DEVSECOPS THEORY TO PRACTICE

Trainers: Luciano Moreira, Martin Ambort & Christian Ibiri    

Descripción general:

Este curso explica cómo las prácticas de seguridad de DevOps difieren de otros enfoques de seguridad y brinda la educación necesaria para comprender y aplicar los datos y las ciencias de la seguridad.

Los participantes aprendenrán el propósito, los beneficios, los conceptos y el vocabulario de DevSecOps; en particular, cómo los roles de DevSecOps se ajustan a una cultura y organización de DevOps.

Al final de este curso, los participantes entenderán el uso de "seguridad como código" con la intención de hacer que la seguridad y el cumplimiento sean consumibles como un servicio.


Objetivo:

  • El propósito, los beneficios, los conceptos y el vocabulario de DevSecOps

  • Prácticas de seguridad de DevOps

  • Estrategias de seguridad impulsadas por el negocio

  • El uso y los beneficios de los equipos rojos y azules

  • Integración de la seguridad en los flujos de trabajo de entrega continua,

  • Cómo encajan los roles de DevSecOps en una cultura y organización de DevOps

  • Seguridad en Docker + Kubernetes

  • Jenkins - Orquestando AST (App Security Testing)

  • Gitlab – Community vs Enterprise (Security Features)

  • SAST (como integrar análisis de código estático en el pipeline)

  • DAST (como integrar análisis dinámico en el pipeline)

  • Auditoría y control del pipeline completo

  • Disponibilización ágil de infraestructura (infraestructura como código)

  • Blue and Green deployment

  • Integración con infraestructura de seguridad de red (WAF, etc).

Contenido :

  • ¿Qué es DevOps?

  • Bloques de construcción de DevOps: personas, procesos y tecnología.

  • Principios de DevOps - Cultura, Automatización, Medición y Compartición (CAMS)

  • Beneficios de DevOps - Velocidad, Fiabilidad, Disponibilidad,

  • Escalabilidad, Automatización, Coste y Visibilidad.

  • ¿Qué es la Integración Continua y el Despliegue Continuo?

  • Integración Continua a Despliegue Continuo a Entrega Continua.

  • Entrega Continua vs Despliegue Continuo.

  • Flujo de trabajo general de la tubería CI/CD.

  • Estrategia de despliegue azul/verde

  • Lograr la automatización total.

  • Diseño de un pipeline CI/CD para una aplicación web.

  • Desafíos comunes que se enfrentan al utilizar el principio de DevOps.

  • Casos de estudio sobre DevOps de tecnología punta en Facebook,

  • Amazon y Google

  • Un Pipeline DevSecOps de grado empresarial completo.


Introduction to the Tools of the trade

Gitlab/BitBucket/Github/

• Docker

• Gitlab CI/Bitbucket/Jenkins/Travis/

• OWASP ZAP/

• Ansible

• Inspec

Práctica:

• Construcción de una tubería CI usando Gitlab CI/Jenkins/Travis y

Gitlab/Github/bitbucket.

• Utilice las herramientas anteriores para crear una canalización

completa de CI/CD.


Infrastructure as code and its security

Qué es la Infraestructura como Código y sus beneficios.

• Definición de plataforma + infraestructura + gestión de la configuración.

• Introducción a Ansible.

Beneficios de Ansible.

Sistemas de gestión de la configuración basados en Push y Pull.

• Módulos, tareas, roles y Playbooks

• Herramientas y servicios que ayudan a conseguir IaaC Docker y Ansible

• Uso de Ansible para crear imágenes doradas y reforzar la infraestructura.


Container (Docker) Security

Qué es Docker

• Docker vs Vagrant

• Fundamentos de Docker y sus retos

• Vulnerabilidades en las imágenes (públicas y privadas)

• Ataques de denegación de servicio

• Métodos de escalada de privilegios en Docker.

Desconfiguraciones de seguridad.

• Seguridad de los contenedores.

• Controles de confianza e integridad del contenido.

• Capacidades y espacios de nombres en Docker.

