DevSecOps: Integrating Security into DevOps Pipelines

Prerequisites:

• Rozumienie procesu DevOps
• Podstawowa wiedza na temat kontenerów Docker i orkiestracji Kubernetes

Grupa docelowa

• Specjaliści od DevOps

Overview:

DevSecOps jest rozszerzeniem metodologii DevOps, która integruje praktyki bezpieczeństwa na każdym etapie cyklu życia rozwoju i eksploatacji.To szkolenie prowadzone przez instruktora (online lub stacjonarne) jest skierowane do profesjonalistów DevOps na poziomie średnim, którzy chcą zintegrować bezpieczeństwo z praktykami DevOps, skupiając się na automatyzacji kontroli bezpieczeństwa i procesów w pipeline CI/CD.Do końca tego szkolenia uczestnicy będą w stanie:- Zrozumieć podstawy integracji bezpieczeństwa w procesie DevOps.- Automatyzować sprawdzanie bezpieczeństwa za pomocą Jenkins i integrować narzędzia takie jak SonarQube do analizy kodu i skanowania podatności.- Wdrażać bezpieczne aplikacje z Kubernetes.- Zapewniać bezpieczną komunikację między mikrousługami za pomocą RabbitMQ, PostgreSQL i MongoDB.- Ustawiać ciągłe monitorowanie i audytowanie w celu zapewnienia zgodności i bezpieczeństwa w wdrożeniach.Format kursu- Interaktywne wykłady i dyskusje.- Wiele ćwiczeń i praktyki.- Ręczne wdrażanie w środowisku laboratoryjnym na żywo.Opcje dostosowania kursu- Aby zażądać dostosowanego szkolenia dla tego kursu, prosimy o kontakt, aby to zarrangować.

Course Outline:

Wprowadzenie do DevSecOps

• Ważność integrowania bezpieczeństwa w procesie DevOps
• Kluczowe zasady i praktyki DevSecOps

Bezpieczeństwo w integracji ciągłej (CI)

• Zabezpieczanie repozytoriów kodu (GitLab integracja z Jenkins)
• Automatyzacja analizy jakości i bezpieczeństwa kodu przy użyciu SonarQube
• Wdrożenie statycznej analizy kodu jako części Jenkins CI pipeline

Bezpieczeństwo kontenerów z Docker

• Tworzenie bezpiecznych obrazów Docker
• Zarządzanie repozytoriami obrazów Docker z Harbor
• Najlepsze praktyki dotyczące skanowania podatności i kontrolowania wersji obrazów

Konfiguracja bezpiecznych pipeline CI/CD

• Konfiguracja Jenkins dla integracji bezpieczeństwa
• Uruchomienie analizy SonarQube
• Generowanie i zabezpieczanie obrazów Docker

Zabezpieczanie procesu wdrażania z Kubernetes

• Praktyki bezpieczeństwa dla orkiestracji Kubernetes
• Rola orkiestratora Kubernetes w bezpiecznym stopniowym wdrażaniu
• Wdrożenie RBAC (Role-Based Access Control) i zabezpieczenie komunikacji usług

Integracja RabbitMQ, PostgreSQL, i MongoDB

• Bezpieczna komunikacja między usługami
• Praktyki bezpieczeństwa danych dla PostgreSQL i MongoDB
• Ulepszanie RabbitMQ dla bezpiecznego wysyłania wiadomości

Tożsamość i zarządzanie Access z Keycloak

• Konfiguracja Keycloak do uwierzytelniania i autoryzacji użytkowników
• Zarządzanie tożsamością dla klastrów Kubernetes

Wdrożenie bezpieczeństwa w Kubernetes

• Bezpieczne wdrażanie aplikacji na Kubernetes
• Integracja Keycloak z Docker i Kubernetes do zarządzania tożsamością

Monitorowanie i audytowanie w DevSecOps

• Narzędzia i techniki ciągłego monitorowania
• Audytowanie wdrażeń i utrzymanie zgodności
• Praktyczny przewodnik po automatyzacji cofnięcia w przypadku awarii bezpieczeństwa

Podsumowanie i następne kroki