Внедрение и работа в DevSecOps | OTUS
🔥 Начинаем BLACK FRIDAY!
Максимальная скидка -25% на всё. Успейте начать обучение по самой выгодной цене.
Выбрать курс

Курсы

Программирование
iOS Developer. Basic
-25%
Python Developer. Professional
-25%
Разработчик на Spring Framework
-25%
Golang Developer. Professional
-25%
Python Developer. Basic
-25%
iOS Developer. Professional
-25%
Highload Architect
-25%
JavaScript Developer. Basic
-25%
Kotlin Backend Developer
-25%
JavaScript Developer. Professional
-25%
Android Developer. Basic
-25%
Unity Game Developer. Basic
-25%
Разработчик C#
-25%
Программист С Web-разработчик на Python Алгоритмы и структуры данных Framework Laravel PostgreSQL Reverse-Engineering. Professional CI/CD Vue.js разработчик VOIP инженер Программист 1С Flutter Mobile Developer Супер - интенсив по Kubernetes Symfony Framework Advanced Fullstack JavaScript developer Супер-интенсив "Azure для разработчиков"
Инфраструктура
Мониторинг и логирование: Zabbix, Prometheus, ELK
-25%
DevOps практики и инструменты
-25%
Архитектор сетей
-25%
Инфраструктурная платформа на основе Kubernetes
-25%
Супер-интенсив «ELK»
-16%
Супер-интенсив «IaC Ansible»
-16%
Супер-интенсив "SQL для анализа данных"
-16%
Базы данных Сетевой инженер AWS для разработчиков Cloud Solution Architecture Разработчик голосовых ассистентов и чат-ботов Внедрение и работа в DevSecOps Администратор Linux. Виртуализация и кластеризация Нереляционные базы данных Супер-практикум по использованию и настройке GIT IoT-разработчик Супер-интенсив «СУБД в высоконагруженных системах»
Специализации Курсы в разработке Подготовительные курсы
+7 499 938-92-02

Внедрение и работа в DevSecOps

Длительность обучения:

Обучить сотрудников
Что даст вам этот курс

Сегодня мы постоянно сталкиваемся с хакерскими атаками, электронным мошенничеством и утечками данных. Разработка и сопровождение кода и защита инфраструктуры с учетом обеспечения безопасности становится первостепенным требованием к IT специалистам. Именно такие специалисты являются самыми высокооплачиваемыми и востребованными у крупных работодателей: Microsoft, Google, Amazon Web Services, Mail.Ru Group, Yandex, Сбербанк и других.

Для кого этот курс

Разработка инфраструктуры и стека приложений в непрерывном потоке изменений Agile DevOps требует непрерывной работы с инструментами ИБ. Традиционная модель безопасности с фокусом на защиту периметра больше не работает. В DevOps ответственность за обеспечение безопасности ложится на всех участников Dev[Sec]Ops процесса.

Курс предназначен для специалистов следующих профилей:

- Разработчиков
- DevOps инженеров и Администраторов
- Тестировщиков
- Архитекторов
- Специалистов по информационной безопасности
- Специалисты, которые хотят научиться разрабатывать и обслуживать приложения и инфраструктуру с высокой степенью защиты от внешних и внутренних атак в автоматизированном DevSecOps процессе.

Цель Курса

Успешное внедрение DevSecOps возможно только при комплексном подходе к Инструментам, Бизнес-процессам и Людям (Ролям участников). Курс дает знания по всех трем элементам и изначально был разработан для сопровождения проекта трансформации CI/CD тулчейн и рабочего процесса DevOps до полноценной DevSecOps практики с использованием новейших автоматизированных инструментов обеспечения безопасности.

В рамках курса будут рассмотрены особенности защиты следующих видов приложений:

- Традиционные монолитные 2/3-Tier приложения
- Kubernetes приложения - в собственном ДЦ, Red Hat OpenShift, Public Cloud (EKS, AKS, GKE)
- Мобильные iOS и Android приложения
- Приложения c REST API back-end

Будут рассмотрена интеграция и использование наиболее популярных open source и коммерческих инструментов ИБ.

