Implementatie en werk in DevSecOps - cursus 88.000 wrijven. van Otus, training 5 maanden, Datum 30 oktober 2023.
Gemengde Berichten / / November 30, 2023
Tegenwoordig worden we voortdurend geconfronteerd met hackeraanvallen, e-mailfraude en datalekken. Online werken is een zakelijke vereiste en een nieuwe realiteit geworden. Het ontwikkelen en onderhouden van code en het beschermen van de infrastructuur met veiligheid in het achterhoofd wordt een cruciale vereiste voor IT-specialisten. Het zijn deze specialisten die het best betaald en gewild zijn bij grote werkgevers: Microsoft, Google, Amazon Web Services, Mail. Ru Group, Yandex, Sberbank en anderen.
Voor wie is deze cursus bedoeld?
Het ontwikkelen van infrastructuur en applicatiestacks in de continue stroom van Agile DevOps-veranderingen vereist continu werken met informatiebeveiligingstools. Het traditionele perimetergerichte beveiligingsmodel werkt niet langer. Bij DevOps ligt de verantwoordelijkheid voor de beveiliging bij alle deelnemers aan het Dev[Sec]Ops-proces.
De cursus is bedoeld voor specialisten in de volgende profielen:
- Ontwikkelaars
- DevOps-ingenieurs en -beheerders
- Testers
- Architecten
- Informatiebeveiligingsspecialisten
- Specialisten die willen leren hoe ze applicaties en infrastructuur kunnen ontwikkelen en onderhouden met een hoge mate van bescherming tegen externe en interne aanvallen in een geautomatiseerd DevSecOps-proces.
Doel van de cursus
Succesvolle implementatie van DevSecOps is alleen mogelijk met een geïntegreerde benadering van tools, bedrijfsprocessen en mensen (deelnemerrollen). De cursus biedt kennis over alle drie de elementen en is oorspronkelijk ontwikkeld ter ondersteuning van het CI/CD-toolchain- en werknemerstransformatieproject Het DevOps-proces tot een volledige DevSecOps-praktijk met behulp van de nieuwste geautomatiseerde beveiligingstools.
De cursus behandelt de beveiligingskenmerken van de volgende soorten applicaties:
- Traditionele monolithische 2/3-tier-toepassingen
- Kubernetes applicaties - in uw eigen DC, Public Cloud (EKS, AKS, GKE)
- Mobiele iOS- en Android-applicaties
- Applicaties met REST API back-end
De integratie en het gebruik van de meest populaire open source en commerciële informatiebeveiligingstools zullen worden overwogen.
De cursus legt de nadruk op Scrum/Kanban-praktijken, maar de benaderingen en tools kunnen ook worden gebruikt in het traditionele Waterfall-projectmanagementmodel.
Kennis en vaardigheden die je verwerft
- Overgang van het beveiligingsmodel “perimeterbescherming” naar het model “bescherming van alle lagen”.
- Woordenboek, termen en objecten die worden gebruikt in informatiebeveiligingstools - CWE, CVE, Exploit, enz.
- Basisstandaarden, methoden, informatiebronnen - OWASP, NIST, PCI DSS, CIS, enz.
Ze leren ook hoe ze kunnen integreren in CI/CD en hoe ze informatiebeveiligingstools uit de volgende categorieën kunnen gebruiken:
- Analyse van mogelijke aanvallen (Threat Modeling)
- Statische analyse van broncode voor beveiliging (SAST)
- Dynamische applicatiebeveiligingsanalyse (IAST/DAST)
- Analyse van het gebruik van derde partij en open source software (SCA)
- Testen van de configuratie op naleving van beveiligingsstandaarden (CIS, NIST, etc.)
- Configuratieverharding, patching
- Toepassing van geheimen- en certificatenbeheer
- Het toepassen van bescherming voor REST-API binnen microserviceapplicaties en op de back-end
- Toepassing van Web-Application Firewall (WAF)
- Volgende generatie firewalls (NGFW)
- Handmatige en geautomatiseerde penetratietesten (Penetration Testing)
- Beveiligingsmonitoring en reactie op gebeurtenissen op het gebied van informatiebeveiliging (SIEM)
- Forensische analyse
Daarnaast zullen teamleiders aanbevelingen ontvangen over praktijken voor het succesvol implementeren van DevSecOps:
- Hoe u een mini-tender en PoC voor de selectie van tools voorbereidt en succesvol uitvoert
- Hoe de rollen, structuur en verantwoordelijkheidsgebieden van ontwikkelings-, ondersteunings- en informatiebeveiligingsteams kunnen worden veranderd
- Hoe bedrijfsprocessen van productbeheer, ontwikkeling, onderhoud en informatiebeveiliging aan te passen
2
cursusRuim 12 jaar werkzaam in de IT, heb ik kunnen werken als ontwikkelaar, tester, devops en devsecops engineer bij bedrijven als NSPK (ontwikkelaar van de MIR-kaart), Kaspersky Lab, Sibur en Rostelecom. Op dit moment heb ik...
