lppt · lppt · Dec 2, 2024 · Dec 7, 2024 · Dec 10, 2024 · kostya05983
diff --git a/.DS_Store b/.DS_Store
diff --git a/.gitignore b/.gitignore
@@ -0,0 +1,2 @@
+cert/
+*.bkp
diff --git a/Exc1/classification.drawio b/Exc1/classification.drawio
diff --git a/Exc1/readme.md b/Exc1/readme.md
@@ -1 +1,58 @@
 # Задание 1. Разработка проверочного листа по безопасности данных
+
+## Классификация данных
+
+### Список данных
+
+- База данных объектов недвижимости (client-mart-estate-db)
+
+  - Информация об объектах недвижимости [П]
+
+- База данных для хранения информации об объектах недвижимости и сделкам по ним (client-mart-db)
+
+  - Стоимость объектов недвижимости [В]
+  - Сделки пользователей [K]
+
+- База данных проведения онлайн-тура (client-tour-db)
+
+  - Онлайн туры [П]
+  - История проведения туров [В]
+
+- База данных CRM (crm-db)
+
+  - Клиентские данные [K]
+
+- База данных сервиса аутентификации покупателей (auth-db-1)
+
+  - Аутентификационные данные покупателей [K]
+  - История доступа в систему [К]
+
+- База данных услуг ЖКХ по собственникам (tenant-core-db)
+
+  - Список услуг ЖКХ [П]
+  - Заявки на предоставление услуг [К]
+
+- База данных CRM по собственникам (crm-tenant-db)
+
+  - Данные собственников [К]
+
+- База данных бухгалтерского учета (accountant-db-1) на схеме она правда auth-db-1, но будем считать это ошибка
+
+  - Данные бух. учета [K]
+
+- Физическое хранилище данных DWH (DWH Хранилище)
+
+  - Дублирование всех данных? [K]
+
+- Служба каталогов, которая обслуживает прикладные бизнес-системы и системы обработки данных (AD1)
+
+  - Аутентификационные данные бухгалтеров [В]
+
+- Служба каталогов, которая обслуживает финансовые сервисы (AD2)
+
+  - Аутентификационные данные менеджеров и бизнес аналитиков [В]
+
+- Список поставщиков ресурсов ЖКХ [В]
+- Ключи платежной системы [C]
+- Список процессов компании [В]
+- Данные для взаимодействия с Гос. органами [C]
diff --git a/Exc2/Проверочный лист для аудита ИБ.xlsx b/Exc2/Проверочный лист для аудита ИБ.xlsx
diff --git a/Exc3/Exc3.drawio b/Exc3/Exc3.drawio
diff --git a/Exc3/readme.md b/Exc3/readme.md
@@ -1 +1,31 @@
 # Задание 3. Внешние интеграции
+
+Интеллектуальный домофон. Включает функции классического видеодомофона — открытие по звонку. Также есть возможность распознавать пользователей по биометрии (по лицу) и автоматически открывать дверь, если им разрешён доступ в дом.
+
+Интеллектуальный шлагбаум. Включает функции классического управления шлагбаумом и автоматически открывает доступ, если распознаёт номера автомобилей, которым въезд разрешён.
+
+Новые данные:
+
+1. Номера автомобилей
+2. Биометрия (Лица пользователей)
+
+Насколько я понимаю, все эти данные необходимо будет передавать партнеру,
+т.к. иначе при проблемах с апи PropDevelopment люди не смогут попасть домой.
+
+## Требования к безопасности
+
+- С партнером необходимо подписать соглашени, а собственников уведомлять, что их биометрические данные могут быть переданы партнеру для обработки и хранения. От партнера необходимо будет получить подтверждение соответствия законодательству РФ
+- Данные должны передавать по защищенному соединению (ssl/tls)
+- Данные должны передаваться в минимальном объеме и по возможности не должны быть связаны с конкретным пользователем. Например номер машины не должен быть связан с владельцем, достаточно просто наличия номера в базе чтобы открыть шлагбаум. Аналогично с биометрией.
+
+## Протоколы аутентификации и авторизации
+
+Аутентификация сервисов должна проходить с использованием OAuth2.0.
+
+В приложение необходимо включить дополнительную защиту при работе с биометрией.
+
+## Взаимодействие между системами предприятия и внешней платформой
+
+- Все моменты передачи данных должны фиксироваться в журнале.
