Спринт 7/13 → Тема 1/4: Введение в спринт 7 → Урок 1/2
Что будет в спринте 7
Добро пожаловать в седьмой спринт!
В этот раз в центре внимания — подготовка к аудиту информационной безопасности.
С ростом сложности архитектуры и инфраструктуры IT-решений количество атак злоумышленников не сокращается, а только увеличивается. Хакеры быстро адаптируются к новым вызовам и разрабатывают более продвинутые инструменты для атак — они всегда готовы к «гонке вооружений». Но это не единственная угроза. Внутри компании тоже могут быть точки опасности: нелояльные сотрудники, недобросовестные поставщики или партнёры, клиенты со злым умыслом.
В этих условиях «традиционных» методов защиты уже недостаточно. Чтобы защитить свои сервисы, финансы и репутацию, компаниям приходится вкладывать немало ресурсов в безопасность своих IT-решений. И здесь вам, как специалистам по архитектуре, нужно учитывать два сценария:
- Крупные компании с большим объёмом прибыли вероятнее станут целью для атак. Если вы работаете в крупной компании, у вас, скорее всего, есть отдел информационной безопасности. Разработчики взаимодействуют со специалистами по ИБ в ходе проектирования архитектуры, а экспертов, которые отвечают за проектирования решений, обычно привлекают к архитектуре ИБ, подготовке к аудиту безопасности и доработке решений на его основе.
- В небольших проектах может не хватать специалистов по информационной безопасности. На практике, если у компании нет внутренних специалистов ИБ и бюджета на привлечение внешних экспертов, некоторые задачи по обеспечению безопасности могут лечь на плечи специалистов по архитектуре.
Даже если в вашей компании есть классный ИБ-отдел, будет полезно иметь в голове собственный чек-лист при проработке решений, чтобы избежать основных проблем ещё на этапе проектирования.
Поэтому мы подробно расскажем, как устроен аудит безопасности и как требования ИБ влияют на архитектурные решения. А ещё покажем лучшие практики проектирования, стратегии защиты и шаблоны артефактов — это уже на случай, если вы окажетесь самым экспертным человеком в своей команде.
Что будет в ближайшие две недели
В этом спринте вы узнаете:
- Как оценить свою готовность к аудиту безопасности. Мы разберём, что такое угрозы, какие они бывают и чем отличаются от уязвимостей. Расскажем про векторы атак и объясним, как провести оценку угроз. Отдельно поговорим про риски: вы узнаете, как проходит анализ рисков и какие методы анализа подойдут для разных ситуаций. Всё это необходимо, чтобы разработать проект архитектуры безопасности, — мы покажем пример такого документа и объясним процесс создания стратегии по шагам. Затем подробно разберём законодательные аспекты информационной безопасности: расскажем про законы РФ, которые регулируют эту сферу, и дадим рекомендации, которые позволят учитывать эти ограничения в архитектуре решений. Ещё один важный аспект безопасности — работа с данными. Разберём разные классификации данных и вызовы, которые они ставят перед проектированием и разработкой. После этого покажем, как выглядит проверочный лист для подготовки к аудиту ИБ, и расскажем, что нужно учитывать при его разработке.
- Как спроектировать слой безопасности. Разберём проблемы безопасности, которые сопряжены с идентификацией и авторизацией. Расскажем, какие практики помогут их избежать и что нужно учитывать при проектировании. Также поговорим про то, как спроектировать подсистемы протоколирования и аудита. Затем рассмотрим основные угрозы для целостности данных и средства, которые помогают им противостоять. Отдельный урок посвятим методам и инструментам для защиты доступа к данным. В завершение объясним, как настроить RBAC — управление доступом к ресурсам в кластере Kubernetes. Это позволит вам контролировать, кто и какие действия может выполнять в кластере.
Интересной работы и крутых открытий!