Rakendamine ja töö DevSecOpsis - kursus 88 000 hõõruda. Otust, koolitus 5 kuud, Kuupäev 30.10.2023.
Varia / / November 30, 2023
Täna seisame pidevalt silmitsi häkkerite rünnakute, meilipettuste ja andmeleketetega. Internetis töötamisest on saanud ärinõue ja uus reaalsus. Koodi arendamine ja hooldamine ning infrastruktuuri kaitsmine turvalisust silmas pidades on muutumas IT-spetsialistide jaoks ülimaks nõudeks. Just need spetsialistid on suurte tööandjate seas kõige rohkem tasustatud ja nõutud: Microsoft, Google, Amazon Web Services, Mail. Ru Group, Yandex, Sberbank ja teised.
Kellele see kursus on mõeldud?
Infrastruktuuri ja rakenduste virnade arendamine Agile DevOpsi muudatuste pidevas voos nõuab pidevat tööd infoturbe tööriistadega. Traditsiooniline perimeetrile keskendunud turvamudel enam ei tööta. DevOpsis lasub vastutus turvalisuse eest kõigil Dev[Sec]Opsi protsessis osalejatel.
Kursus on mõeldud järgmiste profiilide spetsialistidele:
- Arendajad
- DevOpsi insenerid ja administraatorid
- Testijad
- Arhitektid
- Infoturbe spetsialistid
- Spetsialistid, kes soovivad õppida arendama ja hooldama rakendusi ja infrastruktuuri, mis on kõrge kaitsetasemega väliste ja sisemiste rünnakute eest automatiseeritud DevSecOpsi protsessis.
Kursuse eesmärk
DevSecOpsi edukas juurutamine on võimalik ainult integreeritud lähenemisviisiga tööriistadele, äriprotsessidele ja inimestele (osaleja rollid). Kursus annab teadmisi kõigi kolme elemendi kohta ja oli algselt välja töötatud CI/CD tööriistaahela ja töötajate ümberkujundamise projekti toetamiseks. DevOps töötleb uusimaid automatiseeritud turbetööriistu kasutades täielikku DevSecOpsi praktikat.
Kursusel käsitletakse järgmist tüüpi rakenduste turvafunktsioone:
- Traditsioonilised monoliitsed 2/3-tasandi rakendused
- Kubernetese rakendused - teie enda DC-s, avalikus pilves (EKS, AKS, GKE)
- iOS ja Android mobiilirakendused
- REST API taustaga rakendused
Kaalutakse kõige populaarsemate avatud lähtekoodiga ja kommertsinfoturbe tööriistade integreerimist ja kasutamist.
Kursusel rõhutatakse Scrum/Kanbani praktikaid, kuid lähenemisi ja tööriistu saab kasutada ka traditsioonilises Waterfall projektijuhtimise mudelis.
Omandatavad teadmised ja oskused
- Üleminek "perimeetrikaitse" turbemudelilt "kõigi kihtide kaitse" mudelile
- Sõnastik, infoturbe tööriistades kasutatavad terminid ja objektid - CWE, CVE, Exploit jne.
- Põhistandardid, meetodid, teabeallikad - OWASP, NIST, PCI DSS, CIS jne.
Samuti õpivad nad, kuidas integreerida CI/CD-sse ja kasutada infoturbe tööriistu järgmistest kategooriatest:
- Võimalike rünnakute analüüs (ohu modelleerimine)
- Lähtekoodi staatiline analüüs turvalisuse tagamiseks (SAST)
- dünaamiline rakenduse turvaanalüüs (IAST/DAST)
- Kolmanda osapoole ja avatud lähtekoodiga tarkvara (SCA) kasutamise analüüs
- Konfiguratsiooni testimine, et see vastaks turvastandarditele (CIS, NIST jne)
- Konfiguratsiooni kõvenemine, lappimine
- Saladuste ja sertifikaatide haldamise rakendamine
- REST-API kaitse rakendamine mikroteenuste rakendustes ja taustal
- Veebirakenduse tulemüüri (WAF) rakendamine
- Järgmise põlvkonna tulemüürid (NGFW)
- Manuaalne ja automaatne läbitungimise testimine (läbivuse testimine)
- Infoturbe (SIEM) turvaseire ja sündmustele reageerimine
- Kohtuekspertiisi analüüs
Lisaks saavad meeskonnajuhid soovitusi DevSecOpsi edukaks rakendamiseks:
- Kuidas koostada ja edukalt läbi viia minihange ja PoC tööriistade valimiseks
- Kuidas muuta arendus-, tugi-, infoturbemeeskondade rolle, struktuuri ja vastutusvaldkondi
- Kuidas kohandada tootehalduse, arenduse, hoolduse, infoturbe äriprotsesse
2
muidugiÜle 12-aastase töö IT-alal õnnestus mul töötada arendaja, testija, devopsi ja devsecopsi insenerina sellistes ettevõtetes nagu NSPK (MIR-kaardi arendaja), Kaspersky Lab, Sibur ja Rostelecom. Hetkel ma...