Ruim 12 jaar werkzaam in de IT, heb ik kunnen werken als ontwikkelaar, tester, devops en devsecops engineer bij bedrijven als NSPK (ontwikkelaar van de MIR-kaart), Kaspersky Lab, Sibur en Rostelecom. Momenteel ben ik hoofd veilige ontwikkeling bij Digital Energy (Rostelecom-bedrijvengroep). Mijn praktische ervaring is gebaseerd op kennis van de talen C#, F#, dotnet core, python, ontwikkeling en integratie van diverse DevOps en DevSecOps oefentools (SAST/SCA, DAST/IAST, scannen van webapplicaties, infrastructuuranalyse, mobiel scannen toepassingen). Ik heb uitgebreide ervaring met het inzetten en ondersteunen van k8s-clusters en werk samen met cloudproviders. Ik voer security audits uit en zet service meshes in. Ik ben de auteur van mijn eigen cursussen over programmeren, testen, relationele en niet-relationele databases, werken met cloudproviders en het beheren van bare-metal servers. Spreker op internationale conferenties.
1
GoedInformatiebeveiligingsanalist, Sovcombank
Ervaring in informatiebeveiliging sinds 2018 Specialisatie: - Infrastructuurbeveiligingscontrole - Bouwen van vulnerability management processen voor diverse platforms (microservices en DevOps, Host OS, netwerkapparatuur OS, Mobile, DB, Virtualisatie) - Beheer van informatiebeveiligingsbeleid en -vereisten binnen infrastructuur en projecten ontwikkeling. Docent
1
GoedAuditeert sinds 2017 commerciële netwerken. Deelgenomen aan de ontwikkeling van een beveiligingsmodel voor de interstatelijke bank van Oekraïne "AT Oschadbank". Het belangrijkste kenmerk van het testen is pentest met behulp van de "black box"-methode. Werken met Python en Bush sinds 2016...
Auditeert sinds 2017 commerciële netwerken. Deelgenomen aan de ontwikkeling van een beveiligingsmodel voor de interstatelijke bank van Oekraïne "AT Oschadbank". Het belangrijkste kenmerk van testen is pentest volgens de "black box"-methodeWerken met python en bush sinds 2016Ervaring met het werken met unix-systemen, in het bijzonder distributies gebaseerd op Debian. Docent
Kennisbank voor informatiebeveiliging
-Onderwerp 1. Woordenboek, termen, standaarden, methoden, informatiebronnen gebruikt in informatiebeveiligingsinstrumenten
-Onderwerp 2. Basisprincipes voor het garanderen van informatiebeveiliging van de applicatiestack en infrastructuur
Overzicht van OWASP-kwetsbaarheden
-Onderwerp 3. Analyse van OWASP Top 10 webkwetsbaarheden
-Onderwerp 4. Analyse van OWASP Top 10 kwetsbaarheden - REST API
Kenmerken van het ontwikkelen van veilige code en het gebruik van frameworks
-Onderwerp 5. Veilig ontwikkelen in HTML/CSS en PHP
-Onderwerp 6. Veilige ontwikkeling en kwetsbaarheden in softwarecode
-Onderwerp 7. Veilige ontwikkeling in Java/Node.js
-Onderwerp 8. Veilige ontwikkeling in .NET
-Onderwerp 9. Veilige ontwikkeling in Ruby
Ontwikkeling van veilige container- en serverloze applicaties
-Onderwerp 10. Beveiliging garanderen in Linux OS
-Onderwerp 11. Beveiliging garanderen in Docker-containers
-Onderwerp 12. Kubernetes beveiligen
Integratie en werken met informatiebeveiligingstools binnen DevSecOps
-Onderwerp 13. Het garanderen van de veiligheid van de CI/CD-toolchain en het DevOps-proces
-Onderwerp 14. Beoordeling van DevSecOps-tools
-Onderwerp 15. Beveiligingsanalyse van broncode (SAST/DAST/IAST)
-Onderwerp 16. Bescherming gebruiken voor REST-API in microserviceapplicaties en op de back-end.
-Onderwerp 17. Gebruik van Web-Application Firewall (WAF) voor webbeveiliging, REST API, Bot-beveiliging.
-Onderwerp 18. Moderne tools voor netwerkperimeterbeveiliging (NGFW/Sandbox)
-Onderwerp 19. Modellering van dreigingen en penetratietesten
-Onderwerp 20. Beveiligingsmonitoring en reactie op gebeurtenissen op het gebied van informatiebeveiliging (SIEM/SOAR)
-Topic 21. Projectplan en methodologie voor het transformeren van een organisatie naar DevSecOps.
Projectmodule
-Thema 22.Een thema selecteren
-Onderwerp 23. Overleg en discussies over projectwerk
-Onderwerp 24.Bescherming van projecten