19/12/2019
0
näkymät
Toteutus ja työskentely DevSecOpsissa - kurssi 88 000 hieroa. Otus, koulutus 5 kuukautta, päivämäärä 30.10.2023.
Miscellanea / / November 30, 2023
Nykyään kohtaamme jatkuvasti hakkerihyökkäyksiä, sähköpostipetoksia ja tietovuotoja. Verkkotyöstä on tullut liiketoiminnan vaatimus ja uusi todellisuus. Koodin kehittämisestä ja ylläpidosta sekä infrastruktuurin suojaamisesta tietoturvaa silmällä pitäen on tulossa IT-asiantuntijoiden keskeinen vaatimus. Juuri nämä asiantuntijat ovat eniten palkattuja ja kysytyimpiä suurten työnantajien keskuudessa: Microsoft, Google, Amazon Web Services, Mail. Ru Group, Yandex, Sberbank ja muut.
Kenelle tämä kurssi on tarkoitettu?
Infrastruktuurin ja sovelluspinojen kehittäminen Agile DevOps -muutosten jatkuvassa virrassa vaatii jatkuvaa työskentelyä tietoturvatyökalujen parissa. Perinteinen kehäkeskeinen suojausmalli ei enää toimi. DevOpsissa vastuu turvallisuudesta kuuluu kaikille Dev[Sec]Ops-prosessin osallistujille.
Kurssi on tarkoitettu seuraavien profiilien asiantuntijoille:
- Kehittäjät
- DevOps-insinöörit ja järjestelmänvalvojat
- Testaajat
- Arkkitehdit
- Tietoturvan asiantuntijat
- Asiantuntijat, jotka haluavat oppia kehittämään ja ylläpitämään sovelluksia ja infrastruktuuria korkeatasoisella suojauksella ulkoisia ja sisäisiä hyökkäyksiä vastaan automatisoidussa DevSecOps-prosessissa.
Kurssin tarkoitus
DevSecOpsin onnistunut käyttöönotto on mahdollista vain integroidulla työkaluilla, liiketoimintaprosesseilla ja ihmisillä (osallistujarooleilla). Kurssi tarjoaa tietoa kaikista kolmesta elementistä, ja se kehitettiin alun perin tukemaan CI/CD-työkaluketjua ja työntekijöiden muunnosprojektia. DevOps käsittelee täydellistä DevSecOps-käytäntöä uusimpien automaattisten suojaustyökalujen avulla.
Kurssi kattaa seuraavan tyyppisten sovellusten suojausominaisuudet:
- Perinteiset monoliittiset 2/3-tason sovellukset
- Kubernetes-sovellukset - omassa DC: ssä, Public Cloud (EKS, AKS, GKE)
- Mobiili iOS- ja Android-sovellukset
- Sovellukset, joissa on REST API -tausta
Suosituimpien avoimen lähdekoodin ja kaupallisten tietoturvatyökalujen integrointia ja käyttöä harkitaan.
Kurssilla painotetaan Scrum/Kanban-käytäntöjä, mutta lähestymistapoja ja työkaluja voidaan käyttää myös perinteisessä Waterfall-projektinhallintamallissa.
Tietoa ja taitoja, joita hankit
- Siirtyminen "kehäsuojaus" -turvamallista "kaikkien kerrosten suojaus" -malliin
- Sanakirja, tietoturvatyökaluissa käytetyt termit ja objektit - CWE, CVE, Exploit jne.
- Perusstandardit, menetelmät, tietolähteet - OWASP, NIST, PCI DSS, CIS jne.
He oppivat myös integroitumaan CI/CD: hen ja käyttämään tietoturvatyökaluja seuraavista luokista:
- Mahdollisten hyökkäysten analysointi (uhan mallinnus)
- Suojauksen lähdekoodin staattinen analyysi (SAST)
- Dynaaminen sovellusten suojausanalyysi (IAST/DAST)
- Analyysi kolmannen osapuolen ja avoimen lähdekoodin ohjelmistojen (SCA) käytöstä
- Testaa kokoonpanon turvallisuusstandardeja (CIS, NIST jne.)
- Kokoonpanon karkaisu, paikkaus
- Salaisuuksien ja sertifikaattien hallinnan soveltaminen
- Suojaus REST-API: lle mikropalvelusovelluksissa ja taustalla
- WAF (Web-Application Firewall) -sovellus
- Seuraavan sukupolven palomuurit (NGFW)
- Manuaalinen ja automaattinen läpäisytestaus (Penetration Testing)
- Tietoturvan valvonta ja reagointi tapahtumiin tietoturvassa (SIEM)
- Oikeuslääketieteellinen analyysi
Lisäksi tiiminjohtajat saavat suosituksia käytännöistä DevSecOpsin onnistuneeseen käyttöönottoon:
- Kuinka valmistella ja onnistuneesti toteuttaa mini-tarjous ja PoC työkalujen valintaa varten
- Kuinka muuttaa kehitys-, tuki- ja tietoturvatiimien rooleja, rakennetta ja vastuualueita
- Miten mukauttaa liiketoimintaprosesseja tuotehallinnan, kehityksen, ylläpidon, tietoturvan
Philip Ignatenko
2
tietenkinYli 12 vuoden IT-alan työskentelyn aikana onnistuin työskentelemään kehittäjänä, testaajana, devops- ja devsecops-insinöörinä sellaisissa yrityksissä kuin NSPK (MIR-kortin kehittäjä), Kaspersky Lab, Sibur ja Rostelecom. Tällä hetkellä minä...