Üle 12-aastase töö IT-alal õnnestus mul töötada arendaja, testija, devopsi ja devsecopsi insenerina sellistes ettevõtetes nagu NSPK (MIR-kaardi arendaja), Kaspersky Lab, Sibur ja Rostelecom. Hetkel olen Digital Energy (Rostelecomi kontsern) turvalise arenduse juht. Minu praktiline kogemus põhineb keelte C#, F#, dotnet core, python, erinevate DevOps ja DevSecOps praktikatööriistade arendamine ja integreerimine (SAST/SCA, DAST/IAST, veebirakenduste skannimine, infrastruktuuri analüüs, mobiili skaneerimine rakendused). Mul on laialdased kogemused k8s-klastrite juurutamisel ja toetamisel ning töötan pilveteenuse pakkujatega. Teostan turvaauditeid ja juurutan teenindusvõrke. Olen enda kursuste autor programmeerimise, testimise, relatsiooniliste ja mitterelatsiooniliste andmebaaside kohta, töötan pilvepakkujatega ja haldasin paljast metallist servereid. Esineja rahvusvahelistel konverentsidel.
1
hästiInfoturbe analüütik, Sovcombank
Infoturbe alane kogemus aastast 2018 Spetsialiseerumine: - Infrastruktuuri turvakontroll - Haavatavuse halduse protsesside ehitamine erinevatele platvormidele (mikroteenused ja DevOps, host OS, võrguseadmete OS, mobiil, DB, virtualiseerimine) - Infoturbepoliitika ja -nõuete haldamine infrastruktuuris ja projektides arengut. Õpetaja
1
hästiAuditeerinud kaubandusvõrke alates 2017. aastast. Osaleti Ukraina riikidevahelise panga "AT Oschadbank" turvamudeli väljatöötamises Testimise põhiomaduseks on pentest "musta kasti" meetodil. Püütoni ja bushiga töötamine aastast 2016...
Auditeerinud kaubandusvõrke alates 2017. aastast. Osaleti Ukraina riikidevahelise panga "AT Oschadbank" turvamudeli väljatöötamises. Testimise peamine omadus on pentest kasutades "musta kasti" meetodit Pythoni ja bushiga töötamine alates 2016. aastast Unix-süsteemidega töötamise kogemus, eriti distributsioonidel, mis põhinevad Debian. Õpetaja
Infoturbe teadmistebaas
-Teema 1. Sõnastik, infoturbevahendites kasutatavad terminid, standardid, meetodid, teabeallikad
-Teema 2. Rakenduste pinu ja infrastruktuuri infoturbe tagamise põhiprintsiibid
OWASP haavatavuse ülevaade
-Teema 3. OWASP Top 10 veebihaavatavuste analüüs
-Teema 4. OWASP Top 10 haavatavuste analüüs - REST API
Turvalise koodi arendamise ja raamistike kasutamise omadused
-Teema 5. Turvaline arendus HTML/CSS-is ja PHP-s
-Teema 6. Turvaline arendus ja tarkvara koodi haavatavused
-Teema 7. Turvaline arendus Java/Node.js-s
-Teema 8. Turvaline arendus .NET-is
-Teema 9. Turvaline areng Ruby's
Turvaliste konteinerite ja serverita rakenduste arendamine
-Teema 10. Turvalisuse tagamine Linux OS-is
-Teema 11. Turvalisuse tagamine Dockeri konteinerites
-Teema 12. Kubernetese turvamine
Integreerimine ja töö DevSecOpsi teabeturbetööriistadega
-Teema 13. CI/CD tööriistaahela ja DevOps protsessi turvalisuse tagamine
-Teema 14. DevSecOpsi tööriistade ülevaade
-Teema 15. Lähtekoodi turvaanalüüs (SAST/DAST/IAST)
-Teema 16. REST-API kaitse kasutamine mikroteenuste rakendustes ja taustal.
-Teema 17. Veebirakenduse tulemüüri (WAF) kasutamine veebikaitseks, REST API, robotite kaitse.
-Teema 18. Kaasaegsed võrguperimeetri turvatööriistad (NGFW/liivakast)
-Teema 19. Ohu modelleerimine ja läbitungimise testimine
-Teema 20. Turvaseire ja sündmustele reageerimine infoturbe valdkonnas (SIEM/SOAR)
-Teema 21. Projektiplaan ja metoodika organisatsiooni muutmiseks DevSecOpsiks.
Projekti moodul
-Teema 22. Teema valimine
-Teema 23. Projektitöö konsultatsioonid ja arutelud
-Teema 24.Projektide kaitsmine