В курсе делается упор на практику Scrum / Kanban, но подходы и инструменты могут также использоваться в традиционной Waterfall модели ведения проектов.


Знания и навыки которые вы приобретете

- Переход от модели безопасности “защита периметра” к модели “защита всех слоев”
- Словарь, термины и объекты используемые в инструментах ИБ - CWE, CVE, Exploit и др.
- Основные стандарты, методики, источники информации - OWASP, NIST, PCI DSS, CIS и др.

А также научатся интегрировать в CI/CD и использовать инструменты ИБ из следующих категорий:

- Анализ возможных атак (Threat Modelling)
- Статический анализ исходного кода на безопасность (SAST)
- Динамический анализ приложений на безопасность (IAST/DAST)
- Анализ использования стороннего и открытого программного обеспечения (SCA)
- Тестирование конфигурации на соответствие стандартам безопасности (CIS, NIST, итп)
- Усиление конфигурации и патчинг (Configuration Hardening, Patching)
- Применение менеджмента секретов и сертификатов (Secrets and Certificates Management)
- Применение защиты для REST-API внутри микро-сервисных приложений и на back-end
- Применение Web-Application Firewall (WAF)
- Система обнаружения / предотвращений вторжений (IDS/IPS)
- Ручное и автоматизированное тестирование на проникновение (Penetration Testing)
- Мониторинг безопасности и реакция на события в ИБ (SIEM)
- Криминалистическая экспертиза (Forensic Analysis)

Кроме того, тим-лидеры получат рекомендации о практике успешного внедрения DevSecOps:

- Как подготовить и успешно провести мини-тендер и PoC по выбору инструментов
- Как изменить роли, структуру и зоны ответственности команд разработки, поддержки, ИБ
- Как адаптировать бизнес-процессы продакт менеджмента, разработки, обслуживания, ИБ
Преподаватель
Владимир Гуторов
Cloud Architect, консультант в компании Nordcloud. Возглавляет команду CI/CD в компании Husqvarna Group, Швеция.

Более 20 лет практики разработки и внедрения сложных End-to-End IT решений. Работал в качестве разработчика, продакт менеджера, архитектора решений.

Участвовал в разработке VPN IPsec/PKI фреймворка для компании Sun Microsystems. Более 12 лет проработал в компании Ericsson в отделе системной интеграции в роли Senior Solution Architect, внедрял сложные решения систем позиционирования, биллинга, цифрового ТВ для операторов связи МТС, Мегафон, Vodafone UK, Telenor Norway, Telia Sweden и других.

Обладает сертификатами - AWS Certified Solutions Architect, AWS Certified Security - Specialty, ISC2 CCSP – Certified Cloud Security Professional, Application Security and Secure Coding (Checkmarx), Certified Ethical Hacker (CEH v10).

Состоит в рабочих группах ИБ - Center for Internet Security (CIS) CIS Workbench, Cloud Security Alliance (CSA) DevSecOps Working Group, ISC2, пул WhiteHat hackers в HackerOne.

В 1995 году окончил Московский Институт Электронной Техники, получив квалификацию «Инженер-конструктор электронно-вычислительных средств и систем”.

Преподаватель
Владимир Гуторов
Cloud Architect, консультант в компании Nordcloud. Возглавляет команду CI/CD в компании Husqvarna Group, Швеция.

Более 20 лет практики разработки и внедрения сложных End-to-End IT решений. Работал в качестве разработчика, продакт менеджера, архитектора решений.

Участвовал в разработке VPN IPsec/PKI фреймворка для компании Sun Microsystems. Более 12 лет проработал в компании Ericsson в отделе системной интеграции в роли Senior Solution Architect, внедрял сложные решения систем позиционирования, биллинга, цифрового ТВ для операторов связи МТС, Мегафон, Vodafone UK, Telenor Norway, Telia Sweden и других.

