Megvalósítás és munka a DevSecOps-ban - tanfolyam 88 000 dörzsölje. Otustól, képzés 5 hónap, Időpont 2023. október 30.
Vegyes Cikkek / / November 30, 2023
Napjainkban folyamatosan szembesülünk hackertámadásokkal, e-mail-csalásokkal és adatszivárgásokkal. Az online munkavégzés üzleti követelmény és új valósággá vált. A kód fejlesztése és karbantartása, valamint az infrastruktúra védelme a biztonságot szem előtt tartva, az IT-szakemberek számára kiemelt követelménysé válik. Ezek a szakemberek a legjobban fizetett és keresett nagy munkáltatók között: Microsoft, Google, Amazon Web Services, Mail. Ru Group, Yandex, Sberbank és mások.
Kinek szól ez a tanfolyam?
Az Agile DevOps változások folyamatos áramlásában az infrastruktúra és az alkalmazáskészletek fejlesztése folyamatos munkát igényel az információbiztonsági eszközökkel. A hagyományos, kerületre fókuszáló biztonsági modell már nem működik. A DevOps-ban a biztonságért a felelősség a Dev[Sec]Ops folyamat minden résztvevőjét terheli.
A tanfolyam az alábbi profilok szakembereinek szól:
- Fejlesztők
- DevOps mérnökök és rendszergazdák
- Tesztelők
- Építészek
- Információbiztonsági szakemberek
- Szakemberek, akik szeretnének megtanulni, hogyan fejleszthetnek és tarthatnak karban olyan alkalmazásokat és infrastruktúrát, amelyek magas fokú védelmet biztosítanak a külső és belső támadásokkal szemben egy automatizált DevSecOps folyamatban.
A tanfolyam célja
A DevSecOps sikeres megvalósítása csak az eszközök, az üzleti folyamatok és az emberek (résztvevői szerepek) integrált megközelítésével lehetséges. A kurzus mindhárom elemről nyújt ismereteket, és eredetileg a CI/CD eszközlánc és a dolgozó átalakítási projekt támogatására készült. A DevOps egy teljes DevSecOps gyakorlattá válik a legújabb automatizált biztonsági eszközök használatával.
A kurzus a következő típusú alkalmazások biztonsági jellemzőit tárgyalja:
- Hagyományos monolitikus 2/3 rétegű alkalmazások
- Kubernetes alkalmazások - saját DC-ben, nyilvános felhőben (EKS, AKS, GKE)
- Mobil iOS és Android alkalmazások
- REST API háttérrel rendelkező alkalmazások
Megfontolásra kerül a legnépszerűbb nyílt forráskódú és kereskedelmi információbiztonsági eszközök integrálása és használata.
A kurzus a Scrum/Kanban gyakorlatokra helyezi a hangsúlyt, de a megközelítések és eszközök a hagyományos Waterfall projektmenedzsment modellben is használhatók.
A megszerzett tudás és készségek
- Áttérés a „körzetvédelem” biztonsági modellről a „minden réteg védelme” modellre
- Szótár, információbiztonsági eszközökben használt kifejezések és objektumok - CWE, CVE, Exploit stb.
- Alapvető szabványok, módszerek, információforrások - OWASP, NIST, PCI DSS, CIS stb.
Azt is megtanulják, hogyan integrálhatók a CI/CD-be, és hogyan használhatják az alábbi kategóriákba tartozó információbiztonsági eszközöket:
- A lehetséges támadások elemzése (fenyegetés modellezés)
- A forráskód statikus elemzése a biztonság érdekében (SAST)
- Dinamikus alkalmazásbiztonsági elemzés (IAST/DAST)
- Harmadik féltől származó és nyílt forráskódú szoftverek (SCA) használatának elemzése
- A konfiguráció tesztelése, hogy megfelel-e a biztonsági szabványoknak (CIS, NIST stb.)
- Konfiguráció keményítés, foltozás
- Titkok és tanúsítványkezelés alkalmazása
- Védelem alkalmazása a REST-API-hoz a mikroszolgáltatási alkalmazásokon belül és a háttérben
- Web-alkalmazási tűzfal (WAF) alkalmazása
- Következő generációs tűzfalak (NGFW)
- Manuális és automatizált penetrációs tesztelés (penetrációs tesztelés)
- Biztonsági figyelés és eseményekre való reagálás az információbiztonság területén (SIEM)
- Törvényszéki elemzés
Ezen túlmenően a csapatvezetők ajánlásokat kapnak a DevSecOps sikeres megvalósításához szükséges gyakorlatokról:
- Hogyan készítsünk és sikeresen lebonyolítsunk egy minipályázatot és PoC-t az eszközök kiválasztásához
- Hogyan változtassuk meg a fejlesztő, támogató, információbiztonsági csapatok szerepkörét, struktúráját és felelősségi területeit
- A termékmenedzsment, fejlesztés, karbantartás, információbiztonság üzleti folyamatainak adaptálása
2
tanfolyamTöbb mint 12 éves informatikai munka során sikerült fejlesztőként, tesztelőként, devops és devsecops mérnökként dolgozni olyan cégeknél, mint az NSPK (a MIR kártya fejlesztője), a Kaspersky Lab, a Sibur és a Rostelecom. Jelenleg én...
