Материал данного курса позволит слушателям изучить принципы управления учетными записями в архитектуре корпоративной кибербезопасности, а также конкретные методы и механизмы контроля доступа: аутентификации, авторизации и accounting’а учетных записей. В курсе специально рассматриваются распределенные системы контроля доступа, т.н. системы SSO: SAML, OAuth, OpenID Connect.
Аудитория курса:
Инженеры, обеспечивающие кибербезопасность операционных систем, а также инженеры, проектирующие архитектуру корпоративной кибербезопасности.
Предварительные требования к аудитории:
Необходимы знания общей кибербезопасности на уровне курса ANT0000, также знания механизмов безопасности ОС на уровне курсов ANT0021 и ANT0022.
Содержание курса:
- Модуль 1 – Модели безопасности ОС.
- Архитектура ОС.
- Контроль доступа MAC и DAC.
- Модели безопасности, учитывающие конфиденциальность данных.
- Модели безопасности, учитывающие целостность данных.
- Интеграция контроля доступа с ОС.
- Аппаратные компоненты в модели безопасности ОС.
- Модуль 2 – Учетные записи в ОС.
- Сущность и атрибуты учетной записи.
- Цикл жизни учетной записи.
- Безопасное хранение учетных записей.
- Аутентификация пользователя.
- Авторизация пользователя и процессов.
- Создание и контроль сессий.
- Accounting. Мониторинг действий учетных записей.
- Модуль 3 – Распределенные системы аутентификации.
- Принцип делегирования.
- Аутентификация в сетях TCP/IP. 802.1x, RADIUS и TACACS+.
- Аутентификация в мобильных сетях. Diameter.
- Аутентификация в доменах Microsoft Windows. NTLM.
- Аутентификация с помощью протокола Kerberos.
- API для использования сервисов безопасности. GSSAPI.
- Согласование параметров GSSAPI через SPNEGO.
- Аутентификация с помощью PKI.
- Модуль 4 – Системы Single Sign-On.
- Сценарии использования систем SSO.
- Проблемы авторизации вызовов API в современных приложениях.
- Аутентификация SAML.
- Универсальная идентификация OpenID и OpenID Connect.
- Модуль 5 – Авторизация.
- Принцип наименьших привилегий учетной записи.
- Проблема конфликта интересов и принцип разделения полномочий.
- Классические механизмы авторизации. ACL и Capabilities.
- Механизмы и модели Role-Based Access Control.
- Механизмы и модели Attribute-based Access Control.
- Авторизация OAuth.
- Модуль 6 – Многофакторная аутентификация.
- Концепция многофакторной аутентификации.
- Механизмы многофакторной аутентификации.
- Интеграция многофакторной аутентификации с системами SSO.
- Модуль 7 – Инциденты кибербезопасности, связанные с учетными записями.
- Использование механизмов Threat Intelligence для обнаружения утечек данных учетных записей.
- Реагирование на события и инциденты кибербезопасности.
- Модуль 8 – Работа с учетными записями рамках архитектуры корпоративной кибербезопасности.
- Проектирование и построение цикла жизни учетных записей.
- Проектирование и создание системы привилегий и прав учетных записей.
- Проектирование и интеграция систем аутентификации, авторизации и accounting’а с корпоративными приложениями.