# Zadania do przedmiotu Bezpieczeństwo w Chmurze: ## Wprowadzenie 1. Zapoznaj się z bazą podatności [Common Vulnerabilities and Exposures](https://cve.mitre.org/) oraz NIST [National Vulnerability Database](https://nvd.nist.gov/) 2. Zapoznaj się z opisem [CVE od firmy Red Hat](https://www.redhat.com/en/topics/security/what-is-cve) 2. Zapoznaj się z Modelami Wspólnej Odpowiedzialności: - [AWS](https://aws.amazon.com/compliance/shared-responsibility-model/) - [Azure](https://learn.microsoft.com/en-us/azure/security/fundamentals/shared-responsibility) - [Google Cloud](https://cloud.google.com/architecture/framework/security/shared-responsibility-shared-fate) 3. Przygotuj dostęp do [Laboratorium AWS](https://awsacademy.instructure.com/) ## Aplikacja w Chmurze 1. Zapoznaj się z konsolą AWS; 2. Przygotuj maszynę wirtualną EC2: - region: *eu-central-1*; - rodzaj obrazu: *Ubuntu Server 24.04 LTS*; - rodzaj instancja: *t2.micro*; - typ sieci: *domyślne VPC*; - przygotuj nową parę kluczy ssh; - zezwól na ruch SSH z dowolnego adresu IP; - zezwól na ruch HTTP z dowolnego adresu IP; - wykorzystaj [skrypt instalacyjny](skrypty/uam-bwc-ec2-httpd.sh) w sekcji *User Data*; - zaloguj się na maszynę za pomocą kluczy ssh i przejrzyj logi dostępowe: ```bash tail -f /var/log/apache2/access.log /var/log/auth.log ``` 3. Zapoznaj się z ofertą [AWS Free Tier](https://aws.amazon.com/free/) 4. Po zakończeniu ćwiczeń, usuń maszynę wirtualną EC2. ## OWASP i Nagłówki HTTP 1. Zapoznaj się z projektami [OWASP](https://owasp.org/projects/) 2. Zapoznaj się z nagłówkami bezpieczeństwa HTTP: - [Content Security Policy](https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP) - [Cross-Origin Resource Sharing](https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS) - [Cache-Control](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Cache-Control) - [robots.txt](https://en.wikipedia.org/wiki/Robots.txt) Sprawdź jakie nagłówki i zawartość pliku robots.txt są dostępne różnych stronach internetowych. 3. Za pomocą dodatków do przeglądarki WWW, np. [ModHeader](https://modheader.com/) spróbuj zbudować politykę CSP dla wybranej strony internetowej, np. [https://wmi.amu.edu.pl/](https://wmi.amu.edu.pl/) 4. Sprawdź co oznacza wartość `no-cache` w nagłówku `Cache-Control`.