Implementace a práce v DevSecOps - kurz 88 000 rub. od Otus, školení 5 měsíců, Datum 30. října 2023.
Různé / / November 30, 2023
Dnes se neustále potýkáme s útoky hackerů, e-mailovými podvody a úniky dat. Práce online se stala obchodním požadavkem a novou realitou. Vývoj a údržba kódu a ochrana infrastruktury s ohledem na bezpečnost se stává prvořadým požadavkem pro IT specialisty. Právě tito specialisté jsou nejlépe placenými a žádanými mezi velkými zaměstnavateli: Microsoft, Google, Amazon Web Services, Mail. Ru Group, Yandex, Sberbank a další.
Pro koho je tento kurz určen?
Vývoj infrastruktury a aplikačních zásobníků v nepřetržitém toku změn Agile DevOps vyžaduje nepřetržitou práci s nástroji pro zabezpečení informací. Tradiční model zabezpečení zaměřený na perimetr již nefunguje. V DevOps padá odpovědnost za bezpečnost na všechny účastníky procesu Dev[Sec]Ops.
Kurz je určen pro specialisty v následujících profilech:
- Vývojáři
- Inženýři a správci DevOps
- Testeři
- Architekti
- Specialisté na informační bezpečnost
- Specialisté, kteří se chtějí naučit, jak vyvíjet a udržovat aplikace a infrastrukturu s vysokým stupněm ochrany před vnějšími a vnitřními útoky v automatizovaném procesu DevSecOps.
Účel kurzu
Úspěšná implementace DevSecOps je možná pouze s integrovaným přístupem k nástrojům, obchodním procesům a lidem (role účastníků). Kurz poskytuje znalosti o všech třech prvcích a byl původně vyvinut pro podporu CI/CD toolchain a projektu transformace pracovníků. Proces DevOps do úplné praxe DevSecOps pomocí nejnovějších automatizovaných bezpečnostních nástrojů.
Kurz pokryje bezpečnostní prvky následujících typů aplikací:
- Tradiční monolitické 2/3-vrstvé aplikace
- Aplikace Kubernetes - ve vašem vlastním DC, Public Cloud (EKS, AKS, GKE)
- Mobilní aplikace pro iOS a Android
- Aplikace s back-endem REST API
Bude zvážena integrace a použití nejpopulárnějších nástrojů pro bezpečnost informací s otevřeným zdrojem a komerčních informací.
Kurz klade důraz na postupy Scrum/Kanban, ale přístupy a nástroje lze použít i v tradičním modelu projektového řízení Waterfall.
Znalosti a dovednosti, které získáte
- Přechod od bezpečnostního modelu „obvodová ochrana“ k modelu „ochrana všech vrstev“.
- Slovník, termíny a objekty používané v nástrojích informační bezpečnosti - CWE, CVE, Exploit atd.
- Základní standardy, metody, zdroje informací - OWASP, NIST, PCI DSS, CIS atd.
Naučí se také, jak se integrovat do CI/CD a používat nástroje pro bezpečnost informací z následujících kategorií:
- Analýza možných útoků (modelování hrozeb)
- Statická analýza zdrojového kódu pro zabezpečení (SAST)
- Dynamická analýza zabezpečení aplikací (IAST/DAST)
- Analýza používání softwaru třetích stran a softwaru s otevřeným zdrojovým kódem (SCA)
- Testování konfigurace pro shodu s bezpečnostními standardy (CIS, NIST atd.)
- Konfigurace Hardening, Patching
- Aplikace správy tajemství a certifikátů
- Použití ochrany pro REST-API uvnitř aplikací mikroslužeb a na back-endu
- Aplikace brány firewall pro webové aplikace (WAF)
- Firewall nové generace (NGFW)
- Manuální a automatické penetrační testování (Penetration Testing)
- Monitorování bezpečnosti a reakce na události v informační bezpečnosti (SIEM)
- Forenzní analýza
Vedoucí týmů navíc obdrží doporučení ohledně postupů pro úspěšnou implementaci DevSecOps:
- Jak připravit a úspěšně provést minitendr a PoC na výběr nástrojů
- Jak změnit role, strukturu a oblasti odpovědnosti vývojových, podpůrných, informačních bezpečnostních týmů
- Jak přizpůsobit podnikové procesy produktového managementu, vývoje, údržby, informační bezpečnosti
2
chodZa 12 let práce v IT se mi podařilo pracovat jako vývojář, tester, devops a devsecops inženýr ve společnostech jako NSPK (vývojář MIR karty), Kaspersky Lab, Sibur a Rostelecom. Momentálně jsem...