Обладает сертификатами - AWS Certified Solutions Architect, AWS Certified Security - Specialty, ISC2 CCSP – Certified Cloud Security Professional, Application Security and Secure Coding (Checkmarx), Certified Ethical Hacker (CEH v10).

Состоит в рабочих группах ИБ - Center for Internet Security (CIS) CIS Workbench, Cloud Security Alliance (CSA) DevSecOps Working Group, ISC2, пул WhiteHat hackers в HackerOne.

В 1995 году окончил Московский Институт Электронной Техники, получив квалификацию «Инженер-конструктор электронно-вычислительных средств и систем”.

Необходимые знания
Опыт работы с Git (GitHub, GitLab, и т.п.), обслуживания приложений в CI/CD (GitLab, Jenkins, и т.п.), работы с инструментами автоматизации конфигурации (Ansible, Chef, и т.п.).
Процесс обучения
Курс длится 4 месяца, или 16 недель. Ориентировочные затраты времени - 6 часов в неделю.

Каждую неделю:
- проводится два 2-х часовых онлайн вебинара - теория / демо (всего 32 вебинара)
- выдается слайд-дек с вебинара и видео-запись вебинара
- выдается одно домашнее задание - изучить технологию, выполнить лабораторную работу

По всем практическим заданиям преподаватели дают развернутый фидбек. Преподаватели постоянно находятся в едином коммуникационном пространстве с группой на протяжении всего курса, т. е. в процессе обучения слушатель может задавать уточняющие вопросы по материалам лекций и домашних заданий, взаимодействовать с преподавателями.
Программа обучения
Модуль 1
Базис знаний информационной безопасности
Модуль 2
Обзор уязвимостей OWASP
Модуль 3
Особенности разработки безопасного кода и использования фреймворков
Модуль 4
Моделирование и анализ возможных угроз и атак (Threat Modelling)
Модуль 5
Разработка безопасных контейнерных и serverless приложений
Модуль 6
Интеграция и работа с инструментами ИБ в рамках DevSecOps
Модуль 7
Проектный модуль
Базис знаний информационной безопасности
Тема 1: Словарь, термины, стандарты, методики, источники информации, используемые в инструментах информационной безопасности
1. Объекты CWE, CVE, Exploit, OWASP, NVD
2. Стандарты ISO, NIST, CIS
Домашние задания: 1
1 Ознакомиться с основными стандартами информационной безопасности
Цель: Ознакомиться со стандартами информационной безопасности: 1.NIST 800-53 для разделов: https://nvd.nist.gov/800-53/Rev4/family/Access%20Control https://nvd.nist.gov/800-53/Rev4/family/Configuration%20Management https://nvd.nist.gov/800-53/Rev4/family/Identification%20and%20Authentication https://nvd.nist.gov/800-53/Rev4/family/System%20and%20Communications%20Protection 2. CIS Benchmarsks https://github.com/cismirror/benchmarks 2-3 документа по вашему выбору исходя из используемых на работе элементов. или например: https://github.com/cismirror/benchmarks/blob/master/CIS_Ubuntu_Linux_20.04_LTS_Benchmark_v1.0.0.pdf https://github.com/cismirror/benchmarks/blob/master/CIS_Apache_HTTP_Server_2.4_Benchmark_v1.5.0.pdf
Тема 2: Основные принципы обеспечения информационной безопасности стека приложений и инфраструктуры
1. Переход от модели безопасности “защита периметра” к модели “защита всех слоев”.
2. Разбор принципов информационной безопасности для обеспечения защиты стека приложений и инфраструктуры:
- Least Privileges
- Secure By Default
- Defense In Depth
- Robust Error Checking
- Trust No Input
- Open Design
- Fail Securely
- Reuse Of Existing Security Controls In A Framework Or Language
- Logging
- Data Protection
Домашние задания: 1
1 Описать как в вашем стеке приложений используется принцип Defense In Depth
Цель: - Описать как в вашем стеке приложений (на вашем местеработы) используется принцип Defense In Depth. - Если у вас нет собственного стека приложений (на вашем месте работы), выполнить аналогичную работу для предложенного примера
Обзор уязвимостей OWASP
Тема 1: Разбор уязвимостей OWASP Top 10 Web
Разбор уязвимостей OWASP Top 10 для Web приложений:
1. Injection
2. Broken Authentication
3. Sensitive Data Exposure
4. XML External Entities (XXE)
5. Broken Access control
6. Security misconfigurations
7. Cross Site Scripting (XSS)
8. Insecure Deserialization
9. Using Components with known vulnerabilities
10. Insufficient logging and monitoring
Домашние задания: 1
1 Провести симуляцию атаки по одной из предложенных уязвимостей OWASP Top 10 - Web
Цель: Провести симуляцию атаки по одной из предложенных уязвимостей OWASP Top 10 - Web на предоставленном стенде лабораторной работы
Тема 2: Разбор уязвимостей OWASP Top 10 - Mobile
Разбор уязвимостей OWASP Top 10 для Мобильных приложений
M1: Improper Platform Usage
M2: Insecure Data Storage
M3: Insecure Communication
M4: Insecure Authentication
M5: Insufficient Cryptography
M6: Insecure Authorization
M7: Client Code Quality
M8: Code Tampering
M9: Reverse Engineering
M10: Extraneous Functionality

