Application Security Workshop

Application Security Workshop

Laptop mit dunkelblauem Sicherheitswappen
Agenda 1. Tag: Anwendungssicherheit 2. Tag: Architektur der Anwendungssicherheit Kontakt

Der Application Security Workshop für .NET-Entwickler und -Architekten ist ein zweitägiger Workshop. Der erste Tag konzentriert sich auf die Application Security, der zweite Tag auf die Architektur der Anwendungssicherheit.

Der Fokus des ersten Tages liegt auf Aspekten der Anwendungssicherheit, während der zweite Tag sich eingehend mit der Architektur von sicherheitsrelevanten Aspekten beschäftigt.

Agenda

Das erwartet dich am Workshop

1. Tag: Anwendungssicherheit

08.30 - 12.00 Uhr

  • Einführung, Ziele des Workshops
  • Überblick App Security Architektur
  • OpenID Connect, OAuth2 Flows

12.00 Uhr Mittagspause

13.15 - 18.00 Uhr

  • DevOps Sicherheit
  • Protecting the Session (Client)
  • API Autorisierung
  • Absicherung von SPA Anwendungen

18.00 Uhr Ende

2. Tag: Architektur der Anwendungssicherheit

08.30 - 12.00 Uhr

  • Einführung, Ziele des Workshops
  • Überblick App Security Architektur
  • OpenID Connect, OAuth2 Flows (Rekapitulation)
  • App Security Architekturen

12.00 Uhr Mittagspause

13.15 - 18.00 Uhr

  • Wahl des richtigen Identitäts­anbieters
  • DevOps Security Advanced
  • API Autorisierung Advanced
  • Autorisierungs­architektur

18.00 Uhr Ende

1. Tag: Anwendungssicherheit

Authentifizierung und Sicherheit in ASP.NET Core mit Azure DevOps

Dieser Workshop zeigt, wie Authentifizierungs-, Autorisierungs- und Sicherheitsanforderungen mit ASP.NET Core und Azure DevOps mit verschiedenen Identity Providern umgesetzt werden können. Einige der verschiedenen Ansätze bei der Implementierung in SPAs oder ASP.NET Core Razor/ MVC werden ebenso erläutert wie die verschiedenen OpenID Connect/ OAuth-Flows, die für diese Arten von Lösungen verwendet werden können.

 

 

Folgende Themengebiete werden wir am ersten Tag vertiefen

Einführung, Ziele des Workshops

Zu Beginn geben wir einen Überblick und Einführung in die beiden Workshop-Tage. Danach definieren wir die Tagesziele und gehen auf die Wünsche sowie Erwartungshaltung der Teilnehmenden ein.

Überblick App Security Architektur

Das Modul gibt einen Überblick über die Architektur der Anwendungssicherheit und erklärt einige der Themen aus einer Top-Level-Perspektive. Die verschiedenen Bereiche der Anwendungssicherheit werden ebenso erläutert wie Best Practices für die Mehrfaktoren-Authentifizierung.

OpenID Connect, OAuth2 Flows

Best Practices für die Implementierung von OAuth und OpenID Connect in Softwarelösungen. Die empfohlenen Flows und ihre Funktionsweise werden hervorgehoben und den Teilnehmenden wird vermittelt, wann welcher Ablauf für welchen Anwendungstyp zu verwenden ist.

DevOps Sicherheit

Im DevOps Security Teil liegt der Fokus auf möglichen Angriffsvektoren im Entwicklungsprozess und wie diese generell entschärft und in Bezug auf den Quellcode mittels statischer Sicherheitstests erkannt werden können.

Protecting the Session (Client)

Erfahre, warum deine Session angegriffen werden kann, selbst wenn der Authentifizierungsablauf perfekt ist. Arbeite mit deinem Browser zusammen und erfahre mehr über die Sicherheit. In den Übungen werden mehrere Angriffe auf eine Anwendung demonstriert und du lernst, wie du diese abwehren kannst.

API Autorisierung

Dieses Modul befasst sich mit der Implementierung der Autorisierung für APIs und untersucht die verschiedenen Möglichkeiten zur Sicherung der APIs, z.B. Cookies, eigenständige Access Tokens oder Reference Tokens und Introspection.

Absicherung von SPA Anwendungen

Die Sicherung von Single Page Anwendungen ist schwierig. Es gibt keine allgemein empfohlenen Best Practices für die Sicherung von SPA-Anwendungen. Wir zeigen dir die aktuellen Empfehlungen für die Implementierung von Sicherheit in SPAs und Themen wie Backend for Frontend Architektur (BFF) werden erklärt.

