Разработка курса «Внедрение и работа в DevSecOps» | OTUS
Новогодняя распродажа!
Все курсы со скидкой 30%. Торопитесь!
Подробнее

Курсы

Курсы в разработке Подготовительные курсы
+7 499 110-61-65

Внедрение и работа в DevSecOps

Что даст вам этот курс
7
0
Хакерские атаки, электронное мошенничество и утечки данных. Разработка и сопровождение кода и защита инфраструктуры с учетом обеспечения безопасности становится первостепенным требованием к IT специалистам. Именно такие специалисты являются самыми высокооплачиваемыми и востребованными у крупных работодателей: Microsoft, Google, Amazon Web Services, Mail.Ru Group, Yandex, Сбербанк и других.


Курс находится в разработке к апрелю.

Курс предназначен для специалистов следующих профилей:

  • Разработчиков

  • Тестировщиков

  • Архитекторов

  • DevOps инженеров и Администраторов

  • Специалистов по информационной безопасности



    • которые хотят научиться разрабатывать и обслуживать приложения и инфраструктуру с высокой степенью защиты от внешних и внутренних атак в автоматизированном DevSecOps процессе.

      В рамках курса будут рассмотрено:

      • Традиционные монолитные / собственная корпоративная сеть и ЦОД

      • Микро-сервисные Docker cloud-native приложения разворачиваемые в облаке

      • Микро-сервисные Serverless cloud-native приложения разворачиваемые в облаке

      • Мобильные iOS и Android приложения и встраиваемые (embedded) IoT приложения

      • Особое внимание уделяется анализу уязвимостей и защите REST API



      В лабораторных работах в качестве стенда приложение + инфраструктура будет использоваться сложное полиглот-микросервис-приложение развернутое в Kubernetes в облачной инфраструктуре.

      В качестве среды CI/CD будет использоваться облачный сервис Managed SaaS DevOps сервис, в который будут пред-интегрированы автоматизированные инструменты ИБ.
Преподаватель
Владимир Гуторов
Cloud Architect, консультант в компании Nordcloud. Возглавляет команду CI/CD в компании Husqvarna Group, Швеция.

Более 20 лет практики разработки и внедрения сложных End-to-End IT решений. Работал в качестве разработчика, продакт менеджера, архитектора решений.

Участвовал в разработке VPN IPsec/PKI фреймворка для компании Sun Microsystems. Более 12 лет проработал в компании Ericsson в отделе системной интеграции в роли Senior Solution Architect, внедрял сложные решения систем позиционирования, биллинга, цифрового ТВ для операторов связи МТС, Мегафон, Vodafone UK, Telenor Norway, Telia Sweden и других.

Обладает сертификатами - AWS Certified Solutions Architect, AWS Certified Security - Specialty, ISC2 CCSP – Certified Cloud Security Professional, Application Security and Secure Coding (Checkmarx), Certified Ethical Hacker (CEH v10).

Состоит в рабочих группах ИБ - Center for Internet Security (CIS) CIS Workbench, Cloud Security Alliance (CSA) DevSecOps Working Group, ISC2, пул WhiteHat hackers в HackerOne.

В 1995 году окончил Московский Институт Электронной Техники, получив квалификацию «Инженер-конструктор электронно-вычислительных средств и систем”.

Преподаватель
Владимир Гуторов
Cloud Architect, консультант в компании Nordcloud. Возглавляет команду CI/CD в компании Husqvarna Group, Швеция.

Более 20 лет практики разработки и внедрения сложных End-to-End IT решений. Работал в качестве разработчика, продакт менеджера, архитектора решений.

Участвовал в разработке VPN IPsec/PKI фреймворка для компании Sun Microsystems. Более 12 лет проработал в компании Ericsson в отделе системной интеграции в роли Senior Solution Architect, внедрял сложные решения систем позиционирования, биллинга, цифрового ТВ для операторов связи МТС, Мегафон, Vodafone UK, Telenor Norway, Telia Sweden и других.

Обладает сертификатами - AWS Certified Solutions Architect, AWS Certified Security - Specialty, ISC2 CCSP – Certified Cloud Security Professional, Application Security and Secure Coding (Checkmarx), Certified Ethical Hacker (CEH v10).

Состоит в рабочих группах ИБ - Center for Internet Security (CIS) CIS Workbench, Cloud Security Alliance (CSA) DevSecOps Working Group, ISC2, пул WhiteHat hackers в HackerOne.

В 1995 году окончил Московский Институт Электронной Техники, получив квалификацию «Инженер-конструктор электронно-вычислительных средств и систем”.