Введение в Mobile Security Testing Guide (MSTG)
Домашние задания: 1
1 Провести симуляцию атаки по одной из предложенных уязвимостей OWASP Top 10 - Mobile
Цель: Провести симуляцию атаки по одной из предложенных уязвимостей OWASP Top 10 - Mobile на предоставленном стенде лабораторной работы
Тема 3: Разбор уязвимостей OWASP Top 10 - IoT
Разбор уязвимостей OWASP Top 10 для IoT приложений
I1. Weak, guessable, or hardcoded passwords
I2. Insecure network services
I3. Insecure ecosystem interfaces
I4. Lack of secure update mechanism
I5. Use of insecure or outdated components
I6. Insufficient privacy protection
I7. Insecure data transfer and storage
I8. Lack of device management
I9. Insecure default settings
I10. Lack of physical hardening
Домашние задания: 1
1 Провести симуляцию атаки по одной из предложенных уязвимостей OWASP Top 10 - IoT
Цель: Провести симуляцию атаки по одной из предложенных уязвимостей OWASP Top 10 - IoT на предоставленном стенде лабораторной работы
Тема 4: Разбор уязвимостей OWASP Top 10 - REST API
Разбор уязвимостей OWASP Top 10 для приложений с REST API
API1:2019 Broken Object Level Authorization
API2:2019 Broken User Authentication
API3:2019 Excessive Data Exposure
API4:2019 Lack of Resources & Rate Limiting
API5:2019 Broken Function Level Authorization
API6:2019 Mass Assignment
API7:2019 Security Misconfiguration
API8:2019 Injection
API9:2019 Improper Assets Management
API10:2019 Insufficient Logging & Monitoring
Домашние задания: 1
1 Провести симуляцию атаки по одной из предложенных уязвимостей OWASP Top 10 - REST API
Цель: Провести симуляцию атаки по одной из предложенных уязвимостей OWASP Top 10 - REST API на предоставленном стенде лабораторной работы
Особенности разработки безопасного кода и использования фреймворков
Тема 1: Безопасная разработка в HTML/CSS
Разбор практик безопасного кодирования использования и использования фреймворков для HTML/CSS
Домашние задания: 1
1 Проанализировать и устранить уязвимость в HTML/CSS коде
Цель: Проанализировать и устранить уязвимость в HTML/CSS коде из предложенного варианта, или в вашем собственном приложении
Тема 2: Безопасная разработка в С/С++
Разбор практик безопасного кодирования использования и использования фреймворков для С/С++
Домашние задания: 1
1 Проанализировать и устранить уязвимость в С/С++ коде
Цель: Проанализировать и устранить уязвимость в С/С++ коде из предложенного варианта, или в вашем собственном приложении
Тема 3: Безопасная разработка в Java
Разбор практик безопасного кодирования использования и использования фреймворков для Java
Домашние задания: 1
1 Проанализировать и устранить уязвимость в Java коде
Цель: Проанализировать и устранить уязвимость в Java коде из предложенного варианта, или в вашем собственном приложении
Тема 4: Безопасная разработка в Node.js
Разбор практик безопасного кодирования использования и использования фреймворков для Node.js
Домашние задания: 1
1 Проанализировать и устранить уязвимость в Node.js коде
Цель: Проанализировать и устранить уязвимость в Node.js коде из предложенного варианта, или в вашем собственном приложении
Тема 5: Безопасная разработка в Python
Разбор практик безопасного кодирования использования и использования фреймворков для Python
Домашние задания: 1
1 Проанализировать и устранить уязвимость в Python коде
Цель: Проанализировать и устранить уязвимость в Python коде из предложенного варианта, или в вашем собственном приложении
Тема 6: Безопасная разработка в Go
Разбор практик безопасного кодирования использования и использования фреймворков для Go
Домашние задания: 1
1 Проанализировать и устранить уязвимость в Go коде
Цель: Проанализировать и устранить уязвимость в Go коде из предложенного варианта, или в вашем собственном приложении
Тема 7: Безопасная разработка в .NET
Разбор практик безопасного кодирования использования и использования фреймворков для .NET
Домашние задания: 1
1 Проанализировать и устранить уязвимость в .NET коде