Za 12 let práce v IT se mi podařilo pracovat jako vývojář, tester, devops a devsecops inženýr ve společnostech jako NSPK (vývojář MIR karty), Kaspersky Lab, Sibur a Rostelecom. V současné době jsem vedoucím bezpečného vývoje ve společnosti Digital Energy (skupina společností Rostelecom). Moje praktické zkušenosti vycházejí ze znalosti jazyků C#, F#, dotnet core, python, vývoj a integrace různých praktických nástrojů DevOps a DevSecOps (SAST/SCA, DAST/IAST, skenování webových aplikací, analýza infrastruktury, mobilní skenování aplikace). Mám bohaté zkušenosti s nasazováním a podporou clusterů k8s a spolupracuji s poskytovateli cloudu. Provádím bezpečnostní audity a nasazuji servisní sítě. Jsem autorem vlastních kurzů o programování, testování, relačních i nerelačních databázích, práci s cloudovými poskytovateli a správě bare-metal serverů. Přednášející na mezinárodních konferencích.
1
studnaAnalytik informační bezpečnosti, Sovcombank
Zkušenosti v informační bezpečnosti od roku 2018 Specializace: - Řízení bezpečnosti infrastruktury - Budování procesů správy zranitelnosti pro různé platformy (mikroslužby a DevOps, Host OS, OS síťových zařízení, Mobile, DB, Virtualizace) - Správa politik a požadavků informační bezpečnosti v rámci infrastruktury a projektů rozvoj. Učitel
1
studnaOd roku 2017 provádí audit obchodních sítí. Podílel se na vývoji bezpečnostního modelu pro mezistátní banku Ukrajiny „AT Oschadbank“ Hlavním rysem testování je pentest metodou „black box.“ Práce s pythonem a bushem od roku 2016...
Od roku 2017 provádí audit obchodních sítí. Podílel se na vývoji bezpečnostního modelu pro mezistátní banku Ukrajiny "AT Oschadbank"Hlavním rysem testování je pentest metodou "black box"Práce s pythonem a bushem od roku 2016Zkušenosti s prací s unixovými systémy, zejména distribucemi založenými na Debian. Učitel
Znalostní báze informační bezpečnosti
-Téma 1. Slovník, pojmy, standardy, metody, zdroje informací používané v nástrojích informační bezpečnosti
-Téma 2. Základní principy zajištění informační bezpečnosti aplikačního zásobníku a infrastruktury
Přehled chyb zabezpečení OWASP
-Téma 3. Analýza 10 hlavních zranitelností webu OWASP
-Téma 4. Analýza 10 hlavních zranitelností OWASP - REST API
Vlastnosti vývoje zabezpečeného kódu a používání rámců
-Téma 5. Bezpečný vývoj v HTML/CSS a PHP
-Téma 6. Zabezpečený vývoj a zranitelnosti softwarového kódu
-Téma 7. Bezpečný vývoj v Java/Node.js
-Téma 8. Bezpečný vývoj v .NET
-Téma 9. Bezpečný vývoj v Ruby
Vývoj bezpečných kontejnerových a bezserverových aplikací
-Téma 10. Zajištění bezpečnosti v OS Linux
-Téma 11. Zajištění bezpečnosti v kontejnerech Docker
-Téma 12. Zabezpečení Kubernetes
Integrace a práce s nástroji zabezpečení informací v rámci DevSecOps
-Téma 13. Zajištění bezpečnosti CI/CD toolchainu a procesu DevOps
-Téma 14. Recenze nástrojů DevSecOps
-Téma 15. Bezpečnostní analýza zdrojového kódu (SAST/DAST/IAST)
-Téma 16. Použití ochrany pro REST-API uvnitř aplikací mikroslužeb a na back-endu.
-Téma 17.Využití Web-Application Firewall (WAF) pro ochranu webu, REST API, ochrana proti botům.
-Topic 18. Moderní nástroje pro zabezpečení perimetru sítě (NGFW/Sandbox)
-Téma 19. Modelování hrozeb a penetrační testování
-Téma 20. Monitorování bezpečnosti a reakce na události v informační bezpečnosti (SIEM/SOAR)
-Téma 21. Projektový plán a metodika transformace organizace na DevSecOps.
Projektový modul
-Téma 22.Výběr tématu
-Téma 23. Konzultace a diskuse k projektové práci
-Téma 24.Ochrana projektů