DevSecOps: безопасная разработка и эксплуатация [Яндекс Практикум]

Складчина: DevSecOps: безопасная разработка и эксплуатация [Яндекс Практикум]

За 3 месяца научитесь выстраивать процессы, чтобы обеспечить безопасность на всех этапах разработки приложения

Это курс для специалистов, которые уже знакомы с DevOps‑инструментами
Нужно иметь опыт работы с Git, Docker CI/CD и Linux, понимать принципы функционирования веб-приложения и сетевые протоколы (HTTP, TCP/IP)

Через 3 месяца вы сможете:

• Объяснить принципы DevSecOps и описать, как безопасность интегрируется в DevOps‑процессы на всех этапах SDLC
• Настраивать и внедрять в CI/CD-пайплайны инструменты безопасности: SAST, SCA, DAST, WAF, Trivy, Vault и другие
• Оценивать уязвимости в коде, зависимостях, контейнерах и инфраструктуре при помощи современных средств автоматизации
• Разрабатывать и внедрять безопасные пайплайны с учётом угроз, рисков и лучших практик DevSecOps
• Анализировать и минимизировать риски, используя фреймворки угроз и зрелости безопасности
• Повышать уровень безопасности контейнеров и кластеров Kubernetes при помощи защитных мер по рекомендациям CIS Benchmarks
• Настраивать безопасное хранение секретов и контролировать доступ к инфраструктуре при помощи Vault, Keycloak и LDAP
• Использовать Linux-механизмы безопасности (AppArmor, SELinux, Seccomp) для защиты среды исполнения
• Проводить тестирование на проникновение и анализ инцидентов при помощи Nmap, Metasploit, SIEM и других инструментов

Освоите стек технологий, который соответствует современным требованиям DevSecOps:

• Docker
• Harbor
• Trivy
• SonarQube
• Kubernetes
• Keycloak
• Vault
• Terraform
• Ansible
• Metasploit
• Nmap
• Shift Left
• Secure SDLC
• SIEM-системы
• CIS Benchmarks
• Threat Modeling
• OWASP Top 10
• Snyk
• Burp Suite
• iptables
• nftables
• Postmortem
• DefectDojo
• BSIMM
• WAF

Программа курса:

• Основы изоляции и поиск уязвимостей в контейнерах
• Анализ уязвимостей в Trivy
• Введение в DevSecOps
• Принципы DevSecOps
• Инструменты и технологии DevSecOps
• Основные механизмы безопасности Linux
• Изоляция в Docker, угрозы и атаки на контейнеры
• Kubernetes
• Безопасность инфраструктуры
• Интеграция в CI/CD
• Тестирование безопасности
• SIEM-системы
• MITRE ATT&CK
• Threat Modeling
• Итоговый проект

Спойлер: Подробная программа

Рассчитана на 3 месяца; нагрузка — от 15 часов в неделю
3 часа
Основы изоляции и поиск уязвимостей в контейнерах
1 модуль — бесплатно, чтобы вы познакомились с платформой и определились, подходит ли вам курс.

• Docker
• Harbor
• Trivy
• CIS Benchmarks

Контейнеризация в Docker
Поймёте базовые принципы безопасности контейнеризации и идентифицируете риски и угрозы при работе с контейнерами
Анализ уязвимостей в Trivy
Проведёте базовую проверку контейнерных образов на наличие уязвимостей
Управление артефактами в Harbor
Настроите безопасное хранение артефактов в собственном приватном Docker Registry с Harbor
Базовые рекомендации CIS Benchmarks
Примените лучшие практики безопасности на уровне Docker
Изолируете процессы в Docker и проверите параметры безопасности, повысите привилегии в небезопасных контейнерах через уязвимый suid-файл. Развернёте приватный реестр Harbor для хранения образов. Проверите уязвимости контейнерных образов с использованием Trivy
1 проект・1 неделя
Введение в DevSecOps

• Shift Left
• Secure SDLC
• Threat Modeling
• OWASP Top 10
• MITRE ATT&CK
• MITRE ATLAS

Принципы DevSecOps
Изучите их и роль безопасности на всех этапах SDLC, сможете определять базовые угрозы безопасности в разработке и эксплуатации
Пайплайны DevSecOps
Построите базовый пайплайн, используя концепции Shift Left и непрерывной безопасности
Основные типы уязвимостей и атак
Классифицируете уязвимости и угрозы в приложениях, изучите базовые фреймворки угроз: OWASP Top 10, MITRE ATT&CK, MITRE ATLAS
Построите схему DevSecOps-пайплайна. Классифицируете угрозы на примерах приложений. Составите чек-лист OWASP Top 10 для тестового приложения
1 проект・2 недели
Инструменты и технологии DevSecOps

• SonarQube
• Snyk
• Trivy
• OWASP ZAP
• Burp Suit
• Secure SDLC
• Shift Left Testing

Виды анализа безопасности приложений
Изучите основные виды анализа: статический (SAST), композиционный (SCA), динамический (DAST)
Интеграция SAST-, SCA- и DAST-инструментов
Интегрируете инструменты анализа безопасности в CI/CD-процессы
Использование Secure SDLC и Shift Left Testing
Научитесь выявлять и устранять уязвимости в коде и зависимостях
Настроите SAST-анализ проекта через SonarQube или Snyk и SCA-сканирование зависимостей через Trivy. Интегрируете DAST-тестирования с OWASP ZAP в пайплайн CI/CD. Проанализируете результаты сканирования и исправите найденные уязвимости
1 проект・1 неделя
Безопасность Linux