Цель: Проанализировать и устранить уязвимость в .NET коде из предложенного варианта, или в вашем собственном приложении
Тема 8: Безопасная разработка в Ruby
Разбор практик безопасного кодирования использования и использования фреймворков для Ruby
Домашние задания: 1
1 Проанализировать и устранить уязвимость в Ruby коде
Цель: Проанализировать и устранить уязвимость в Ruby коде из предложенного варианта, или в вашем собственном приложении
Тема 9: Безопасная разработка в PHP
Разбор практик безопасного кодирования использования и использования фреймворков для PHP
Домашние задания: 1
1 Проанализировать и устранить уязвимость в PHP коде
Цель: Проанализировать и устранить уязвимость в PHP коде из предложенного варианта, или в вашем собственном приложении
Моделирование и анализ возможных угроз и атак (Threat Modelling)
Тема 1: Базовое моделирование угроз с использованием OWASP Top 10
Моделирование с использованием:
- Risks with OWASP Top 10
- Testing Procedure with OWASP ASVS
- Risks with SANS Top 25
- Microsoft STRIDE
- OWASP Cheat Sheet
Домашние задания: 1
1 Разработать модель угроз на основе OWASP Top 10
Цель: Разработать модель угроз на основе OWASP Top 10 для предложенного или вашего собственного приложения
Тема 2: Продвинутое моделирование угроз с использованием ATP MITRE ATT&CK
Моделирование с использованием Advanced Persistent Threats, MITRE ATT&CK
Разработка безопасных контейнерных и serverless приложений
Тема 1: Обеспечение безопасности в Docker контейнерах
Разбор практик безопасной сборки, тестирования и Run-Time защиты Docker контейнеров
- Docker Security Top 10 best practices
- Cloud Native Buildpacks
Домашние задания: 1
1 Протестировать Docker контейнер на предмет возможных уязвимостей
Цель: Протестировать Docker контейнер на предмет возможных уязвимостей на предоставленном стенде лабораторной работы, или ваш собственный Docker контейнер
Тема 2: Обеспечение безопасности в Kubernetes
Особенности защиты Kubernetes инфраструктуры и приложений в различных вариантах использования:
- Cобственный кластер и control plane в своем ДЦ
- Managed Cloud Kubernetes - AWS EKS, Azure AKS, GCP GKE
Домашние задания: 1
1 Протестировать Kubernetes приложение на предмет возможных уязвимостей
Цель: Протестировать Kubernetes приложение на предмет возможных уязвимостей на предоставленном стенде лабораторной работы, или ваш собственное Kubernetes приложение
Тема 3: Обеспечение безопасности в Red Hat OpenShift
Red Hat OpenShift экосистема, отличия от традиционного Kubernetes
Интеграция и работа с инструментами ИБ в рамках DevSecOps
Тема 1: Обеспечение безопасности CI/CD тулчейна и DevOps процесса
Особенности и элементы обеспечения безопасности CI/CD тулчейна и DevOps процесса
- Git Branching Models, Pull Requests, Decoration
- Конфигурация полномочий в CI/CD
- CI/CD Phases, Gates
- Deployment Environments
Домашние задания: 1
1 Изучить существующие CI/CD с точки зрения доступных инструментов ИБ
Цель: Изучить существующие Managed Cloud SaaS для CI/CD (GitLab, CircleCI и др) на предмет наличия в них инструментов ИБ и подготовить сравнительную таблицу (написать статью в корпоративный Security Knowledge Base Portal)
Тема 2: Обзор DevSecOps инструментария - часть 1 (Dev)
Классификация инструментов используемых в DevSecOps. Точки внедрения инструментов в CI/CD тулчейн (Gartner’s framework, Dev часть):
- Анализ возможных атак (Threat Modelling)
- Статический анализ исходного кода на безопасность (SAST)
- Динамический анализ приложений на безопасность (IAST/DAST)
- Анализ использования стороннего и открытого программного обеспечения (SCA)
- Тестирование конфигурации на соответствие стандартам - безопасности (CIS, NIST, итп)
- Усиление конфигурации и патчинг (Configuration Hardening, Patching)
Домашние задания: 1
1 Собрать требования, которые определяют DevSecOps тулчейн
Цель: Собрать требования, которые определяют DevSecOps, написать статью в корпоративный Security Knowledge Base Portal