Yli 12 vuoden IT-alan työskentelyn aikana onnistuin työskentelemään kehittäjänä, testaajana, devops- ja devsecops-insinöörinä sellaisissa yrityksissä kuin NSPK (MIR-kortin kehittäjä), Kaspersky Lab, Sibur ja Rostelecom. Tällä hetkellä toimin Digital Energyn (Rostelecom-konsernin) turvallisen kehityksen päällikkönä. Käytännön kokemukseni perustuu kielten C#, F#, dotnet-ytimen, python, erilaisten DevOps- ja DevSecOps-harjoitustyökalujen kehitys ja integrointi (SAST/SCA, DAST/IAST, verkkosovellusskannaus, infrastruktuurianalyysi, mobiiliskannaus sovellukset). Minulla on laaja kokemus k8s-klustereiden käyttöönotosta ja tukemisesta sekä työskentelystä pilvipalvelujen tarjoajien kanssa. Teen tietoturvatarkastuksia ja otan palveluverkkoja käyttöön. Olen kirjoittanut omia kurssejani ohjelmointiin, testaukseen, relaatiotietokantoihin ja ei-relaatiotietokantoihin, työskentelyyn pilvipalvelujen tarjoajien kanssa ja paljasmetallipalvelimien hallintaan. Puhuja kansainvälisissä konferensseissa.
Anton Lukashov
1
hyvinTietoturva-analyytikko, Sovcombank
Kokemusta tietoturvasta vuodesta 2018 Erikoistuminen: - Infrastruktuurin turvavalvonta - Haavoittuvuuksien hallintaprosessien rakentaminen eri alustoille (mikropalvelut ja DevOps, isäntäkäyttöjärjestelmä, verkkolaitteiden käyttöjärjestelmä, mobiili, tietokanta, virtualisointi) - Tietoturvakäytäntöjen ja -vaatimusten hallinta infrastruktuurissa ja projekteissa kehitystä. Opettaja
Daniil Nosenko
1
hyvinOn auditoinut kaupallisia verkostoja vuodesta 2017 lähtien. Osallistui Ukrainan osavaltioiden välisen pankin "AT Oschadbank" turvallisuusmallin kehittämiseen Testauksen pääominaisuus on pentest "mustan laatikon" menetelmällä. Työskentely pythonin ja bushin kanssa vuodesta 2016...
On auditoinut kaupallisia verkostoja vuodesta 2017 lähtien. Osallistui turvallisuusmallin kehittämiseen Ukrainan valtioiden väliselle pankille "AT Oschadbank"Testauksen pääominaisuus on pentest "musta laatikko" -menetelmällä Työskentely pythonin ja bushin kanssa vuodesta 2016. Kokemus työskentelystä unix-järjestelmien kanssa, erityisesti jakelut, jotka perustuvat Debian. Opettaja
Tietoturvatietokanta
-Aihe 1. Tietoturvatyökaluissa käytettävä sanakirja, termit, standardit, menetelmät, tietolähteet
-Aihe 2. Sovelluspinon ja infrastruktuurin tietoturvan varmistamisen perusperiaatteet
OWASP-haavoittuvuuden yleiskatsaus
-Aihe 3. OWASP: n Top 10 Web-haavoittuvuuksien analyysi
-Aihe 4. OWASP: n Top 10 haavoittuvuuden analyysi - REST API
Turvallisen koodin kehittämisen ja kehysten käytön ominaisuudet
-Aihe 5. Turvallinen kehitys HTML/CSS: ssä ja PHP: ssä
-Aihe 6. Suojattu kehitys ja ohjelmistokoodin haavoittuvuudet
-Aihe 7. Turvallinen kehitys Java/Node.js: ssä
-Aihe 8. Turvallinen kehitys .NET: ssä
-Aihe 9. Turvallinen kehitys Rubyssa
Turvallisten kontti- ja palvelimettomien sovellusten kehittäminen
-Aihe 10. Turvallisuuden varmistaminen Linux-käyttöjärjestelmässä
-Aihe 11. Turvallisuuden varmistaminen Docker-konteissa
-Aihe 12. Kubernetesin turvaaminen
Integrointi ja työskentely tietoturvatyökalujen kanssa DevSecOpsissa
-Aihe 13. CI/CD-työkaluketjun ja DevOps-prosessin turvallisuuden varmistaminen
-Aihe 14. DevSecOps-työkalujen katsaus
-Aihe 15. Lähdekoodin suojausanalyysi (SAST/DAST/IAST)
-Aihe 16. REST-API: n suojauksen käyttö mikropalvelusovelluksissa ja taustalla.
-Aihe 17. Web-sovellusten palomuurin (WAF) käyttö Web-suojaukseen, REST API, Bot-suojaus.
-Aihe 18. Nykyaikaiset verkon reunan suojaustyökalut (NGFW/Sandbox)
-Aihe 19. Uhkamallinnus ja läpäisytestaus
-Aihe 20. Tietoturvan valvonta ja reagointi tapahtumiin tietoturvassa (SIEM/SOAR)
-Aihe 21. Projektisuunnitelma ja metodologia organisaation muuttamiseen DevSecOpsiksi.
Projektimoduuli
-Teema 22. Teeman valinta
-Aihe 23. Projektityön neuvottelut ja keskustelut
-Aihe 24. Hankkeiden suojaaminen
Tilaa
YOU MIGHT ALSO LIKE
