Сегодня мы постоянно сталкиваемся с хакерскими атаками, электронным мошенничеством и утечками данных. Online работа стала требованием бизнеса и новой реальностью. Разработка и сопровождение кода и защита инфраструктуры с учетом обеспечения безопасности становится первостепенным требованием к IT специалистам. Именно такие специалисты являются самыми высокооплачиваемыми и востребованными у крупных работодателей: Microsoft, Google, Amazon Web Services,
Mail.Ru Group, Yandex, Сбербанк и других.
Для кого этот курс
Разработка инфраструктуры и стека приложений в непрерывном потоке изменений Agile DevOps требует непрерывной работы с инструментами ИБ. Традиционная модель безопасности с фокусом на защиту периметра больше не работает. В DevOps ответственность за обеспечение безопасности ложится на всех участников Dev[Sec]Ops процесса.
Курс предназначен для специалистов следующих профилей:
- Разработчиков- DevOps инженеров и Администраторов- Тестировщиков- Архитекторов- Специалистов по информационной безопасности- Специалисты, которые хотят научиться разрабатывать и обслуживать приложения и инфраструктуру с высокой степенью защиты от внешних и внутренних атак в автоматизированном DevSecOps процессе.
Цель Курса
Успешное внедрение DevSecOps возможно только при комплексном подходе к Инструментам, Бизнес-процессам и Людям (Ролям участников). Курс дает знания по всех трем элементам и изначально был разработан для сопровождения проекта трансформации CI/CD тулчейн и рабочего процесса DevOps до полноценной DevSecOps практики с использованием новейших автоматизированных инструментов обеспечения безопасности.
В рамках курса будут рассмотрены особенности защиты следующих видов приложений:
- Традиционные монолитные 2/3-Tier приложения- Kubernetes приложения - в собственном ДЦ, Public Cloud (EKS, AKS, GKE)- Мобильные iOS и Android приложения- Приложения c REST API back-end
Будут рассмотрена интеграция и использование наиболее популярных open source и коммерческих инструментов ИБ.
В курсе делается упор на практику Scrum / Kanban, но подходы и инструменты могут также использоваться в традиционной Waterfall модели ведения проектов. Знания и навыки которые вы приобретете
- Переход от модели безопасности “защита периметра” к модели “защита всех слоев”- Словарь, термины и объекты используемые в инструментах ИБ - CWE, CVE, Exploit и др.- Основные стандарты, методики, источники информации - OWASP, NIST, PCI DSS, CIS и др.
А также научатся интегрировать в CI/CD и использовать инструменты ИБ из следующих категорий:
- Анализ возможных атак (Threat Modelling)- Статический анализ исходного кода на безопасность (SAST)- Динамический анализ приложений на безопасность (IAST/DAST)- Анализ использования стороннего и открытого программного обеспечения (SCA)- Тестирование конфигурации на соответствие стандартам безопасности (CIS, NIST, итп)- Усиление конфигурации и патчинг (Configuration Hardening, Patching)- Применение менеджмента секретов и сертификатов (Secrets and Certificates Management)- Применение защиты для REST-API внутри микро-сервисных приложений и на back-end - Применение Web-Application Firewall (WAF)- Межсетевые экраны нового поколения (NGFW)- Ручное и автоматизированное тестирование на проникновение (Penetration Testing)- Мониторинг безопасности и реакция на события в ИБ (SIEM)- Криминалистическая экспертиза (Forensic Analysis)
Кроме того, тим-лидеры получат рекомендации о практике успешного внедрения DevSecOps:
- Как подготовить и успешно провести мини-тендер и PoC по выбору инструментов - Как изменить роли, структуру и зоны ответственности команд разработки, поддержки, ИБ- Как адаптировать бизнес-процессы продакт менеджмента, разработки, обслуживания, ИБ