info@orb-experts.com
Ein fortgeschrittener Kurs für erfahrene Entwicklerinnen und Entwickler sowie Tech Leads zur sicherheitsorientierten Systemgestaltung. Teilnehmende wenden Sicherheitsprinzipien im Architekturalltag an, wählen geeignete Muster und machen Abwägungen nachvollziehbar.
Sie verknüpfen Geschäftsrisiken mit technischen Kontrollen, definieren klare Vertrauensgrenzen und wählen Muster, die Angriffsflächen reduzieren und die Lieferung beschleunigen. Nach diesem Training können Sie sicher:
• Zentrale Sicherheitsprinzipien auf Architekturentscheidungen anwenden
• Vertrauensgrenzen und Datenflüsse zeichnen, die Kontrollen leiten
• Robuste Muster für Authentifizierung, Autorisierung und Secrets auswählen
• Für Resilienz, Beobachtbarkeit und sicheren Betrieb entwerfen
• Fundierte Erfahrung in Design oder Implementierung von Services oder APIs
• Praxiswissen zu Cloud und containerisierten Deployments
• Ein Beispielsystem zur Verankerung der Diskussionen
*Wir wissen, dass jedes Team eigene Bedürfnisse und Spezifikationen hat. Deshalb können wir die Schulungsübersicht nach Bedarf anpassen.
Modul 1: Sicherheitsprinzipien für Architekturen
• Least Privilege, sichere Defaults, Aufgabentrennung, Defense in Depth
• Angriffsfläche durch Vereinfachung und sichere Voreinstellungen reduzieren
• Threat Modeling im Überblick Assets, Akteure, Eintrittspunkte, Missbrauchsfälle
• Entscheidungsprotokolle zur Begründung und Risikoabwägung
Modul 2: Vertrauensgrenzen und Datenfluss
• Kontextdiagramme und Data Flow Maps, die Kontrollen sichtbar machen
• Segmentierungsmuster Netzwerkteilung, Private Endpoints, Service Meshes
• Umgang mit Drittanbietern und SaaS mit gezieltem Zugriff und Verträgen
• Datenklassifizierung als Basis für Speicher, Übertragung und Aufbewahrung
Modul 3: Identity, Access und Secrets in der Breite
• Authentifizierungsmuster OIDC, OAuth2, mTLS, Plattformidentitäten
• Autorisierungsmodelle Rollenbasiert, Attributbasiert, Policy Engines
• Sitzungs- und Token-Lebenszyklen, Rotation und Widerruf
• Secrets in Code, Hosts und Cloud-Managern mit Audit
Modul 4: Datenschutz und Integrität
• Verschlüsselung in Übertragung und Speicherung, Schlüsselhierarchie, Rotation
• Schutz sensibler Felder mit Tokenisierung und selektiver Verschlüsselung
• Eingabevalidierung und Ausgabe-Encodierung als Architekturaufgabe
• Integrität Checksummen, Signaturen und sichere Artefaktablage
Modul 5: API- und Microservice-Muster
• Contract First, Schemaprüfung und positive Allow Lists
• Ratenbegrenzung, Quoten und Ressourcenlimits zur Missbrauchsbegrenzung
• Sichere Serialisierung, Paginierung und Schutz vor Mass Assignment
• Versionierung, Deprecation und rückwärtskompatible Sicherheitsänderungen
Modul 6: Cloud-native Sicherheit
• Basis-Hardening für Images, Nodes und Runtimes
• Isolationsmuster Namespaces, Accounts und minimale Berechtigungen
• Netzwerkrichtlinien, Private Links und Egress-Kontrolle
• Supply Chain Grundlagen Signaturen, Provenienz und Dependency Hygiene
Modul 7: Resilienz, Monitoring und Incident Readiness
• Für Ausfälle entwerfen Timeouts, Retries, Circuit Breaker, Bulkheads
• Logging zur Erkennung bei gleichzeitiger Wahrung der Privatsphäre
• Telemetrie und Alerts für Auth-Fehler, Policy-Verweigerungen und Exfiltration
• Sichere Runbooks, Schlüsselbereitschaft und Eindämmungs-Playbooks
Modul 8: Verifikation und kontinuierliche Absicherung
• Sicherheitsanforderungen in Tests Unit, Integration und Fuzzing Basics
• Policy as Code Leitplanken in CI oder CD und Umgebungen
• Schlanke Risiko-Reviews und Ausnahmen mit Ablaufdaten
• Verbesserungsfahrplan und Metriken zur Adoption
Praxisnahes Lernen mit erfahrenen Trainern an Ihrem Standort für Organisationen.
Neue Fähigkeiten erlernen, angeleitet von erfahrenen Trainern von überall.
