Благодарим ви, че изпратихте вашето запитване! Един от членовете на нашия екип ще се свърже с вас скоро.
Благодарим ви, че направихте своята резервация! Един от членовете на нашия екип ще се свърже с вас скоро.
План на курса
Основи на нулевото доверие
- Еволюция от мрежовата периферна защита към нулево доверие
- Основни принципи на нулевото доверие: никога не вярвай, винаги проверявай, принципът на минимални привилегии
- Фреймворк на NIST SP 800-207 за архитектура на нулево доверие
- Нулево доверие спрямо традиционните модели на мрежова сигурност
- Екосистемата с отворен код за внедряване на нулево доверие
Компоненти на архитектурата на нулево доверие
- Идентичността като новата периферия
- Доверие в устройствата и валидиране на състоянието им
- Мрежова сегментация и микросегментация
- Защита на работните натоварвания на приложението
- Класификация и защита на данните
- Точки за прилагане на политики и точки за вземане на решения
Основа на идентичността за нулево доверие
- Доставчици на идентичност: Keycloak, Authentik, Dex
- Интеграция на OAuth 2.0, OIDC и SAML
- Внедряване на многофакторна аутентикация
- Аутентикация, базирана на риска, и аутентикация „стъпка по стъпка“ (step-up)
- Управление на жизнения цикъл на идентичността
- Верификация и доказване на идентичността
Доверие в устройствата и състоянието им
- Записване и удостоверение на устройствата
- Проверка на съответствието на устройствата с инструменти като Kolide, OSQuery
- Интеграция на откриване и реакция на крайните точки (EDR)
- Аутентикация на устройствата, базирана на сертификати
- Интеграция с MDM за данни за състоянието
- Непрекъсната оценка на доверието в устройствата
Мрежово нулево доверие
- Концепции за софтуерно дефинирана периферия (SDP)
- Реализации на SDP с отворен код
- Микросегментация с OVN, Cilium, Calico
- Архитектура за нулево доверие при мрежов достъп (ZTNA)
- Заместване на VPN с нулево доверие при достъп
- Мрежови политики като код
Прокси сървъри, осведомени за идентичността, и гейтуеи за достъп
- Pomerium: архитектура на прокси сървъри, осведомени за идентичността
- vouch-proxy за интеграция с nginx/Apache
- Разполагане и конфигуриране на OAuth2 Proxy
- Traefik с forward authentication
- Kong Gateway с OIDC плъгини
- Конфигуриране и прилагане на политики за достъп
Service Mesh за нулево доверие
- Service mesh като тъкан за нулево доверие
- Конфигурация на Istio за нулево доверие
- Патърни за сигурно разполагане на Linkerd
- mTLS навсякъде: аутентикация от услуга на услуга
- SPIFFE/SPIRE за идентичност на работните натоварвания
- Политики за оторизация в service mesh
- Зони на доверие на service mesh за множество кластери
PKI и управление на сертификати
- Аутентикация, базирана на сертификати, в нулевото доверие
- Smallstep CA за идентичности на работни натоварвания
- PKI двигател на HashiCorp Vault
- Автоматизация на ротацията и жизнения цикъл на сертификатите
- Частни CA за установяване на вътрешно доверие
- Прозрачност на сертификатите и мониторинг
Управление на тайни данни (Secrets Management)
- HashiCorp Vault за управление на тайни данни
- Sealed Secrets за Kubernetes
- External Secrets Operator
- SOPS: Secrets OPerationS
- Динамични тайни данни и автоматична ротация
- Патърни за инжектиране на тайни данни за приложения
Политики като код и оторизация
- Основи на Open Policy Agent (OPA)
- Основи на езика за политики Rego
- OPA с Kubernetes admission control
- OPA с Envoy за оторизация на услуги
- OPA с API гейтуеи
- Тестване и валидиране на политики
- Интеграция на Apache APISIX с OPA
Сигурност на API в нулевото доверие
- Патърни за сигурност на API гейтуеи
- Kong с отворен код и плъгини за сигурност
- Ограничаване на честотата (Rate limiting) и защита срещу DDoS
- Аутентикация и оторизация на API
- Разглеждане на сигурността на GraphQL
- Откриване на API и идентифициране на скрити API
Защита на данни и предотвратяване на загуба (DLP)
- Фреймворки за класификация на данните
- Инструменти с отворен код за DLP и интеграция
- Криптиране в движение и в покой
- Стратегии за токенизация и маскиране
- Политики за предотвратяване на загуба на данни
- Работа с данни в суверенна среда при нулево доверие
Непрекъсната аутентикация и оторизация
- Управление на сесии в среди на нулево доверие
- Механизми за непрекъсната аутентикация
- Решения за достъп, осведомени за контекста
- Оценяване на риска и динамична оторизация
- Тригери за аутентикация „стъпка по стъпка“ (step-up)
- Прилагане на политики в реално време
Мониторинг и наблюдаемост в нулевото доверие
- Събиране на телеметрия за сигурност
- Интеграция с SIEM с инструменти с отворен код
- Анализ на поведението на потребители и субекти (UEBA)
- Логирани записи и доклади за съответствие
- Откриване на аномалии с машинно обучение
- Таблици за сигурност и известия
Нулево доверие за облачни натоварвания (Cloud-Native)
- Сигурност на контейнерите в контекста на нулевото доверие
- Управление на ефемерната идентичност на работните натоварвания
- Admission controllers за прилагане на нулево доверие
- Сигурност по време на изпълнение (Runtime security) с Falco и Tetragon
- Мрежови политики за сегментация на контейнери
- Патърни за неизменна инфраструктура (Immutable infrastructure)
Внедряване на пътя към нулевото доверие
- Оценка на зрялостта и анализ на пропастите
- Подход на фазово внедряване
- Проектиране и изпълнение на пилотен проект
- Управление на промените и приемане от потребителите
- Измерване на успешните метрики на нулевото доверие
- Предизвикателства и капани, които да се избягват
Разполагане в продуктивна среда и експлоатация
- Патърни за дизайн с висока наличност
- Възстановяване при бедствия за инфраструктура на нулево доверие
- Стратегии за оптимизация на производителността
- Отстраняване на проблеми с аутентикацията и оторизацията
- Надграждане и прилагане на пачове за компонентите на нулево доверие
- Документация и създаване на ръководства за работа (runbooks)
Бъдещето на нулевото доверие и отворения код
- Насрочващи се стандарти и протоколи
- Представки за нулево доверие, устойчиво на квантови компютри
- Изкуствен интелект/машинно обучение в решенията за нулево доверие
- Федерирани архитектури на нулево доверие
- Ресурси на общността и продължаващото развитие
- Обобщение и следващи стъпки
Изисквания
- Силно разбиране на концепциите и принципите на мрежовата сигурност
- Опит с системи за управление на идентичност и достъп (IAM)
- Знание на основите на PKI, сертификати и криптиране
- Познаване на архитектурите на микросървиси и контейнери
- Опит в разполагането и управлението на софтуер с отворен код
Целева аудитория
- Архитекти и инженери по сигурност
- Архитекти на инфраструктурата, разработващи съвременни положения за сигурност
- Инженери DevSecOps, внедряващи конвейери за сигурност
- Мрежови администратори, преминаващи към модели на нулево доверие
35 Часове
Отзиви от потребители (2)
Намерих нови неща.
Cristian
Курс - OpenStack Security
Машинен превод
комункация, знания от опит, решаване на проблеми,
Marcin Walewski - Intel Technology Poland Sp. z o.o.
Курс - OpenStack Bootcamp
Машинен превод
