Implementación y trabajo en DevSecOps - curso 88.000 rublos. de Otus, formación 5 meses, Fecha 30 de octubre de 2023.
Miscelánea / / November 30, 2023
Hoy en día nos enfrentamos constantemente a ataques de piratas informáticos, fraudes por correo electrónico y fugas de datos. El trabajo online se ha convertido en un requisito empresarial y una nueva realidad. Desarrollar y mantener código y proteger la infraestructura teniendo en cuenta la seguridad se está convirtiendo en un requisito primordial para los especialistas de TI. Son estos especialistas los mejor pagados y los más demandados entre los grandes empleadores: Microsoft, Google, Amazon Web Services, Mail. Ru Group, Yandex, Sberbank y otros.
¿Para quién es este curso?
Desarrollar infraestructura y pilas de aplicaciones en el flujo continuo de cambios de Agile DevOps requiere un trabajo continuo con herramientas de seguridad de la información. El modelo tradicional de seguridad centrado en el perímetro ya no funciona. En DevOps, la responsabilidad de la seguridad recae en todos los participantes en el proceso Dev[Sec]Ops.
El curso está dirigido a especialistas de los siguientes perfiles:
- Desarrolladores
- Ingenieros y administradores de DevOps.
- Probadores
- Arquitectos
- Especialistas en seguridad de la información.
- Especialistas que quieran aprender a desarrollar y mantener aplicaciones e infraestructura con un alto grado de protección contra ataques externos e internos en un proceso DevSecOps automatizado.
Propósito del curso
La implementación exitosa de DevSecOps solo es posible con un enfoque integrado de herramientas, procesos comerciales y personas (roles de los participantes). El curso proporciona conocimientos sobre los tres elementos y se desarrolló originalmente para respaldar la cadena de herramientas CI/CD y el proyecto de transformación de los trabajadores. Procese DevOps a una práctica completa de DevSecOps utilizando las últimas herramientas de seguridad automatizadas.
El curso cubrirá las características de seguridad de los siguientes tipos de aplicaciones:
- Aplicaciones monolíticas tradicionales de 2/3 niveles
- Aplicaciones Kubernetes - en su propio DC, nube pública (EKS, AKS, GKE)
- Aplicaciones móviles iOS y Android
- Aplicaciones con back-end API REST
Se considerará la integración y el uso de las herramientas de seguridad de la información comerciales y de código abierto más populares.
El curso enfatiza las prácticas de Scrum/Kanban, pero los enfoques y herramientas también se pueden utilizar en el modelo tradicional de gestión de proyectos en cascada.
Conocimientos y habilidades que adquirirás.
- Transición del modelo de seguridad de “protección perimetral” al modelo de “protección de todas las capas”
- Diccionario, términos y objetos utilizados en herramientas de seguridad de la información: CWE, CVE, Exploit, etc.
- Estándares básicos, métodos, fuentes de información - OWASP, NIST, PCI DSS, CIS, etc.
También aprenderán cómo integrarse en CI/CD y utilizar herramientas de seguridad de la información de las siguientes categorías:
- Análisis de posibles ataques (Threat Modeling)
- Análisis estático de código fuente para seguridad (SAST)
- Análisis dinámico de seguridad de aplicaciones (IAST/DAST)
- Análisis del uso de software de terceros y de código abierto (SCA)
- Probar la configuración para cumplir con los estándares de seguridad (CIS, NIST, etc.)
- Refuerzo de configuración, parcheo
- Aplicación de Gestión de Secretos y Certificados
- Aplicar protección para REST-API dentro de aplicaciones de microservicio y en el back-end
- Aplicación de Firewall de Aplicaciones Web (WAF)
- Cortafuegos de próxima generación (NGFW)
- Pruebas de penetración manuales y automatizadas (Penetration Testing)
- Monitoreo de seguridad y respuesta a eventos en seguridad de la información (SIEM)
- Análisis forense
Además, los líderes de equipo recibirán recomendaciones sobre prácticas para implementar DevSecOps con éxito:
- Cómo preparar y realizar con éxito una mini licitación y una prueba de concepto para la selección de herramientas
- Cómo cambiar los roles, estructura y áreas de responsabilidad de los equipos de desarrollo, soporte y seguridad de la información.
- Cómo adaptar los procesos de negocio de gestión de productos, desarrollo, mantenimiento, seguridad de la información.
2
cursoDurante 12 años de trabajo en TI, logré trabajar como desarrollador, tester, ingeniero devops y devsecops en empresas como NSPK (desarrollador de la tarjeta MIR), Kaspersky Lab, Sibur y Rostelecom. En el momento yo...