Тема 3: Обзор DevSecOps инструментария - часть 2 (Ops)
Классификация инструментов используемых в DevSecOps. Точки внедрения инструментов в CI/CD тулчейн (Gartner’s framework, Ops часть):
- Применение менеджмента секретов и сертификатов (Secrets and Certificates Management)
- Применение защиты для REST-API внутри микро-сервисных приложений и на back-end
- Применение Web-Application Firewall (WAF)
- Система обнаружения / предотвращений вторжений (IDS/IPS)
- Ручное и автоматизированное тестирование на проникновение (Penetration Testing)
- Мониторинг безопасности и реакция на события в ИБ (SIEM)
- Криминалистическая экспертиза (Forensic Analysis)
Тема 4: Статический анализ исходного кода на безопасность (SAST)
- Технические требования к SAST для пригодности DevSecOps.
- Обзор процедуры загрузки приложения AppStack в SAST.
- Анализ приложения и создание модели угроз (Threat modeling).
- Конфигурация SAST на основе данных из модели угроз.
- Проведение начального сканирования приложения.
- Анализ результатов и тюнинг конфигурации SAST.
- Проведение последующих инкрементных сканирований приложения.
- Автоматизация процесса сканирования и выпуска баг тикетов.
Домашние задания: 1
1 Провести SAST тестирование
Цель: Провести SAST тестирование для предложенного или вашего собственного приложения
Тема 5: Динамический анализ приложений на безопасность (DAST/IAST)
- Технические требования к DAST для пригодности DevSecOps.
- Обзор процедуры загрузки приложения AppStack в DAST.
- Анализ приложения и создание модели угроз (Threat modeling).
- Конфигурация DAST на основе данных из модели угроз.
- Проведение начального сканирования приложения.
- Анализ результатов и тюнинг конфигурации DAST.
- Проведение последующих инкрементных сканирований приложения.
- Автоматизация процесса сканирования и выпуска баг тикетов.
- Продвинутый режим интсрументации кода для последующего IAST тестирования в режиме RASP
- Особенности DAST/IAST тестирования мобильных и IoT приложений
Домашние задания: 1
1 Провести IAST/DAST тестирование
Цель: Провести IAST/DAST тестирование для предложенного или вашего собственного приложения
Тема 6: Анализ использования стороннего и открытого программного обеспечения (SCA) и Тестирование конфигурации на соответствие стандартам безопасности (CIS, NIST, PCI-DSS)
- Технические требования к SCA для пригодности DevSecOps.
- Обзор процедуры загрузки cloud-native приложения в SCA.
- Обзор процедуры загрузки инфраструктуры Cloud Infrastructure (Infrastructure as Code) в SCA.
- Конфигурация SCA на основе требований к соответствию стандартам, допустимых уязвимостей, лицензионной чистоте, и др.
- Анализ результатов сканирования cloud-native приложения AppStack.
- Анализ результатов сканирования инфраструктуры Cloud Infrastructure.
- Автоматизация процесса сканирования SCA и выпуска баг тикетов в CI/CD.
- Сканирование конфигурации и софта на уровне сервера, Docker Image, Cloud Serverless Functions.
Домашние задания: 1
1 Провести SCA тестирование
Цель: Провести SCA тестирование для предложенного или вашего собственного приложения
Тема 7: Усиление конфигурации и патчинг (Configuration Hardening, Patching)
- Обзор альтернатив hardening и патчинг инструментов.
- Анализ результатов сканирования SCA.
- Проведение ряда изменений конфигурации и патчинг (замена на более усиленный Linux image, коррекция конфигурации Kubernetes, Docker engine, Docker Image)
Тема 8: Применение менеджмента секретов и сертификатов (Secrets and Certificates Management)
Применение менеджмента секретов и сертификатов (Secrets and Certificates Management) с использованием инструмента HashiCorp Vault
Тема 9: Применение защиты для REST-API внутри микро-сервисных приложений и на back-end
- Обзор методов защиты REST API с помощью специализированных WAF.
- Создание конфигурации WAF для защиты REST API.
- Проведение атаки на REST API до и после введения конфигурации WAF
Домашние задания: 1
1 Провести REST API тестирование
