Ders 1Ağ ve Altyapı Güvenliği: bölümleme, güvenlik duvarları, IDS/IPS, bulut güvenlik grubu en iyi uygulamalarıSaaS için bulut ağlarını ve altyapıyı nasıl güvence altına alacağınızı açıklar. Bölümleme, güvenlik duvarları, güvenlik grupları, IDS/IPS, bastion erişimi ve yönetim uçlarını sertleştirme'yi kapsar, paylaşılan sorumluluk modelleriyle uyumlu.
Network zoning and tenant segmentationFirewall and security group rule designSecure remote admin and bastion patternsIDS/IPS deployment and tuning basicsCloud provider network security featuresDers 2Erişim Kontrolü ve Kimlik Yönetimi: güçlü kimlik doğrulama, en az yetki, rol temelli erişim kontrolleriGüçlü kimlik doğrulama ve en az yetki kullanarak SaaS platformları için erişim kontrolü tasarlamayı tanımlar. RBAC, ABAC, katılan-ayrılan süreçleri ve ISO 27001 Ek A kontrolleriyle uyumlu periyodik erişim incelemelerini açıklar.
Identity lifecycle and JML process designStrong authentication and MFA enforcementRole-based and attribute-based access modelsLeast privilege and privileged access controlPeriodic access reviews and recertificationsDers 3Olay Yönetimi ve Müdahale: algılama, sınıflandırma, içerme, kök neden analizi, iletişimSaaS ortamları için olay müdahale yaşam döngüsünü tanımlar. Algılama, sınıflandırma, içerme, yok etme, kurtarma, kök neden analizi, iletişim ve ISO 27035 ile uyumlu olay sonrası iyileştirmeleri açıklar.
Incident classification and severity levelsTriage, containment, and evidence handlingEradication, recovery, and service restorationRoot cause analysis and lessons learnedInternal and external incident communicationDers 4Kriptografi ve Anahtar Yönetimi: hareketsiz ve hareket halindeki veri şifreleme, anahtar yaşam döngüsü yönetimiSaaS verisi için hareketsiz ve hareket halindeki kriptografik kontrolleri kapsar. Algoritma seçimleri, TLS yapılandırması, anahtar üretimi, depolama, döndürme ve HSM'ler veya bulut anahtar yönetim hizmetleri kullanarak görev ayrılığını açıklar.
Data at rest encryption for SaaS storageTLS configuration and data in transit securityKey generation, storage, and rotation rulesUse of HSMs and cloud KMS servicesKey access control, logging, and escrowDers 5Güvenli Geliştirme ve Değişiklik Yönetimi: güvenli SDLC, kod incelemeleri, bağımlılık yönetimi, CI/CD güvenlik kapılarıSaaS ürünleri için güvenli SDLC uygulamalarına odaklanır. Güvenlik gereksinimleri, tehdit modelleme, kod inceleme, bağımlılık yönetimi, CI/CD güvenlik kapıları ve uygun onaylar ile kontrollü değişiklik yönetimi ve geri alma planlarını açıklar.
Defining security requirements in the SDLCThreat modeling for cloud SaaS featuresSecure code review and pair review practicesDependency and open source risk managementCI/CD security gates and change approvalsDers 6Yedekleme, Geri Yükleme ve İş Sürekliliği: yedekleme stratejisi, kurtarma süresi/hedefleri, testSaaS iş yükleri için yedekleme ve kurtarma kontrollerini tasarlamayı, uygulamayı ve test etmeyi açıklar. RPO/RTO, değiştirilemez yedeklemeler, uzak depolama ve iş sürekliliği ile afet kurtarma hedefleriyle uyumu kapsar.
Defining RPO and RTO for SaaS servicesBackup scope, frequency, and retention rulesImmutable, offsite, and geo-redundant backupsBackup encryption, access control, and loggingBackup restore drills and BC/DR test planningDers 7Kayıt, İzleme ve Uyarı: merkezi kayıt, SIEM temelleri, saklama, kayıt bütünlüğüSaaS için merkezi kayıt ve izlemeyi nasıl tasarlayacağınızı tanımlar. Kayıt kaynakları, saklama, bütünlük, SIEM entegrasyonu, uyarı ayarı ve algılama, adli tıp ve uyum raporlama ihtiyaçlarını destekleyen panoları kapsar.
Selecting and onboarding log sourcesLog normalization, parsing, and enrichmentLog retention, protection, and integritySIEM use cases and alert rule designMonitoring dashboards and KPIs for ISBsDers 8Üçüncü Taraf/Tedarikçi Risk Yönetimi: tedarikçi değerlendirme, sözleşmeler, SLA/güvenlik gereksinimleriSaaS hizmetini destekleyen tedarikçilerin yaşam döngüsü yönetimini kapsar. Özenli inceleme, risk değerlendirmeleri, sözleşmesel maddeler, SLA'lar ve ISO 27001 ile bulut güvenlik beklentilerini karşılamak için devam eden izlemeyi detaylandırır.
Supplier classification and criticality levelsSecurity due diligence and risk assessmentsContractual security, privacy, and audit clausesDefining and monitoring security SLAsOngoing vendor monitoring and reassessmentDers 9Uç Nokta ve Ana Makine Güvenliği: EDR, sertleştirme tabanları, yapılandırma yönetimiSunucular, konteynerler ve yönetici cihazları için uç nokta ve ana makine güvenliğini açıklar. Sertleştirme tabanları, EDR, yapılandırma yönetimi, güvenli görüntüler ve bulut ile yerinde varlıklar için uyum izlemesini kapsar.
Hardening baselines for servers and VMsEDR deployment and alert triage basicsSecure golden images and template controlConfiguration management and drift detectionAdmin workstation and jump host securityDers 10Güvenlik Açığı Yönetimi ve Yama: varlık envanteri, güvenlik açığı tarama, önceliklendirme, düzeltme SLA'larıYapılandırılmış bir güvenlik açığı yönetimi programını nasıl çalıştıracağınızı detaylandırır. Varlık envanteri, tarama, risk temelli önceliklendirme, düzeltme SLA'ları, istisna yönetimi ve yönetim ile denetçilere raporlamayı kapsar.
Building and maintaining asset inventoriesVulnerability scanning for cloud workloadsRisk-based prioritization and scoringPatch deployment windows and SLAsException handling and risk acceptance
