bezpieczenstwo-w-chmurze/README.md
2024-10-22 15:35:30 +02:00

58 lines
3.0 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# Bezpieczeństwo w chmurze
## Opis zajęć
Współczesne modele przetwarzania danych bazują coraz częściej na zastosowaniu rozwiązań chmurowych. Wraz z rozwojem nowych możliwości, pojawiają się również zagrożenia związane z bezpieczeństwem danych. Na zajęciach przedstawione zostaną podstawy teoretyczne oraz narzędzia przydatne przy budowaniu bezpiecznej infrastruktury IT w chmurze. Omówione zostaną też sposoby pozyskiwania informacji o nowych zagrożeniach i metodach radzenia sobie z nimi.
## Materiały
- [slajdy](notatki/) - dostępne w formacie PDF
- [zadania](zadania.md) - lista zadań do realizacji
- [architektura](architektura.md) - opis architektury chmurowej AWS do realizacji projektu końcowego
## Zasady Zaliczenia
Projekt końcowy realizowany w zespołach 2-3 osobowych oceniany na podstawie następujących kryteriów:
1. Analiza wybranego zagrożenia CVE dla odbiorcy biznesowego oraz technicznego 10 punktów;
2. Prezentacja metod wykrycia zagrożenia CVE oraz sposobu jego usunięcia bądź minimalizacji 20 punktów;
Analizę zagrożenia oraz prezentację należy przygotować w oparciu o architekturę chmurową AWS, opisaną [tutaj](architektura.md).
Skala ocen:
- bardzo dobry (bdb; 5,0) od 90% punktów,
- dobry plus (db plus; 4,5) od 80% punktów,
- dobry (db; 4,0) od 70% punktów,
- dostateczny plus (dst plus; 3,5) od 60% punktów,
- dostateczny (dst; 3,0) od 50% punktów,
- niedostateczny (ndst; 2,0) poniżej 50% punktów.
W ramach zaliczenia projektu końcowego należy:
- przygotować prezentację w formie slajdów dla odbiorcy biznesowego oraz specyfikację techniczną dla odbiorcy technicznego w formacie PDF lub markdown.
- zaprezentować przygotowane materiały na zajęciach.
Terminy zaliczeń do wyboru:
- 29.01.2025
- 03.02.2025
Materiały powinny zostać dostarczone dla prowadzącego poprzez platformę Teams najpóźniej na 3 dni przed terminem prezentacji.
Wybrane Zagrożenia CVE:
- [CVE-2014-0160](https://nvd.nist.gov/vuln/detail/CVE-2014-0160) - Heartbleed
- [CVE-2014-6271](https://nvd.nist.gov/vuln/detail/CVE-2014-6271) - Shellshock
- [CVE-2018-0886](https://nvd.nist.gov/vuln/detail/CVE-2018-0886) - BlueKeep
- [CVE-2018-10933](https://nvd.nist.gov/vuln/detail/CVE-2018-10933) - libssh
- [CVE-2019-5736](https://nvd.nist.gov/vuln/detail/CVE-2019-5736) - RunC
- [CVE-2020-1472](https://nvd.nist.gov/vuln/detail/CVE-2020-1472) - Zerologon
- [CVE-2021-44228](https://nvd.nist.gov/vuln/detail/CVE-2021-44228) - Log4Shell (Log4j)
- [CVE-2022-22965](https://nvd.nist.gov/vuln/detail/CVE-2022-22965) - Spring4Shell
- [CVE-2022-26377](https://nvd.nist.gov/vuln/detail/CVE-2022-26377) - HTTP Request Smuggling
- [CVE-2022-42889](https://nvd.nist.gov/vuln/detail/CVE-2021-42889) - Text4Shell
- [CVE-2024-38063](https://nvd.nist.gov/vuln/detail/CVE-2024-38063) - Critical Remote Code Execution Threat in Windows TCP/IP Stack
Przydział zespołów do zagrożeń CVE zostanie ustalony poprzez platformę Teams.
## Kontakt
Jan Helak
VML (jan.helak@vml.com)