Цель: Провести REST API тестирование для предложенного или вашего собственного приложения
Тема 10: Применение Web-Application Firewall (WAF) для защиты Web, REST API, Bot protection
- Технические требования к Cloud-native Web-Application Firewall инструментам для пригодности DevSecOps.
- Обзор и сравнение WAF предоставляемых Cloud вендорами и компаниями-экспертами.
- Важные функции современного WAF - защита Web, REST API, Bot protection
Домашние задания: 1
1 Подготовить конфигурацию WAF для REST API
Цель: Подготовить конфигурацию WAF для REST API для предложенного или вашего собственного приложения
Тема 11: Система обнаружения / предотвращений вторжений (IDS/IPS)
- Технические требования к IDS/IPS инструментам для пригодности cloud-native приложений и DevSecOps.
- Обзор и сравнение IDS/IPS предоставляемых Cloud вендорами и компаниями-экспертами.
- Обзор методов защиты cloud-native приложений с помощью новейших IDS/IPS, использующих машинное обучение (ML) и подход “white list”.
- Создание конфигурации IDS/IPS для защиты стека приложения
Домашние задания: 1
1 Подготовить конфигурацию IDS/IPS
Цель: - Подготовить конфигурацию IDS/IPS для предложенного или вашего собственного приложения - Провести симуляцию атаки - Проанализировать результаты обнаружения и предотвращения атаки
Тема 12: Ручное и автоматизированное тестирование на проникновение (Penetration Testing)
- Технические требования к Penetration Testing инструментам для пригодности DevSecOps.
- Обзор процедуры ручного и автоматизированного пен теста.
- Примеры использования ручного и автоматизированного пен теста
Домашние задания: 1
1 Провести Pen-Test тестирование
Цель: Провести Pen-Test тестирование для предложенного или вашего собственного приложения
Тема 13: Мониторинг безопасности и реакция на события в ИБ (SIEM/SOAR)
- Технические требования к SIEM инструментам для пригодности cloud-native приложений и DevSecOps.
- Обзор и сравнение SIEM предоставляемых Cloud вендорами и компаниями-экспертами.
- Получение нотификации от SIEM.
- Автоматизация процесса нотификаций SIEM и выпуска баг тикетов
- Автоматизация устранения проблем посредством SOAR
Тема 14: Криминалистическая экспертиза (Forensic Analysis)
- Технические требования к Forensic Analysis инструментам для пригодности cloud-native приложений и DevSecOps.
- Обзор и сравнение Forensic Analysis предоставляемых Cloud вендорами и компаниями-экспертами.
- Проведение поиска и низко-уровневого анализа воздействия атаки на стек приложения
Домашние задания: 1
1 Провести криминалистическую экспертизу (Forensic Analysis)
Цель: - Выполнить атаку на предложенном стенде лабораторной работы или для вашего собственного приложения - Провести криминалистическую экспертизу (Forensic Analysis)
Тема 15: План проекта и методика трансформации организации в DevSecOps
- Изменение существующих ролей и введение новых. Best Practice и примеры из реального проекта трансформации в DevSecOps.
- Особенности внедрения инструментов ИБ в CI/CD тулчейн.
- Временные рамки успешного внедрения DevSecOps практики.
Проектный модуль
Тема 1: Выбор темы
- Обзор основных задач, возникающих в реальных проектах внедрения DevSecOps
- Выбор темы проекта из предложенного списка или по предпочтениям слушателей курса
Домашние задания: 1
1 Выбрать тему проектной работы
Цель: Выбрать тему проектной работы из предложенных или по вашему усмотрению
Тема 2: Консультации и обсуждения проектной работы
Консультации и обсуждения проектной работы в составе группы курса, по желанию слушателей
Домашние задания: 1
1 Консультация по выполнению проектной работы
Цель: При необходимости запросить и получить консультацию по выполнению проектной работы
Тема 3: Защита проектов
Защита проекта перед аудиторией слушателей курса, по желанию слушателей
Домашние задания: 1
1 Защита проектной работы
Цель: Выполнить проектную работу Сдать на проверку проектную работу Получить результат проверки проектной работы
После обучения вы