Durante 12 años de trabajo en TI, logré trabajar como desarrollador, tester, ingeniero devops y devsecops en empresas como NSPK (desarrollador de la tarjeta MIR), Kaspersky Lab, Sibur y Rostelecom. Actualmente soy el jefe de desarrollo seguro en Digital Energy (grupo de empresas Rostelecom), mi experiencia práctica se basa en el conocimiento de los lenguajes C#, F#, dotnet core, Python, desarrollo e integración de varias herramientas de práctica DevOps y DevSecOps (SAST/SCA, DAST/IAST, escaneo de aplicaciones web, análisis de infraestructura, escaneo móvil aplicaciones). Tengo amplia experiencia en la implementación y soporte de clústeres k8 y trabajo con proveedores de nube. Realizo auditorías de seguridad y despliegue mallas de servicios. Soy autor de mis propios cursos sobre programación, pruebas, bases de datos relacionales y no relacionales, trabajo con proveedores de nube y administración de servidores bare-metal. Ponente en congresos internacionales.
1
BuenoAnalista de seguridad de la información, Sovcombank
Experiencia en seguridad de la información desde 2018 Especialización: - Control de seguridad de infraestructura - Construcción de procesos de gestión de vulnerabilidades para diversas plataformas (microservicios y DevOps, Host OS, equipos de red OS, Mobile, DB, Virtualización) - Gestión de políticas y requisitos de seguridad de la información dentro de infraestructuras y proyectos. desarrollo. Maestro
1
BuenoRealiza auditorías de redes comerciales desde 2017. Participó en el desarrollo de un modelo de seguridad para el banco interestatal de Ucrania "AT Oschadbank" La característica principal de las pruebas es el pentest utilizando el método "caja negra". Trabajando con python y bush desde 2016...
Realiza auditorías de redes comerciales desde 2017. Participó en el desarrollo de un modelo de seguridad para el banco interestatal de Ucrania "AT Oschadbank"La característica principal de las pruebas es pentest utilizando el método "caja negra"Trabajando con python y bush desde 2016Experiencia en trabajar con sistemas Unix, en particular distribuciones basadas en Debian. Maestro
Base de conocimientos sobre seguridad de la información
-Tema 1. Diccionario, términos, estándares, métodos, fuentes de información utilizadas en las herramientas de seguridad de la información.
-Tema 2. Principios básicos para garantizar la seguridad de la información de la pila de aplicaciones y la infraestructura.
Descripción general de la vulnerabilidad OWASP
-Tema 3. Análisis de las 10 principales vulnerabilidades web de OWASP
-Tema 4. Análisis de las 10 principales vulnerabilidades de OWASP - API REST
Características del desarrollo de código seguro y el uso de marcos.
-Tema 5. Desarrollo seguro en HTML/CSS y PHP
-Tema 6. Desarrollo seguro y vulnerabilidades del código software
-Tema 7. Desarrollo seguro en Java/Node.js
-Tema 8. Desarrollo seguro en .NET
-Tema 9. Desarrollo seguro en Ruby
Desarrollo de aplicaciones contenedores y serverless seguras.
-Tema 10. Garantizar la seguridad en el sistema operativo Linux.
-Tema 11. Garantizar la seguridad en los contenedores Docker
-Tema 12. Asegurar Kubernetes
Integración y trabajo con herramientas de seguridad de la información dentro de DevSecOps.
-Tema 13. Garantizar la seguridad de la cadena de herramientas CI/CD y el proceso DevOps
-Tema 14. Revisión de las herramientas DevSecOps
-Tema 15. Análisis de seguridad del código fuente (SAST/DAST/IAST)
-Tema 16. Uso de protección para REST-API dentro de aplicaciones de microservicios y en el back-end.
-Tema 17.Uso de Web-Application Firewall (WAF) para protección Web, API REST, Protección Bot.
-Tema 18.Herramientas modernas de seguridad perimetral de red (NGFW/Sandbox)
-Tema 19. Modelado de amenazas y pruebas de penetración
-Tema 20. Monitoreo de seguridad y respuesta a eventos en seguridad de la información (SIEM/SOAR)
-Tema 21. Plan de proyecto y metodología de transformación de una organización en DevSecOps.
módulo de proyecto
-Tema 22. Seleccionar un tema
-Tema 23. Consultas y discusiones de trabajo de proyectos.
-Tema 24.Protección de proyectos