Több mint 12 éves informatikai munka során sikerült fejlesztőként, tesztelőként, devops és devsecops mérnökként dolgozni olyan cégeknél, mint az NSPK (a MIR kártya fejlesztője), a Kaspersky Lab, a Sibur és a Rostelecom. Jelenleg a Digital Energy (Rostelecom cégcsoport) biztonságos fejlesztési vezetője vagyok, gyakorlati tapasztalataim a C#, F#, dotnet core, python, különféle DevOps és DevSecOps gyakorlati eszközök fejlesztése és integrációja (SAST/SCA, DAST/IAST, webes alkalmazások szkennelése, infrastruktúra elemzés, mobil szkennelés alkalmazások). Nagy tapasztalattal rendelkezem a k8s-fürtök telepítésében és támogatásában, valamint felhőszolgáltatókkal dolgozom. Biztonsági auditokat végzek és szervizhálókat telepítek. Saját tanfolyamaim szerzője vagyok a programozásról, tesztelésről, relációs és nem relációs adatbázisokról, felhőszolgáltatókkal való együttműködésről és csupasz fém szerverek adminisztrálásáról. Nemzetközi konferenciák előadója.
1
jólInformációbiztonsági elemző, Sovcombank
2018 óta szerzett információbiztonsági tapasztalat Szakterület: - Infrastruktúra biztonsági ellenőrzés - Sebezhetőség-kezelési folyamatok kiépítése különböző platformokra (mikroszolgáltatások és DevOps, gazdagép operációs rendszer, hálózati eszközök operációs rendszere, mobil, DB, virtualizáció) - Információbiztonsági irányelvek és követelmények kezelése infrastruktúrán és projekteken belül fejlesztés. Tanár
1
jól2017 óta auditálja a kereskedelmi hálózatokat. Részt vett az ukrán államközi bank "AT Oschadbank" biztonsági modelljének kidolgozásában A tesztelés fő jellemzője a "fekete doboz" módszerrel végzett penteszt. 2016 óta dolgozik pythonnal és bush-al...
2017 óta auditálja a kereskedelmi hálózatokat. Részt vett az ukrán államközi bank "AT Oschadbank" biztonsági modelljének kidolgozásában. A tesztelés fő jellemzője penteszt a "fekete doboz" módszerrel. 2016 óta dolgozik pythonnal és bush-al. Tapasztalat unix rendszerekkel, különösen a alapú disztribúciókkal kapcsolatban Debian. Tanár
Információbiztonsági tudásbázis
-1. témakör. Az információbiztonsági eszközökben használt szótár, terminusok, szabványok, módszerek, információforrások
-2. témakör. Az alkalmazásverem és az infrastruktúra információbiztonságának biztosításának alapelvei
OWASP sebezhetőség áttekintése
- 3. témakör. Az OWASP 10 legnépszerűbb webes sebezhetőségének elemzése
- 4. témakör. Az OWASP 10 legnépszerűbb sebezhetőségének elemzése - REST API
Biztonságos kód fejlesztésének és keretrendszerek használatának jellemzői
-5. témakör. Biztonságos fejlesztés HTML/CSS és PHP nyelven
-6. témakör. Biztonságos fejlesztési és szoftverkód-sebezhetőségek
-7. témakör. Biztonságos fejlesztés Java/Node.js-ben
-8. témakör. Biztonságos fejlesztés .NET-ben
-9. témakör. Biztonságos fejlesztés Rubyban
Biztonságos konténer és szerver nélküli alkalmazások fejlesztése
-Téma 10. Biztonság biztosítása Linux operációs rendszerben
-11. témakör: Docker konténerek biztonságának biztosítása
-12. témakör. A Kubernetes biztosítása
Integráció és munka az információbiztonsági eszközökkel a DevSecOps-on belül
-13. témakör A CI/CD eszközlánc és a DevOps folyamat biztonságának biztosítása
-14. témakör. A DevSecOps eszközök áttekintése
- 15. témakör. A forráskód biztonsági elemzése (SAST/DAST/IAST)
- 16. témakör. A REST-API védelem használata mikroszolgáltatási alkalmazásokon belül és a háttérben.
- 17. témakör: Webes alkalmazás tűzfal (WAF) használata webvédelemhez, REST API, robotvédelem.
- 18. témakör. Modern hálózati peremvédelmi eszközök (NGFW/Sandbox)
-Téma 19. Fenyegetés modellezés és penetrációs tesztelés
- 20. téma: Biztonsági megfigyelés és eseményekre adott válasz az információbiztonság területén (SIEM/SOAR)
-21. témakör. Projektterv és módszertan egy szervezet DevSecOps-okká alakításához.
Projekt modul
-22. téma.Téma kiválasztása
-23. témakör. Projektmunka konzultációi és megbeszélései
-24. témakör. Projektek védelme