Děkujeme za vaši dotaz! Jeden z našich pracovníků vás brzy kontaktuje.
Děkujeme za rezervaci! Jeden z našich pracovníků vás brzy kontaktuje.
Návrh Školení
Základy Zero Trust
- Vývoj od bezpečnosti okraje sítě k Zero Trust
- Základní principy Zero Trust: nikdy nedůvěřuj, vždy ověřuj, nejméně potřebná oprávnění
- Rámec architektury Zero Trust NIST SP 800-207
- Zero Trust versus tradiční modely síťové bezpečnosti
- Ekosystém open source pro implementaci Zero Trust
Komponenty architektury Zero Trust
- Identita jako nový okraj sítě
- Důvěra k zařízení a ověřování stavu (posture) zařízení
- Segmentace sítě a mikrosegmentace
- Ochrana aplikačních zátěží
- Klasifikace a ochrana dat
- Body vynucování zásad (PEP) a body rozhodování o zásadách (PDP)
Identitní základna pro Zero Trust
- Poskytovatelé identit: Keycloak, Authentik, Dex
- Integrace OAuth 2.0, OIDC a SAML
- Implementace vícefaktorové autentizace
- Autentizace založená na riziku a step-up autentizace
- Správa životního cyklu identit
- Prověřování a ověřování identit
Důvěra k zařízení a stav (posture)
- Registrace a atestace zařízení
- Kontrola souladu zařízení s nástroji jako Kolide, OSQuery
- Integrace detekce a reakce na koncových bodech (EDR)
- Autentizace zařízení na základě certifikátů
- Integrace MDM pro data o stavu (posture data)
- Průběžné hodnocení důvěry k zařízení
Zero Trust na síťové úrovni
- Koncepty softwarově definovaného perimetru (SDP)
- Implementace SDP open source
- Mikrosegmentace pomocí OVN, Cilium, Calico
- Architektura Zero Trust Network Access (ZTNA)
- Nahrazení VPN přístupem Zero Trust
- Síťové zásady jako kód (Policy as Code)
Identity-aware proxy a brány přístupu
- Pomerium: architektura identity-aware proxy
- vouch-proxy pro integraci s nginx/Apache
- Nasazení a konfigurace OAuth2 Proxy
- Traefik s forward autentizací
- Kong Gateway s pluginy OIDC
- Konfigurace a vynucování zásad přístupu
Service mesh pro Zero Trust
- Service mesh jako fabric Zero Trust
- Konfigurace Zero Trust v Istio
- Bezpečné vzory nasazení v Linkerd
- mTLS všude: autentizace mezi službami
- SPIFFE/SPIRE pro identity pracovních zátěží
- Zásady autorizace v service mesh
- Domény důvěry pro service mesh mezi více klastermi
PKI a správa certifikátů
- Autentizace na základě certifikátů v Zero Trust
- Smallstep CA pro identity pracovních zátěží
- Modul PKI v HashiCorp Vault
- Automatizace rotace certifikátů a životního cyklu
- Soukromá CA pro stanovení vnitřní důvěry
- Transparentnost certifikátů a monitorování
Správa tajných údajů (Secrets Management)
- HashiCorp Vault pro správu tajných údajů
- Sealed Secrets pro Kubernetes
- External Secrets Operator
- SOPS: Secrets OPerationS
- Dynamické tajné údaje a automatická rotace
- Vzory vkládání tajných údajů pro aplikace
Zásady jako kód a autorizace
- Základy Open Policy Agent (OPA)
- Základy jazyka Rego pro zásady
- OPA s kontrolou přijímání v Kubernetes
- OPA s Envoy pro autorizaci služeb
- OPA s bránami API
- Testování a validace zásad
- Integrace Apache APISIX s OPA
Bezpečnost API v Zero Trust
- Vzory zabezpečení API brány
- Kong open source s bezpečnostními pluginy
- Omezování rychlosti (Rate limiting) a ochrana proti DDoS
- Autentizace a autorizace API
- Bezpečnostní aspekty GraphQL
- Objevování API a detekce shadow API
Ochrana dat a DLP
- Rámce klasifikace dat
- Nástroje DLP open source a integrace
- Šifrování při přenosu a v klidovém stavu (at rest)
- Strategie tokenizace a maskování
- Zásady prevence úniku dat (DLP)
- Zpracování suverénních dat v Zero Trust
Průběžná autentizace a autorizace
- Řízení relací v prostředích Zero Trust
- Mechanismy průběžné autentizace
- Rozhodování o přístupu na základě kontextu
- Hodnocení rizika a dynamická autorizace
- Spouštěče step-up autentizace
- Vynucování zásad v reálném čase
Monitorování a pozorovatelnost v Zero Trust
- Sběr bezpečnostních telemetrických dat
- Integrace SIEM s nástroji open source
- Analýza chování uživatelů a entit (UEBA)
- Auditní protokolování a reportování pro soulad
- Detekce anomálií s využitím strojového učení
- Bezpečnostní přehledy a upozorňování
Zero Trust pro cloud-native zátěže
- Bezpečnost kontejnerů v kontextu Zero Trust
- Řízení dočasné identity pracovních zátěží
- Admission kontroloři pro vynucování Zero Trust
- Bezpečnost v době běhu s Falco a Tetragon
- Síťové zásady pro segmentaci kontejnerů
- Vzory neměnné infrastruktury
Implementace road mapy Zero Trust
- Hodnocení zralosti a analýza mezer
- Fázový přístup k implementaci
- Návrh a realizace pilotního projektu
- Správa změn a zavádění mezi uživateli
- Měření úspěšnosti metrik Zero Trust
- Výzvy a pasti, kterým se vyhnout
Provozní nasazení a operace
- Vzory vysoké dostupnosti
- Disaster recovery pro infrastrukturu Zero Trust
- Strategie optimalizace výkonu
- Řešení problémů s autentizací a autorizací
- Aktualizace a patchování komponent Zero Trust
- Dokumentace a tvorba runbooků
Budoucnost Zero Trust a open source
- Vycházející standardy a protokoly
- Uvažování ohledně post-quantum Zero Trust
- AI/ML v rozhodování Zero Trust
- Federované architektury Zero Trust
- Zdroje komunity a další vývoj
- Shrnutí a další kroky
Požadavky
- Silné porozumění konceptům a principům síťové bezpečnosti
- Zkušenosti s systémy řízení identit a přístupu (IAM)
- Znalosti základů PKI, certifikátů a šifrování
- Seznámenost s architekturami mikroservis a kontejnerů
- Zkušenosti s nasazením a správou softwaru open source
Cílová skupina
- Architekti a inženýři bezpečnosti
- Architekti infrastruktury navrhující moderní bezpečnostní pozice
- Inženýři DevSecOps implementující bezpečnostní pipeline
- Síťoví administrátoři přecházející na modely Zero Trust
35 Hodiny
Reference (2)
Našel jsem nové věci.
Cristian
Kurz - OpenStack Security
Přeloženo strojem
komunikace, znalosti zkušeností, řešení problémů,
Marcin Walewski - Intel Technology Poland Sp. z o.o.
Kurz - OpenStack Bootcamp
Přeloženo strojem