2. Tag: Architektur der Anwendungssicherheit

Sicherheitsarchitektur mit ASP.NET Core und Azure DevOps

An diesem Tag gehen wir darauf ein, wie Anforderungen an die Sicherheitsarchitektur mit ASP.NET Core und Azure DevOps mit verschiedenen Identitätsanbietern geplant und designt werden können. Einige der verschiedenen Ansätze bei der Entwicklung von Cloud Lösungen und Hochsicherheitsarchitekturen werden ebenso erläutert wie die verschiedenen OpenID Connect/ OAuth Flows, die für diese Art von Lösungen verwendet werden sollten oder können.

 

Folgende Themengebiete werden wir am zweiten Tag vertiefen

Einführung, Ziele des Workshops

Zu Beginn geben wir einen Überblick und Einführung in den zweiten Workshop-Tag. Danach definieren wir die Tagesziele und gehen auf die Wünsche sowie Erwartungshaltung der Teilnehmenden ein.

Überblick App Security Architektur

Das Modul gibt einen Überblick über die Architektur der Anwendungssicherheit und erklärt einige der Themen aus einer Top-Level-Perspektive. Die Entwicklungssicherheit, Infrastruktursicherheit und Governance werden ebenso erläutert wie die Planung und Definition von Sicherheitsanforderungen.

OpenID Connect, OAuth2 Flows (Rekapitulation)

Dies ist eine Wiederholung des Moduls zur Anwendungssicherheit und erklärt die Best Practices für OAuth und OpenID Connect. Die empfohlenen Flows und ihre Funktionsweise werden hervorgehoben, und den Teilnehmenden wird vermittelt, wann welcher Ablauf für welchen Anwendungstyp zu verwenden ist.

App Security Architekturen

Hier werden die Architekturanforderungen für die Anwendungssicherheit untersucht. Hierbei nutzen wir bewährte Praktiken der Anwendungsarchitektur, wie z.B. Qualitätsattribute, und erklären, was ein gutes Sicherheitskontextdiagramm ausmacht und welche Art von Anforderungen in einem guten Diagramm sichtbar sein müssen.

Wahl des richtigen Identitäts­anbieter

Die Wahl des richtigen Identitätsanbieters für deine Softwarelösung ist nicht einfach. Wir erläutern einige der Vor- und Nachteile der verschiedenen Identitätsanbieterprodukte und vermitteln dir das Wissen, um den richtigen Identitätsanbieter für die Authentifizierung und Autorisierung deiner Lösung auszuwählen.

DevOps Security Advanced

Wir schaffen einen Überblick über die Funktionen von GitHub mit dem Schwerpunkt auf Sicherheitsfunktionen und gehen im Kontext der DevOps Sicherheit ins Detail. Insbesondere im Bereich der GitHub Actions.

API Autorisierung Advanced

Dieses Modul befasst sich mit der Implementierung der Autorisierung für APIs, wobei bspw. die delegierte Benutzerdefinitionen oder Token für den Anwendungszugriff untersucht werden. Weitere Themen wie die Implementierung und Verwendung «On behalf of» Flows und die Verwendung von Azure Continuous Access in deiner Anwendung werden ebenso erläutert wie allgemeine oder fortgeschrittene API Sicherheitsthemen.

Autorisierungs­architektur

Zunächst erläutern wir die technische Umsetzung der aktuellen Best Practice bei der Implementierung der Autorisierung in ASP.NET Core Anwendungen. Danach befassen wir uns mit dem Entwurf und der Planung der Anwendungsautorisierungsarchitektur in Softwarelösungen.

Laptop mit dunkelblauem Sicherheitswappen

Interessiert? Melde dich jetzt für den nächsten Application Security Workshop an.

Jetzt anmelden

Kontakt

Gerne stehe ich dir bei Fragen zur Verfügung.

Damien Bowden

Software Developer Expert
Dipl. Ing. Elektrotechnik FH, Microsoft Developer Technologies MVP

damien.bowden@isolutions.ch
Damien Bowden

we shape the future

Bern Schanzenstrasse 4c 3008 Bern +41 31 560 88 88 info@isolutions.ch
Basel Güterstrasse 144 4053 Basel +41 31 560 88 88 info@isolutions.ch
Zürich The Circle 38 8058 Zürich +41 31 560 88 88 info@isolutions.ch
Barcelona Carrer de Trafalgar 6,
2a planta, despacho 28 08010 Barcelona +34 936 260 290
© 1999–2024