Программа обучения
Модуль 1
Модель “защита всех слоев” и архитектура Dev|Sec|Ops
Модуль 2
Необходимый базис знаний ИБ
Модуль 3
Безбарьерное внедрение инструментов ИБ в DevOps
Модуль 4
План и методика трансформации в DevSecOps
Модель “защита всех слоев” и архитектура Dev|Sec|Ops
Оценить модуль
0
0
Тема 1: Введение в безопасность cloud-native приложений и облачной инфраструктуры
- Модели безопасности приложений и инфраструктуры
- Отличия традиционной модели от модели защиты в облаке
- Разделение зон ответственности в модели защиты в облаке
- Словарь, термины и объекты используемые в инструментах
Тема 2: Обзор архитектуры DevSecOps тулчейна
- Классификация инструментов используемых в DevSecOps
- Точки внедрения инструментов в CI/CD тулчейн
Необходимый базис знаний ИБ
Оценить модуль
0
0
Тема 1: Список видов слабостей исходного программного кода (CWE)
- Словарь, термины и элементы знаний используемых в CWE
- Использование CWE в инструментах ИБ
- Статистика и тренды изменений CWE за последние годы
Тема 2: База данных уязвимостей и воздействий в готовых продуктах (CVE)
- Словарь, термины и элементы знаний используемых в CVE
- Использование CVE в инструментах И
- Статистика и тренды изменений CVE за последние годы
Тема 3: Соответствие стандартам (Compliance) и упрочение конфигурации (Hardening)
- Основные стандарты, методики, источники информации - ISO, NIST, CIS, PCI DSS, CCM и др.
- Использование Compliance стандартов для упрочения конфигурации (Hardening) инфраструктуры
- Использование Compliance стандартов для упрочения конфигурации (Hardening) стека приложений
Безбарьерное внедрение инструментов ИБ в DevOps
Оценить модуль
0
0
Тема 1: Программа и инструменты начального обучения специалистов при переходе к DevSecOps
- Области знаний и инструменты для обучения для разработчиков стека приложений
- Области знаний и инструменты для обучения для разработчиков облачной инфраструктуры
- Области знаний и инструменты для обучения DevOps / SRE инженеров
- Области знаний и инструменты для обучения для специалистов по ИБ (аналитиков, пен-тестеров и тп)
Тема 2: Статический анализ на безопасность исходного кода (SAST) - теория и инструментарий
- Технические требования к SAST для пригодности DevSecOps
- Обзор процедуры загрузки приложения AppStack в SAST
- Анализ приложения и создание модели угроз (Threat modeling)
- Конфигурация SAST на основе данных из модели угроз
- Проведение начального сканирования приложения
- Анализ результатов и тюнинг конфигурации SAST
- Проведение последующих инкрементных сканирований приложения
- Автоматизация процесса сканирования и выпуска баг тикетов в CI/CD
- Обзор процедуры анализа кода инфраструктуры Cloud Infrastructure (Infrastructure as Code) на примере темплейта AWS CloudFormation и YML Kubernetes
Тема 3: Статический анализ на безопасность исходного кода (SAST) - практика применения и лабораторная работа
- Задачи которые мы решаем и навыки, которые мы приобретаем в данной лабораторной работе
- Демо выполнения лабораторной работы
Тема 4: Динамический анализ на безопасность готовых Мобильных и IoT приложений (DAST) - теория и инструментарий
- Технические требования к DAST для пригодности DevSecOps
- Обзор процедуры загрузки приложения в DAST
- Технические требования к SAST для пригодности DevSecOps
- Анализ приложения и создание модели угроз (Threat modeling)
- Конфигурация DAST на основе данных из модели угроз
- Проведение начального сканирования приложения
- Анализ результатов и тюнинг конфигурации DAST
- Проведение последующих инкрементных сканирований приложения
- Автоматизация процесса сканирования и выпуска баг тикетов в CI/CD
Тема 5: Динамический анализ на безопасность готовых Мобильных и IoT приложений (DAST) - практика применения и лабораторная работа
- Задачи которые мы решаем и навыки, которые мы приобретаем в данной лабораторной работе
- Демо выполнения лабораторной работы
Тема 6: Интерактивный анализ на безопасность приложений (IAST) - теория и инструментарий
- Технические требования к IAST для пригодности DevSecOps
- Обзор процедуры загрузки приложения в IAST
- Конфигурация IAST на основе данных из модели угроз и обнаруженных в SAST CWE
- Анализ результатов IAST, сравнение с результатами SAST, уточнение списка возможных атак
Тема 7: Интерактивный анализ на безопасность приложений (IAST) - практика применения и лабораторная работа
