Szkolenie: Zasady bezpiecznej architektury systemów
Szkolenie "Zasady bezpiecznej architektury systemów" jest poświęcone projektowaniu i wdrażaniu bezpiecznych systemów informatycznych. Obejmuje kluczowe aspekty bezpieczeństwa na poziomie architektonicznym - od podstawowych zasad i modeli, przez praktyczne techniki ochrony danych i komunikacji, po strategie zarządzania uprawnieniami i zabezpieczenia w środowiskach chmurowych i mikroserwisowych.
- Trenerzy praktycy
- Kameralne grupy
Czas trwania szkolenia:2 dni (16h)
Kod kursu:SECURE/ARCH
Zasady bezpiecznej architektury systemów
Cele szkolenia
Zrozumienie zasad projektowania bezpiecznych systemów informatycznych
Nabycie umiejętności identyfikacji i modelowania zagrożeń na poziomie architektury
Poznanie strategii ochrony danych i bezpiecznej komunikacji w systemach rozproszonych
Zdobycie wiedzy o zabezpieczeniach w architekturach chmurowych i mikroserwisowych
Nabycie umiejętności projektowania wielowarstwowych mechanizmów ochrony
Nauka praktycznego zastosowania modelu zagrożeń w procesie projektowania systemów
Dla kogo?
Architektów oprogramowania
Programistów
Specjalistów ds. bezpieczeństwa aplikacji
Menedżerów technicznych
Zalety
Połączenie teorii z praktycznymi przykładami
Praktyczne wskazówki dotyczące równoważenia wymogów biznesowych i bezpieczeństwa
Realne przypadki – analiza rzeczywistych podatności i błędów architektonicznych
Możliwość analizy przypadków z własnej organizacji
Wymagania
Podstawowa wiedza z zakresu architektury systemów informatycznych
Ogólna znajomość zagadnień bezpieczeństwa IT
Zrozumienie podstawowych pojęć z obszaru sieci komputerowych
Podstawowa znajomość modeli chmurowych i/lub mikroserwisowych
W cenie otrzymasz:
Materiały szkoleniowe
Certyfikat ukończenia szkolenia
W przypadku szkolenia w trybie stacjonarnym zapewnimy Ci również lunch oraz sprzęt niezbędny do nauki
Program szkolenia
Wprowadzenie do bezpiecznej architektury systemów
Podstawowe pojęcia i definicje
Rola architektury w bezpieczeństwie systemów IT
Podstawowe zasady projektowania bezpiecznych systemów
Przegląd modeli zagrożeń i analizy ryzyka
Modele architektoniczne i ich wpływ na bezpieczeństwo
Monolity vs. mikrousługi – porównanie pod kątem bezpieczeństwa
Architektura warstwowa a bezpieczeństwo danych
Bezpieczeństwo w modelach chmurowych (IaaS, PaaS, SaaS)
Bezpieczeństwo komunikacji w systemach rozproszonych
Szyfrowanie danych w ruchu (TLS, mTLS)
Bezpieczna wymiana informacji między usługami
Ochrona przed atakami MITM i downgrade
Projektowanie bezpiecznej architektury
Modelowanie zagrożeń i identyfikacja punktów krytycznych
Analiza ryzyka i wybór odpowiednich mechanizmów ochrony
Wdrażanie zabezpieczeń na poziomie systemowym
Zarządzanie danymi i ich ochrona
Bezpieczne przechowywanie danych (szyfrowanie, tokenizacja)
Mechanizmy kontroli dostępu do baz danych
Polityki retencji i anonimizacja danych
Bezpieczeństwo aplikacji webowych i API
Zasady projektowania bezpiecznych API
Ochrona przed OWASP API Security Top 10
Mechanizmy rate limiting, WAF, monitoring ruchu
Bezpieczna architektura chmurowa
Modele odpowiedzialności w chmurze
Hardening konfiguracji chmurowych
Mechanizmy detekcji i reakcji na zagrożenia
Bezpieczeństwo w architekturze mikroserwisowej
Izolacja usług i segmentacja sieci
Zabezpieczenie komunikacji między mikroserwisami
Uwierzytelnianie serwisów i podejście Zero Trust
Dbaj o najsłabsze ogniwo
Identyfikacja najsłabszych ogniw w systemie
Wykorzystanie testów penetracyjnych i analiz ryzyka
Jak wzmacniać krytyczne punkty systemu
Chroń każdą warstwę
Modele warstwowej ochrony (Defense in Depth)
Zabezpieczenia na poziomie infrastruktury, aplikacji i danych
Strategie minimalizacji powierzchni ataku
Odporność na błędy
Mechanizmy zabezpieczeń tolerujące awarie
Fail-safe vs. fail-open – co wybrać?
Projektowanie systemów z uwzględnieniem błędów użytkownika i ataków
Nie dawaj więcej uprawnień niż potrzeba
Zasada najmniejszych uprawnień (Least Privilege)
Kontrola dostępu oparta na rolach (RBAC) i atrybutach (ABAC)
Jak efektywnie zarządzać uprawnieniami w organizacji
Jeden użytkownik nie powinien mieć za dużo uprawnień
Zasada separacji obowiązków (Separation of Duties)
Przykłady nadużyć wynikających z nadmiernych uprawnień
Audyty i monitorowanie przyznanych ról
Dziel system na mniejsze kawałki
Mikroserwisy i ich wpływ na bezpieczeństwo
Stosowanie kontenerów i izolacja procesów
Jak unikać nadmiernej złożoności w podziale systemu
Dbaj o prostotę
Zasada KISS (Keep It Simple, Stupid) w bezpieczeństwie
Prostota vs. funkcjonalność – jak znaleźć balans?
Jak minimalizować ryzyko poprzez ograniczenie zbędnych elementów
Nie ukrywaj szczegółów implementacji
Zasada Kerckhoffsa i bezpieczeństwo przez przejrzystość
Dlaczego „security through obscurity” to zły pomysł?
Jak skutecznie chronić wrażliwe informacje
Nigdy nie ufaj użytkownikom
Przykłady ataków bazujących na manipulacji użytkownika
Walidacja i filtrowanie danych wejściowych
Strategie zapobiegania phishingowi i inżynierii społecznej
Nigdy nie ufaj innym systemom
Zagrożenia wynikające z integracji z zewnętrznymi systemami
Weryfikacja źródeł danych i protokoły uwierzytelniania
Jak minimalizować ryzyko związane z API i usługami zewnętrznymi
Korzystaj z zaufanych źródeł
Jak weryfikować biblioteki, zależności i dostawców oprogramowania
Podpisy cyfrowe i zarządzanie łańcuchem dostaw
Przykłady ataków na niezweryfikowane źródła
Nie komplikuj życia użytkownikom
Balans między bezpieczeństwem a użytecznością
Przykłady złych i dobrych praktyk w UX bezpieczeństwa
Jak wdrażać skuteczne zabezpieczenia bez frustrowania użytkowników
Podsumowanie zasad bezpiecznej architekty
Bezpieczeństwo elementów architektury
Zasady projektowania systemów
Wybrane opinie
Przeczytaj pozytywne opinie pochodzące z ankiet satysfakcji z naszych szkoleń wypełnianych wyłącznie przez ich uczestników po realizacji usługi