Differences
This shows you the differences between two versions of the page.
|
ss:laboratoare:09 [2025/02/20 16:30] 127.0.0.1 external edit |
ss:laboratoare:09 [2025/02/26 00:45] (current) jan.vaduva |
||
|---|---|---|---|
| Line 1: | Line 1: | ||
| - | ===== Laboratorul 09. ===== | + | ====== Laborator 9: Reducerea Suprafaței de Atac ====== |
| + | |||
| + | ===== Obiective ===== | ||
| + | * Înțelegerea conceptului de **suprafață de atac** și importanța minimizării acesteia | ||
| + | * Identificarea punctelor de expunere și vulnerabilităților aplicației | ||
| + | * Aplicarea strategiilor pentru reducerea suprafeței de atac | ||
| + | * Implementarea principiilor de securitate prin design | ||
| + | * Evaluarea impactului măsurilor de securitate asupra aplicației | ||
| + | |||
| + | ===== Cerințe tehnologice ===== | ||
| + | * **Scanare și analiză**: OWASP ZAP, Nikto, Trivy, Grype | ||
| + | * **Hardening**: Seccomp, AppArmor, SELinux, Docker Security Best Practices | ||
| + | * **Reducerea expunerii**: Firewall, Rate Limiting, API Gateway | ||
| + | * **Control acces**: Least Privilege Principle, RBAC | ||
| + | * **CI/CD Security**: GitHub Dependabot, SAST (Static Application Security Testing) | ||
| + | |||
| + | ===== Funcționalități ===== | ||
| + | |||
| + | ==== 1. Identificarea suprafeței de atac ==== | ||
| + | * Analiza componentelor expuse (endpoint-uri API, porturi deschise, dependențe externe) | ||
| + | * Utilizarea tool-urilor de scanare pentru a descoperi vulnerabilități | ||
| + | * Cartografierea suprafeței de atac prin OWASP ZAP sau Nikto | ||
| + | |||
| + | ==== 2. Aplicarea măsurilor de reducere a suprafeței de atac ==== | ||
| + | * Eliminarea componentelor și serviciilor neesențiale | ||
| + | * Limitarea accesului la resurse prin firewall și rate limiting | ||
| + | * Configurarea corectă a permisiunilor și implementarea RBAC | ||
| + | |||
| + | ==== 3. Securizarea imaginii containerului și infrastructurii ==== | ||
| + | * Reducerea dimensiunii containerului prin imagini minimale (Alpine, distroless) | ||
| + | * Aplicarea politici de securitate pentru containere (Seccomp, AppArmor) | ||
| + | * Blocarea accesului root și utilizarea de UID/GID non-privilegiate | ||
| + | |||
| + | ==== 4. Integrarea măsurilor de securitate în pipeline-ul CI/CD ==== | ||
| + | * Scanarea automată a vulnerabilităților înainte de deployment | ||
| + | * Implementarea unei politici stricte de update și patching | ||
| + | * Monitorizarea continuă a suprafeței de atac și a riscurilor noi | ||
| + | |||
| + | ===== Evaluare ===== | ||
| + | * Identificarea corectă a punctelor de expunere ale aplicației (25%) | ||
| + | * Implementarea măsurilor de reducere a suprafeței de atac (30%) | ||
| + | * Aplicarea securizării containerelor și infrastructurii (30%) | ||
| + | * Integrarea măsurilor în pipeline-ul CI/CD (15%) | ||
| + | |||
| + | ===== Resurse suplimentare ===== | ||
| + | * [https://owasp.org/www-project-zap/ OWASP ZAP - Web Security Scanner] | ||
| + | * [https://cwe.mitre.org Common Weakness Enumeration (CWE)] | ||
| + | * [https://www.docker.com/blog/securing-your-containers Docker Security Best Practices] | ||
| + | * [https://github.com/aquasecurity/trivy Trivy - Vulnerability Scanner] | ||
| + | * [https://github.com/aquasecurity/grype Grype - CVE Scanner] | ||
