# 04 — Фундамент безопасности

← [Главная](../README.md)

## Цель

Заложить **теоретический и практический фундамент InfoSec**: триада CIA, OWASP Top 10, аутентификация/авторизация, криптография в повседневных задачах DevSecOps.

## Предварительно

- [03 — DevOps-основа](../03-devops-osnova/README.md)

## Время

**30–40 часов** (раздел + упражнения)

---

## Оглавление раздела

| Страница | Тема |
|----------|------|
| [CIA и активы](cia-i-aktivy.md) | Confidentiality, Integrity, Availability |
| [OWASP Top 10 для начинающих](owasp-top10-dlya-nachinayushih.md) | Главные риски web-приложений |
| [AuthN и AuthZ](authn-authz.md) | Кто ты и что тебе можно |
| [Криптография на практике](kriptografiya-praktika.md) | TLS, hashing, secrets |

---

## Security mindset

| Бытовое мышление | Security mindset |
|------------------|------------------|
| «Нам некому взламывать» | Атаки автоматизированы |
| «Пароль сложный» | Defense in depth |
| «HTTPS есть — всё ok» | OWASP ≠ только transport |
| «Security потом» | Shift-left дешевле |

**Assume breach** — проектируем так, будто проникновение возможно: segmentation, least privilege, monitoring.

---

## Kill chain (упрощённо)

```
Recon → Initial Access → Execution → Persistence → Exfiltration
```

DevSecOps **ломает цепочку** на каждом этапе: patch, MFA, EDR, DLP, alerts.

---

## Risk = Threat × Vulnerability × Impact

| | Описание |
|---|----------|
| Threat | Кто/что ( hacker, insider ) |
| Vulnerability | Слабое место ( CVE, misconfig ) |
| Impact | Ущерб ( данные, downtime ) |

**Risk management** — не «ноль рисков», а **приоритизация** и контроли.

---

## Связь с DevOps-стеком

| Слой | Security control |
|------|------------------|
| Code | SAST, review |
| Dependencies | SCA |
| Image | Scan, sign |
| K8s | RBAC, PSA, NetworkPolicy |
| Network | TLS, WAF, firewall |
| Data | Encryption, backup |
| Identity | MFA, IAM |

---

## Практика раздела

1. Для учебного app опишите **активы** и CIA-требования.
2. Пройдите [OWASP Juice Shop](https://owasp.org/www-project-juice-shop/) **только в lab**.
3. Настройте HTTPS на local reverse proxy (mkcert).
4. Сравните `bcrypt` vs plain password storage (концептуально).

---

## Самопроверка

1. Расшифруйте аббревиатуру CIA в InfoSec.
2. Назовите 3 пункта OWASP Top 10.
3. Чем authentication отличается от authorization?
4. Зачем salt при хранении паролей?

---

## Дальше

→ [CIA и активы](cia-i-aktivy.md)