+- Недопустимо хранение неиспользуемых данных
+- Взаимодействие должно происходить через выделенный api.
diff --git a/Exc4/.DS_Store b/Exc4/.DS_Store
diff --git a/Exc4/bindings.yaml b/Exc4/bindings.yaml
@@ -0,0 +1,27 @@
+kind: RoleBinding
+apiVersion: rbac.authorization.k8s.io/v1
+metadata:
+  name: read-role
+  namespace: default
+subjects:
+- kind: User
+  name: user1
+  apiGroup: rbac.authorization.k8s.io
+roleRef:
+  kind: Role
+  name: reader
+  apiGroup: rbac.authorization.k8s.io
+---
+kind: RoleBinding
+apiVersion: rbac.authorization.k8s.io/v1
+metadata:
+  name: edit-role
+  namespace: default
+subjects:
+- kind: User
+  name: user2
+  apiGroup: rbac.authorization.k8s.io
+roleRef:
+  kind: Role
+  name: editor
+  apiGroup: rbac.authorization.k8s.io
diff --git a/Exc4/roles.yaml b/Exc4/roles.yaml
@@ -0,0 +1,31 @@
+kind: Role
+apiVersion: rbac.authorization.k8s.io/v1
+metadata:
+  namespace: default
+  name: reader
+rules:
+- apiGroups: [“”]
+  resources: ["pods", "services", "deployments"]
+  verbs: [“get”, “watch”, “list”]
+
+---
+kind: Role
+apiVersion: rbac.authorization.k8s.io/v1
+metadata:
+  namespace: default
+  name: editor
+rules:
+- apiGroups: [“”] 
+  resources: ["pods", "services", "deployments"]
+  verbs: ["get","list","watch", "create","update","patch","delete"]
+
+---
+kind: Role
+apiVersion: rbac.authorization.k8s.io/v1
+metadata:
+  namespace: default
+  name: admin
+rules:
+- apiGroups: [“”] 
+  resources: ["*"]
+  verbs: ["*"]
diff --git a/Exc4/users.sh b/Exc4/users.sh
@@ -0,0 +1,16 @@
+mkdir cert 
+cd cert
+openssl genrsa -out user1.key 2048
+openssl req -new -key user1.key -out user1.csr -subj "/CN=user1/O=group1"
+openssl x509 -req -in user1.csr -CA ~/.minikube/ca.crt -CAkey ~/.minikube/ca.key -CAcreateserial -out user1.crt -days 500
+kubectl config set-credentials user1 --client-certificate=user1.crt --client-key=user1.key
+kubectl config set-context user1-context --cluster=minikube --user=user1
+
+openssl genrsa -out user2.key 2048
+openssl req -new -key user2.key -out user2.csr -subj "/CN=user2/O=group1"
+openssl x509 -req -in user2.csr -CA ~/.minikube/ca.crt -CAkey ~/.minikube/ca.key -CAcreateserial -out user2.crt -days 500
+kubectl config set-credentials user2 --client-certificate=user2.crt --client-key=user2.key
+kubectl config set-context user2-context --cluster=minikube --user=user2
+
+kubectl apply -f roles.yaml
+kubectl apply -f bindings.yaml
diff --git a/Exc4/Шаблон_проектная работа_7 спринт.xlsx b/Exc4/Шаблон_проектная работа_7 спринт.xlsx
diff --git a/Exc5/non-admin-api-allow.yaml b/Exc5/non-admin-api-allow.yaml
@@ -0,0 +1,59 @@
+apiVersion: networking.k8s.io/v1
+kind: NetworkPolicy
+metadata:
+  name: admin-app-policy
+  namespace: default
+spec:
+  podSelector:
+    matchLabels:
+      role: admin-back-end-api
+  policyTypes:
+  - Ingress
+  - Egress
+  ingress:
+    - from:
+        - podSelector:
+            matchLabels:
+              role: admin-front-end
+      ports:
+        - protocol: TCP
+          port: 80
+  egress:
+    - to:
+        - podSelector:
+            matchLabels:
+              role: admin-front-end
+      ports:
+        - protocol: TCP
+          port: 80
+
+---
+
+apiVersion: networking.k8s.io/v1
+kind: NetworkPolicy
+metadata:
+  name: app-policy
+  namespace: default
+spec:
+  podSelector:
+    matchLabels:
+      role: back-end-api
+  policyTypes:
+  - Ingress
+  - Egress
+  ingress:
+    - from:
+        - podSelector:
+            matchLabels:
+              role: front-end
+      ports:
+        - protocol: TCP
+          port: 80
+  egress:
+    - to:
+        - podSelector:
+            matchLabels:
+              role: front-end
+      ports:
+        - protocol: TCP
+          port: 80
diff --git a/Exc5/run.sh b/Exc5/run.sh
@@ -0,0 +1,5 @@
+kubectl run front-end-app --image=nginx --labels role=front-end --expose --port 80
+kubectl run back-end-api-app --image=nginx --labels role=back-end-api --expose --port 80
+kubectl run admin-front-end-app --image=nginx --labels role=admin-front-end --expose --port 80
+kubectl run admin-back-end-api-app --image=nginx --labels role=admin-back-end-api --expose --port 80
+kubectl apply -f non-admin-api-allow.yaml