- Задачи которые мы решаем и навыки, которые мы приобретаем в данной лабораторной работе
- Демо выполнения лабораторной работы
Тема 8: Анализ на безопасность стороннего и открытого программного обеспечения (SCA) - теория и инструментарий
- Технические требования к SCA для пригодности DevSecOps и cloud-native security
- Обзор процедуры загрузки cloud-native приложения в SCA
- Обзор процедуры загрузки инфраструктуры Cloud Infrastructure (Infrastructure as Code) в SCA
- Конфигурация SCA на основе требований к соответствию стандартам, допустимых уязвимостей, лицензионной чистоте, и др.
- Анализ результатов сканирования cloud-native приложения AppStack
- Анализ результатов сканирования инфраструктуры Cloud Infrastructure
- Автоматизация процесса сканирования SCA и выпуска баг тикетов в CI/CD
Тема 9: Анализ на безопасность стороннего и открытого программного обеспечения (SCA) - практика применения и лабораторная работа
- Задачи которые мы решаем и навыки, которые мы приобретаем в данной лабораторной работе
- Демо выполнения лабораторной работы
Тема 10: Тестирование на проникновение (Penetration Testing) - теория и инструментарий
- Технические требования к Penetration Testing инструментам для пригодности DevSecOps
- Обзор процедуры сканирования cloud-native приложения AppStack и инфраструктуры Cloud Infrastructure автоматизированными средствами
- Обзор процедуры ручного теста ранее найденных уязвимостей
- Обзор процедуры автоматизированного и ручного сканирования REST API
- Проведение автоматизированного и ручного тестирования
- Анализ результатов тестирования комплекса AppStack (включая REST API + Cloud Infrastructure)
Тема 11: Тестирование на проникновение (Penetration Testing) - практика применения и лабораторная работа
- Задачи которые мы решаем и навыки, которые мы приобретаем в данной лабораторной работе
- Демо выполнения лабораторной работы
Тема 12: Усиление конфигурации и Патчи (Hardening and Pathing) - теория и инструментарий
- Обзор альтернатив hardening cloud-native приложения AppStack
- Обзор альтернатив hardening инфраструктуры Cloud Infrastructure
- Анализ результатов сканирования SCA
- Проведение ряда изменений конфигурации и патчинг (замена на более усиленный EC2, коррекция конфигурации Kubernetes, Docker engine, Docker Image, патчинг библиотек приложения)
- Проведение повторного сканирования SCA для подтверждения успешности проведенных изменений
Тема 13: Усиление конфигурации и Патчи (Hardening and Pathing) - практика применения и лабораторная работа
Задачи которые мы решаем и навыки, которые мы приобретаем в данной лабораторной работе
- Демо выполнения лабораторной работы
Тема 14: Cloud-natice Web-Application Файервол (WAF) - теория и инструментарий
- Технические требования к Cloud-native Web-Application Firewall инструментам для пригодности DevSecOps
- Обзор и сравнение WAF предоставляемых Cloud вендорами и компаниями-экспертами
- Особенности и варианты атак на REST API
- Обзор методов защиты REST API с помощью специализированных WAF
- Создание конфигурации WAF для защиты REST API
- Проведение атаки на REST API до и после введения конфигурации WAF
Тема 15: Cloud-natice Web-Application Файервол (WAF) - практика применения и лабораторная работа
- Задачи которые мы решаем и навыки, которые мы приобретаем в данной лабораторной работе
- Демо выполнения лабораторной работы
Тема 16: Система обнаружения / предотвращений вторжений (IDS/IPS) - теория и инструментарий
- Технические требования к IDS/IPS инструментам для пригодности cloud-native приложений и DevSecOps
- Обзор и сравнение IDS/IPS предоставляемых Cloud вендорами и компаниями-экспертами
- Обзор методов защиты cloud-native приложений с помощью новейших IDS/IPS, использующих машинное обучение (ML) и подход “white list”
- Создание конфигурации IDS/IPS для защиты стека приложения
- Проведение атаки на приложение до и после введения конфигурации IDS/IPS
- Автоматизация процесса нотификаций IDS/IPS и выпуска баг тикетов в CI/CD
- Автоматизация процесса изоляции поврежденной части приложения для последующего анализа с помощью Forensic Analysis
Тема 17: Система обнаружения / предотвращений вторжений (IDS/IPS) - практика применения и лабораторная работа
- Задачи которые мы решаем и навыки, которые мы приобретаем в данной лабораторной работе
