# Bezpieczeństwo w chmurze ## Opis zajęć Współczesne modele przetwarzania danych bazują coraz częściej na zastosowaniu rozwiązań chmurowych. Wraz z rozwojem nowych możliwości, pojawiają się również zagrożenia związane z bezpieczeństwem danych. Na zajęciach przedstawione zostaną podstawy teoretyczne oraz narzędzia przydatne przy budowaniu bezpiecznej infrastruktury IT w chmurze. Omówione zostaną też sposoby pozyskiwania informacji o nowych zagrożeniach i metodach radzenia sobie z nimi. ## Materiały - [slajdy](notatki/) - dostępne w formacie PDF - [zadania](zadania.md) - lista zadań do realizacji - [architektura](architektura.md) - opis architektury chmurowej AWS do realizacji projektu końcowego ## Zasady Zaliczenia Projekt końcowy realizowany w zespołach 2-3 osobowych oceniany na podstawie następujących kryteriów: 1. Analiza wybranego zagrożenia CVE dla odbiorcy biznesowego oraz technicznego – 10 punktów; 2. Prezentacja metod wykrycia zagrożenia CVE oraz sposobu jego usunięcia bądź minimalizacji – 20 punktów; Analizę zagrożenia oraz prezentację należy przygotować w oparciu o architekturę chmurową AWS, opisaną [tutaj](architektura.md). Skala ocen: - bardzo dobry (bdb; 5,0) – od 90% punktów, - dobry plus (db plus; 4,5) – od 80% punktów, - dobry (db; 4,0) – od 70% punktów, - dostateczny plus (dst plus; 3,5) – od 60% punktów, - dostateczny (dst; 3,0) – od 50% punktów, - niedostateczny (ndst; 2,0) – poniżej 50% punktów. W ramach zaliczenia projektu końcowego należy: - przygotować prezentację w formie slajdów dla odbiorcy biznesowego oraz specyfikację techniczną dla odbiorcy technicznego w formacie PDF lub markdown. - zaprezentować przygotowane materiały na zajęciach. Terminy zaliczeń do wyboru: - 29.01.2025 - 03.02.2025 Materiały powinny zostać dostarczone dla prowadzącego poprzez platformę Teams najpóźniej na 3 dni przed terminem prezentacji. Wybrane Zagrożenia CVE: - [CVE-2014-0160](https://nvd.nist.gov/vuln/detail/CVE-2014-0160) - Heartbleed - [CVE-2014-6271](https://nvd.nist.gov/vuln/detail/CVE-2014-6271) - Shellshock - [CVE-2018-0886](https://nvd.nist.gov/vuln/detail/CVE-2018-0886) - BlueKeep - [CVE-2018-10933](https://nvd.nist.gov/vuln/detail/CVE-2018-10933) - libssh - [CVE-2019-5736](https://nvd.nist.gov/vuln/detail/CVE-2019-5736) - RunC - [CVE-2020-1472](https://nvd.nist.gov/vuln/detail/CVE-2020-1472) - Zerologon - [CVE-2021-44228](https://nvd.nist.gov/vuln/detail/CVE-2021-44228) - Log4Shell (Log4j) - [CVE-2022-22965](https://nvd.nist.gov/vuln/detail/CVE-2022-22965) - Spring4Shell - [CVE-2022-26377](https://nvd.nist.gov/vuln/detail/CVE-2022-26377) - HTTP Request Smuggling - [CVE-2022-42889](https://nvd.nist.gov/vuln/detail/CVE-2021-42889) - Text4Shell - [CVE-2024-38063](https://nvd.nist.gov/vuln/detail/CVE-2024-38063) - Critical Remote Code Execution Threat in Windows TCP/IP Stack Przydział zespołów do zagrożeń CVE zostanie ustalony poprzez platformę Teams. ## Kontakt Jan Helak VML (jan.helak@vml.com)