Implementierung und Arbeit in DevSecOps - Kurs 88.000 Rubel. von Otus, Ausbildung 5 Monate, Datum 30. Oktober 2023.

Heutzutage sind wir ständig mit Hackerangriffen, E-Mail-Betrug und Datenlecks konfrontiert. Online-Arbeit ist zu einer Geschäftsanforderung und einer neuen Realität geworden. Die Entwicklung und Wartung von Code sowie der Schutz der Infrastruktur unter Berücksichtigung der Sicherheit werden für IT-Spezialisten immer wichtiger. Es sind diese Spezialisten, die unter großen Arbeitgebern am besten bezahlt und gefragt sind: Microsoft, Google, Amazon Web Services, Mail. Ru Group, Yandex, Sberbank und andere.

Für wen ist dieser Kurs geeignet?
Die Entwicklung von Infrastruktur- und Anwendungsstacks im kontinuierlichen Fluss agiler DevOps-Änderungen erfordert eine kontinuierliche Arbeit mit Informationssicherheitstools. Das traditionelle perimeterorientierte Sicherheitsmodell funktioniert nicht mehr. Bei DevOps liegt die Verantwortung für die Sicherheit bei allen Teilnehmern des Dev[Sec]Ops-Prozesses.

Der Kurs richtet sich an Spezialisten in folgenden Profilen:
- Entwickler
- DevOps-Ingenieure und Administratoren

- Tester
- Architekten
- Spezialisten für Informationssicherheit
- Spezialisten, die lernen möchten, wie man in einem automatisierten DevSecOps-Prozess Anwendungen und Infrastruktur mit einem hohen Maß an Schutz vor externen und internen Angriffen entwickelt und wartet.

Zweck des Kurses
Eine erfolgreiche Implementierung von DevSecOps ist nur mit einem integrierten Ansatz für Tools, Geschäftsprozesse und Personen (Teilnehmerrollen) möglich. Der Kurs vermittelt Wissen zu allen drei Elementen und wurde ursprünglich zur Unterstützung der CI/CD-Toolchain und des Worker-Transformationsprojekts entwickelt DevOps-Prozess zu einer vollständigen DevSecOps-Praxis unter Verwendung der neuesten automatisierten Sicherheitstools.

Der Kurs behandelt die Sicherheitsfunktionen der folgenden Arten von Anwendungen:
- Herkömmliche monolithische 2/3-Tier-Anwendungen
- Kubernetes-Anwendungen – in Ihrem eigenen DC, Public Cloud (EKS, AKS, GKE)
- Mobile iOS- und Android-Anwendungen
- Anwendungen mit REST-API-Backend

Dabei wird die Integration und Nutzung der gängigsten Open-Source- und kommerziellen Informationssicherheitstools berücksichtigt.
Der Schwerpunkt des Kurses liegt auf Scrum/Kanban-Praktiken, die Ansätze und Tools können jedoch auch im traditionellen Wasserfall-Projektmanagementmodell verwendet werden.

Kenntnisse und Fähigkeiten, die Sie erwerben werden
- Übergang vom Sicherheitsmodell „Perimeterschutz“ zum Modell „Schutz aller Schichten“.
- Wörterbuch, Begriffe und Objekte, die in Informationssicherheitstools verwendet werden – CWE, CVE, Exploit usw.
- Grundlegende Standards, Methoden, Informationsquellen - OWASP, NIST, PCI DSS, CIS usw.

Sie lernen außerdem, wie sie sich in CI/CD integrieren und Informationssicherheitstools aus den folgenden Kategorien verwenden:
- Analyse möglicher Angriffe (Threat Modeling)
- Statische Analyse des Quellcodes zur Sicherheit (SAST)
- Dynamische Anwendungssicherheitsanalyse (IAST/DAST)
- Analyse der Nutzung von Dritt- und Open-Source-Software (SCA)
- Prüfung der Konfiguration auf Einhaltung von Sicherheitsstandards (CIS, NIST, etc.)
- Konfigurationshärtung, Patching
- Anwendung der Verwaltung von Geheimnissen und Zertifikaten
- Anwenden von Schutz für die REST-API innerhalb von Microservice-Anwendungen und im Back-End
- Anwendung der Web-Application Firewall (WAF)
- Firewalls der nächsten Generation (NGFW)
- Manuelle und automatisierte Penetrationstests (Penetrationstests)
- Sicherheitsüberwachung und Reaktion auf Ereignisse in der Informationssicherheit (SIEM)
- Forensische Analyse

Darüber hinaus erhalten Teamleiter Empfehlungen zu Vorgehensweisen zur erfolgreichen Implementierung von DevSecOps:
- Wie man eine Mini-Ausschreibung und einen PoC für die Auswahl von Werkzeugen vorbereitet und erfolgreich durchführt
- Wie man die Rollen, Struktur und Verantwortungsbereiche von Entwicklungs-, Support- und Informationssicherheitsteams ändert
- Wie man Geschäftsprozesse des Produktmanagements, der Entwicklung, der Wartung und der Informationssicherheit anpasst

Während meiner 12-jährigen Tätigkeit in der IT habe ich es geschafft, als Entwickler, Tester, Entwickler und Devsecops-Ingenieur in Unternehmen wie NSPK (Entwickler der MIR-Karte), Kaspersky Lab, Sibur und Rostelecom zu arbeiten. Im Moment bin ich...

Prüft seit 2017 kommerzielle Netzwerke. Beteiligt an der Entwicklung eines Sicherheitsmodells für die zwischenstaatliche Bank der Ukraine „AT Oschadbank“. Das Hauptmerkmal des Tests ist der Pentest mit der „Black Box“-Methode. Seit 2016 arbeite ich mit Python und Bush...