Secure Architecture & Design [DE]
Request personalized quote
For all prices: Vat is not included
Time | Location | Talk Language | Registration deadline |
---|---|---|---|
10:00 - 17:00 09:00 - 17:00 09:00 - 17:00 09:00 - 17:00 09:00 - 13:30 |
c/o qSkills GmbH & Co. KG Südwestpark 65 90449 90449 Nuremberg Germany |
German |
Show more seminars dates
The contents of the course
Secure Architecture and Design ist Grundvoraussetzung, um eine sichere Anwendung zu bauen. Dabei kann man eine sichere Architektur durch unterschiedliche Herangehensweisen erreichen, entweder mithilfe einer klassischen, etwas „mechanischen“ Methode, in der der BSI-Grundschutz zur Anwendung kommt oder alternativ über etwas freiere risikobasiertere Methoden.
In diesem Seminar werden Sie unterschiedliche Verfahrensweisen kennenlernen. Der Fokus liegt auf zwei wesentlichen Perspektiven. In der Best Practice Perspektive wird die Anwendung allgemein anerkannter Design-Prinzipien näher beleuchtet. Die Bedrohungsperspektive macht deutlich, was alles schief gehen kann. In diesem Zusammenhang lernen Sie Threat Modeling kennen. Mit dieser sehr bewerten konzeptionellen Analysetechnik lassen sich potenzielle Schwachstellen und Risiken bereits frühzeitig bei der Entwicklung von Anwendungen idenzifizieren und erforderliche Maßnahmen ableiten.
Der Kurs legt besonderen Wert auf praxisnahe Anwendungen, indem zahlreiche Übungen angeboten werden, die es den Teilnehmern ermöglichen, ihr erlerntes Wissen direkt in die Tat umzusetzen und zu festigen.
Inhalt
- Security-Design-Prinzipien – Einführung, Anwendung und Messbarkeit
- Vertrauen / Trust-Principals
- „Never trust the Client“
- „Zero Trust“
- „Trusted 3rd Party“
- Secure Design - Authentication
- Sichere Identifier / Identities
- Password-Based Authentication
- Sichere Einsatz von Krypto-Verfahren
- Kerkhof’s Principal
- Secure Design Prinzipien: Autorisierung
- „Segregation of Duties“
- „Least Privilege“
- „Avoid Broadly generic functions“
- “Authorize close to the source”
- „Extension of Kerkhoffs-Principle“
- Weitere Prinzipien im Überflug
- „Do not be Chatty“
- „Encrypt High“
- „Decrease visibility“
- Secure Design – Input / Output / Communication
- „Input-Validierung“
- „Output- Validierung“
- „Black-Listing / White-Listing“
- „Do not interpret – discard“
- “Intercept – do not process”
- “Don’t call me – I call you!”
- “Resilient Design”
- Secure Design – “Reste-Rampe”
- “Visibility”
- “Default is tight”
- “Fail save”
- “Double book-keeping”
- “No Filesystem”
- Threat-Modelling
- Einführung, Anwendung, Historie, Grundlagen
- Threat-Modelling-Methoden
- Misuse-Cases
- Attack-Trees
- STRIDE
- EoP-Card-Game
- Tools
- Application-Level-Threat-Modelling
- Schwachstellen und Praxis-Übung
- Identity Management
- Authentication
- Authorization
- Schwachstellen
- Kommunikation
- Speicher
- Input-Attacks
- Angriffe durch privilegierte Benutzer
- Angriffs-Erkennung
- Nachvollziehbarkeit
- Angriffe über die Infrastruktur
- Datenschutz
- Open-Source-Security
- Angriffe auf Software-Lebenszyklus
- Angriffe auf Krypto
- Angriffe auf Fehler-Situation
- Bewertung von Schwachstellen
- Angriffs-Vektor
- CVSS
- Risiko-Bewertung
- Workshops durchführen und dokumentieren
- Moderation eines Workshops
- Abschluss-Übung
- Threat Modelling
- Risiko-Bewertung der Findings
- Secure Design-Maßnahmen analysieren
- Viele praktische Übungen zu den einzelnen Modulen
Ziel
- Kenntnis und Anwendung gängiger Security Design Prinzipien
- Fähigkeiten einen Threat Model Workshop durchzuführen
- Wissen über gängige Design-Schwachstellen und deren Behebung
Dauer
5 Tage
Zielgruppe
- Software Entwickler
- Software Architekten
- Cloud Architekten
Voraussetzungen
Um den Kursinhalten und dem Lerntempo gut folgen zu können, sollten Sie folgende Voraussetzungen mitbringen:
- grundlegende IT-Kenntnisse
- gundlegende IT-Security-Begriffe
Dieses Seminar wird von unserem Trainingspartner qSkills durchgeführt.
More dates
Do you have any questions or are you interested in this or other seminars?
Would you like to book this seminar as an in-house seminar?
Contact us:
Additional information
- Overview of all current seminar dates
- List of examination dates offered
- Our e-learning offer
- Information about the Academy and an overview of all seminar topics