Laborator 9: Reducerea Suprafaței de Atac
Obiective
- Înțelegerea conceptului de suprafață de atac și importanța minimizării acesteia
- Identificarea punctelor de expunere și vulnerabilităților aplicației
- Aplicarea strategiilor pentru reducerea suprafeței de atac
- Implementarea principiilor de securitate prin design
- Evaluarea impactului măsurilor de securitate asupra aplicației
Cerințe tehnologice
- Scanare și analiză: OWASP ZAP, Nikto, Trivy, Grype
- Hardening: Seccomp, AppArmor, SELinux, Docker Security Best Practices
- Reducerea expunerii: Firewall, Rate Limiting, API Gateway
- Control acces: Least Privilege Principle, RBAC
- CI/CD Security: GitHub Dependabot, SAST (Static Application Security Testing)
Funcționalități
1. Identificarea suprafeței de atac
- Analiza componentelor expuse (endpoint-uri API, porturi deschise, dependențe externe)
- Utilizarea tool-urilor de scanare pentru a descoperi vulnerabilități
- Cartografierea suprafeței de atac prin OWASP ZAP sau Nikto
2. Aplicarea măsurilor de reducere a suprafeței de atac
- Eliminarea componentelor și serviciilor neesențiale
- Limitarea accesului la resurse prin firewall și rate limiting
- Configurarea corectă a permisiunilor și implementarea RBAC
3. Securizarea imaginii containerului și infrastructurii
- Reducerea dimensiunii containerului prin imagini minimale (Alpine, distroless)
- Aplicarea politici de securitate pentru containere (Seccomp, AppArmor)
- Blocarea accesului root și utilizarea de UID/GID non-privilegiate
4. Integrarea măsurilor de securitate în pipeline-ul CI/CD
- Scanarea automată a vulnerabilităților înainte de deployment
- Implementarea unei politici stricte de update și patching
- Monitorizarea continuă a suprafeței de atac și a riscurilor noi
Evaluare
- Identificarea corectă a punctelor de expunere ale aplicației (25%)
- Implementarea măsurilor de reducere a suprafeței de atac (30%)
- Aplicarea securizării containerelor și infrastructurii (30%)
- Integrarea măsurilor în pipeline-ul CI/CD (15%)
Resurse suplimentare
- [https://owasp.org/www-project-zap/ OWASP ZAP - Web Security Scanner]
- [https://cwe.mitre.org Common Weakness Enumeration (CWE)]
- [https://www.docker.com/blog/securing-your-containers Docker Security Best Practices]
- [https://github.com/aquasecurity/trivy Trivy - Vulnerability Scanner]
- [https://github.com/aquasecurity/grype Grype - CVE Scanner]