• AppArmor
• SELinux
• Seccomp
• iptables
• nftables

Основные механизмы безопасности Linux
Изучите основные механизмы безопасности операционных систем на базе Linux
Настройка контроля доступа
Научитесь управлять пользователями, группами и правами доступа в Linux, настроите политики безопасности через AppArmor и SELinux, примените механизмы ограничения системных вызовов через Seccomp
Средства защиты ядра и процессов
Научитесь применять базовые средства защиты ядра и процессов, настроите сетевые правила безопасности в Linux
Настроите политики AppArmor для ограничения прав приложений. Ограничите системные вызовы контейнера через Seccomp. Проверите и настроите базовые политики доступов к файлам и каталогам, а также к фильтрации сетевого трафика через iptables
1 проект・2 недели
Безопасность Docker

• Docker
• Harbor
• Trivy
• CIS Benchmarks

Изоляция в Docker, угрозы и атаки на контейнеры
Изучите принципы изоляции в Docker, сможете идентифицировать угрозы и атаки, связанные с контейнеризацией приложений
Сборка и запуск контейнеров
Научитесь применять лучшие практики безопасности на этапе сборки образов (минимизация базовых образов, отказ от лишних привилегий) и запускать контейнеры в рантайме
Docker Registry с Harbor
Развернёте и безопасно настроите приватные репозитории для хранения Docker-образов с помощью Harbor
Анализ безопасности контейнеров
Проанализируете уязвимости контейнерных образов с помощью специализированных инструментов
Примените лучшие практики безопасности на этапах сборки образов и запуска контейнеров. Интегрируете инструменты для анализа безопасности в CI/CD‑процессы
1 проект・2 недели
Безопасность Kubernetes

• Kubernetes
• CIS Kubernetes Benchmark
• RBAC
• NetworkPolicies

Угрозы безопасности в K8s
Научитесь анализировать риски и угрозы в Kubernetes-кластере
Политики безопасности в K8s
Настроите политики безопасности и сетевые политики (PodSecurityPolicies и NetworkPolicies) в кластере Kubernetes
Защита K8s-кластеров
Научитесь применять лучшие практики безопасности для защиты кластеров (CIS Benchmarks для Kubernetes)
Развернёте кластер Kubernetes и настроите базовые политики безопасности и сетевые политики для ограничения трафика. Примените рекомендации CIS Benchmark на практике. Ограничите права приложений через настройки RBAC
1 проект・1 неделя
Безопасность инфраструктуры

• LDAP
• Keycloack
• Vault
• Terraform
• Ansible

Управление пользователями и доступами
Настроите реалмы, федерации и пользователей в Keycloak, интегрируете Keycloak с внешними системами через LDAP
Хранение секретов
Настроите безопасное хранение секретов и политик доступа в Vault
Инфраструктура как код (IaC)
Научитесь использовать безопасные подходы при работе с Terraform и Ansible
Интеграция в CI/CD
Интегрируете в CI/CD-процессы системы управления доступами и секретами для безопасной работы
Настроите Keycloak, развернёте Vault и интегрируете его в пайплайн CI/CD. Настроите в Harbor безопасное хранение Docker-образов с аутентификацией через Keycloak. Используете базовые правила безопасности при работе с Terraform и Ansible
1 проект・1 неделя
Тестирование безопасности

• Metasploit
• Nmap
• OWASP Testing Guide
• Penetration Testing

Принципы тестирования безопасности
Проведёте базовое тестирование приложения и инфраструктуры на безопасность
Инструменты для тестирования безопасности
Научитесь искать и анализировать уязвимости с помощью Metasploit и Nmap
Безопасное окружение
Подготовите окружение для безопасного тестирования
Развернёте тестовое приложение для проверки безопасности. Используете Nmap для сканирования портов и выявления уязвимых сервисов. Проведёте базовые тесты безопасности приложений с помощью Metasploit
1 проект・1 неделя
Мониторинг и реагирование на инциденты

• SIEM-системы
• MITRE ATT&CK
• Postmortem

SIEM-системы
Настроите с помощью SIEM-систем мониторинг событий безопасности: сбор, анализ и корреляцию событий
MITRE ATT&CK
Научитесь применять фреймворк MITRE ATT&CK для интерпретации и классификации атак
Анализ инцидентов и Postmortem
Проведёте первичный анализ инцидента и подготовите Postmortem по результатам инцидента
Настроите мониторинг событий безопасности через SIEM. Сделаете корреляцию событий в реальном времени с помощью MITRE ATT&CK. Проанализируете инцидент на основе собранных логов, напишете Postmortem по итогам анализа инцидента
2 проекта・1 неделя
Оценка угроз и рисков, фреймворки оценки уровня зрелости безопасности

• OWASP Threat Modeling
• MITRE ATT&CK
• DefectDojo
• BSIMM
• OWASP SAMM
• ISO 27001
• NIST 800-53

Threat Modeling
Построите модель угроз для приложений и инфраструктуры, разработаете сценарии атак на основе Threat Modeling
Управление уязвимостями
Научитесь использовать DefectDojo для управления уязвимостями
Зрелость процессов безопасности
Оцените процессы безопасности через фреймворки BSIMM и OWASP SAMM, примените международные стандарты безопасности (ГОСТ, ISO, NIST)
Проведёте Threat Modeling для тестового приложения. Разработаете сценарии атак на основе построенной модели угроз, проведёте учёт и научитесь управлять уязвимостями с помощью DefectDojo. Оцените уровень зрелости безопасности проекта и разработаете стратегию его повышения на основе выявленных рисков и уязвимостей
Самостоятельно・2 недели
Итоговый проект
Оцените уровень DevSecOps-практик в приложении и предложите план улучшений. В результате создадите DevSecOps-пайплайн, построите модель угроз, проанализируете риски, проведёте оценку зрелости практик DevSecOps и сформируете набор рекомендаций.
Как устроен курс

Цена 88000 руб
Скрытая ссылка