  • заберете с собой материалы по всем занятиям (презентации, записи вебинаров, примеры практических задач);

  • получите сертификат о прохождении курса;

  • научитесь интегрировать в CI/CD и использовать инструменты ИБ

  • приобретете знания, необходимые для успешного использования ИБ инструментария;

Дата выдачи сертификата: 13 сентября 2021 года
Ваш сертификат

онлайн-образование

Сертификат №0001

Константин Константинопольский

Успешно закончил курс «Внедрение и работа в DevSecOps»
Выполнено практических заданий: 16 из 16

Общество с ограниченной ответственностью “Отус Онлайн-Образование”

Город:
Москва

Генеральный директор ООО “Отус Онлайн-Образование”
Виталий Чибриков

Лицензия на осуществление образовательной деятельности
№ 039825 от 28 декабря 2018 года.

онлайн-образование

Сертификат №0001

Константин Константинопольский

Успешно закончил курс «Внедрение и работа в DevSecOps»
Выполнено практических заданий: 16 из 16

Общество с ограниченной ответственностью “Отус Онлайн-Образование”

Город:
Москва

Генеральный директор ООО “Отус Онлайн-Образование”
Виталий Чибриков

Лицензия на осуществление образовательной деятельности
№ 039825 от 28 декабря 2018 года.
Партнеры ждут выпускников этого курса
🎁 Максимальная скидка!
Черная пятница уже в OTUS! Скидка -25% на всё!