- Демо выполнения лабораторной работы
Тема 18: Мониторинг безопасности приложений и сети, Анализ в реальном времени событий и тревог ИБ (SIEM) - теория и инструментарий
- Технические требования к SIEM инструментам для пригодности cloud-native приложений и DevSecOps
- Обзор и сравнение SIEM предоставляемых Cloud вендорами и компаниями-экспертами
- Особенности мониторинга стека cloud-native приложений
- Особенности мониторинга инфраструктуры Cloud Infrastructure
- Проведение внешней атаки на приложение аналогично вебинару посвященному IDS/IPS
- Получение нотификации от SIEM, проведение поиска и анализа по лог файлам для стека приложений и инфраструктуры
- Автоматизация процесса нотификаций SIEM и выпуска баг тикетов в CI/CD
Тема 19: Мониторинг безопасности приложений и сети, Анализ в реальном времени событий и тревог ИБ (SIEM) - практика применения и лабораторная работа
- Задачи которые мы решаем и навыки, которые мы приобретаем в данной лабораторной работе
- Демо выполнения лабораторной работы
Тема 20: Процедура анализа и автоматизированной реакции на ИБ события (SOAR) - теория и инструментарий
- Технические требования к SOAR инструментам для пригодности cloud-native приложений и DevSecOps
- Обзор и сравнение SOAR предоставляемых Cloud вендорами и компаниями-экспертами
- Особенности мониторинга стека cloud-native приложений
- Особенности мониторинга инфраструктуры Cloud Infrastructure
- Проведение внешней атаки на приложение аналогично вебинару посвященному IDS/IPS
- Автоматизация процесса устранения угрозы с помощью SOAR инструмента
Тема 21: Процедура анализа и автоматизированной реакции на ИБ события (SOAR) - практика применения и лабораторная работа
- Задачи которые мы решаем и навыки, которые мы приобретаем в данной лабораторной работе
- Демо выполнения лабораторной работы
Тема 22: Криминалистическая экспертиза (Forensic Analysis) - теория и инструментарий
- Технические требования к Forensic Analysis инструментам для пригодности cloud-native приложений и DevSecOps
- Обзор и сравнение Forensic Analysis предоставляемых Cloud вендорами и компаниями-экспертами
- Проведение внешней атаки на приложение аналогично вебинару посвященному IDS/IPS
- Проведение поиска и низко-уровневого анализа воздействия атаки на стек приложения
Тема 23: Криминалистическая экспертиза (Forensic Analysis) - практика применения и лабораторная работа
- Задачи которые мы решаем и навыки, которые мы приобретаем в данной лабораторной работе
- Демо выполнения лабораторной работы
Тема 24: Итоговое обзорное занятие по изученным инструментам
- Обзор инструментов и их взаимного использования
- Best Practice применения каждого инструмента
- Как начать использовать и адаптировать инструменты в рабочий процесс
План и методика трансформации в DevSecOps
Оценить модуль
0
0
Тема 1: План трансформации и практические шаги при переходе от DevOps к DevSecOps
- План адаптации инструментов, бизнес-процессов и рабочих ролей
- Особенности внедрения инструментов ИБ в CI/CD тулчейн и временные рамки успешного внедрения DevSecOps практики
Тема 2: Коррекция зон ответственности и бизнес-процессов для успешного перехода к DevSecOps
- Разделение зон ответственности команд
- Коррекция бизнес-процессов DevOps для успешного перехода к DevSecOps
Тема 3: Коррекция рабочих ролей для успешного перехода к DevSecOps
- Изменение существующих ролей и введение новых
- Best Practice и примеры из реального проекта трансформации в DevSecOps
Опрос по программе "Внедрение и работа в DevSecOps"

При запуске нового курса, нам очень важно оценивать качество и актуальность предлагаемой программы на этапе идеи и концепции модулей, поэтому мы будем очень рады и благодарны вашим ответам, экспертным оценкам и комментариям.

Вопрос №1 из 6
Выберите один вариант ответа
Вам понятно, о чем этот курс?
оцените от 1 (не понял) до 5 (да, все ясно)
Вопрос №2 из 6
А что из этого вы уже знаете?
Вопрос №3 из 6
Какие темы из программы вам уже сейчас пригодились бы в работе?
Вопрос №4 из 6
Выберите один вариант ответа
Оцените актуальность программы (в баллах от 1 "неактуально" до 10 "полностью актуальна")
Вопрос №5 из 6
И последнее: что вам необходимо в работе сейчас или понадобится в ближайшем будущем, но не представлено в программе?
Вопрос №6 из 6
Комментарии и предложения - мы всегда им рады!

Оставьте хотя бы один ответ для участия в опросе