpieczeństwo kontenerów i Kubernetes: wzmocnienie obrazów, skanowanie i polityki uruchomienia
  • Uwagi dotyczące bezpieczeństwa bezserwerowego: najmniejsza liczba uprawnień, wstrzykiwanie zdarzeń i implikacje zimnego uruchomienia
Reakcja na incydenty, audyt i zarządzanie
  • Wykrywanie i reagowanie na incydenty w środowiskach chmurowych: scenariusze, śledztwo i zbieranie dowodów
  • Audit i ocena przez strony trzecie: testy penetracyjne, przegląd bezpieczeństwa i mapowanie certyfikatów
  • Zarządzanie, automatyzacja polityk i mierzenie postawy bezpieczeństwa w czasie
Warsztat końcowy: Zabezpieczanie przykładowej aplikacji chmurowej
  • Podstawowe sprawdzenie: uruchomienie skanowania konfiguracji chmury i skanowania aplikacji SAST/DAST
  • Wdrożenie napraw: IAM najmniejszej liczby uprawnień, szyfrowanie i zabezpieczenia CI/CD
  • Walidacja ulepszeń i przygotowanie drogi napraw i monitorowania
Podsumowanie i kolejne kroki

Wymagania

  • Zrozumienie ogólnych koncepcji rozwoju oprogramowania
  • Doświadczenie z co najmniej jednym językiem programowania lub stosem internetowym
  • Znałość podstawowych koncepcji sieciowych i systemów operacyjnych

Grupa docelowa

  • Developers
  • Menadżerowie
  • Specjaliści IT i bezpieczeństwa
 21 godzin

Liczba uczestników


cena netto za uczestnika

Opinie uczestników (2)

Propozycje terminów

Powiązane Kategorie