• Segregación de redes.

Kernel Hardening usando SecComp y AppArmor.

• Análisis estático de imágenes de contenedores (Docker).

• Análisis dinámico de hosts y daemons de contenedores.

Prácticas:

• Escaneo de imágenes Docker usando Trivy y sus APIs.

• Auditoría del demonio Docker y el host para los problemas de

seguridad.


Secure SDLC and CI/CD pipeline

Qué es el SDLC seguro

• Actividades del SDLC seguro

• Requisitos de seguridad ("Requirements")

• Modelado de amenazas (Diseño)

• Análisis estático y seguridad por defecto (Implementación)

• Análisis dinámico (pruebas)

• Endurecimiento del sistema operativo, endurecimiento de la

web/aplicación (Despliegue)

• Supervisión de la seguridad/cumplimiento (mantenimiento)

• Modelo de madurez DevSecOps (DSOMM)

Niveles de madurez y tareas implicadas

• 4 ejes en el DSOMM

• Cómo pasar del Nivel de Madurez 1 al Nivel de Madurez 4

• Mejores prácticas para el Nivel de Madurez 1

• Consideraciones para el Nivel de Madurez 2

• Desafíos en el nivel de madurez 3

• Sueño de alcanzar el Nivel de Madurez 2

• Utilización de herramientas del oficio para realizar las actividades

anteriores en CI/CD

• Incorporación de la seguridad como parte de la tubería de CI/CD

• DevSecOps y desafíos con Pentesting y Evaluación de Vulnerabilidad.

Práctica:

• Crear un pipeline de CI/CD adecuado para una aplicación moderna.

• Gestionar los hallazgos en un pipeline totalmente automatizado.

Qué es la prueba estática de seguridad de aplicaciones.

• El análisis estático y sus desafíos.

• Incorporación de herramientas SAST como Find Bugs en el pipeline.

• Escaneo de secretos para prevenir la exposición de secretos en el código.

Escribir controles personalizados para detectar la edad de fuga de secretos en una organización.

Prácticas:

• Usando SpotBugs para escanear código Java.

• usando trufflehog/gitrob para escanear secretos en el pipelineCI/CD.

• usando brakeman/bandit para escanear código base de Ruby on Rails y Python.

• uso de RetireJS y NPM para escanear vulnerabilidades de

componentes de terceros en la base de código Javascript.

• Bandit para Python

Secrets management on mutable and immutable infra

Gestión de secretos en la infraestructura tradicional.

• Gestión de secretos en contenedores a escala.

• Gestión de secretos en la nube

• Sistemas de control de versiones y secretos.

• Variables de entorno y archivos de configuración.

• Docker, sistemas inmutables y sus retos de seguridad.

• Gestión de secretos con Hashicorp Vault y consul.

Prácticas:
• Almacenamiento seguro de claves de encriptación y otros secretos
usando Vault/Consul.

Runtime Analysis(RASP/IAST) in CI/CD pipeline

¿Qué es el análisis de seguridad de aplicaciones en tiempo real?

• Diferencias entre RASP e IAST.

• Análisis en tiempo de ejecución y desafíos.

• RASP/IAST y su idoneidad en el pipeline CI/CD.

Prácticas:

• Una implementación comercial de la herramienta IAST.


Vulnerability management with custom tools

Enfoques para gestionar las vulnerabilidades en la organización.

• Creación de diferentes métricas para CXO, desarrolladores y equipos

de seguridad.

Prácticas:

• Gestionar los hallazgos en un pipeline totalmente automatizado.

• uso de Defect Dojo para la gestión de vulnerabilidades.


Compliance as code

Diferentes enfoques para manejar los requisitos de cumplimiento a escala de DevOps

• Utilizar la gestión de la configuración para lograr el cumplimiento.

• Gestionar el cumplimiento utilizando Inspec/OpenScap a escala.

Prácticas:

• Crear un perfil Inspec para crear controles de cumplimiento para su organización

• Utilizar el perfil Inspec para escalar el cumplimiento.


Revisión del curso
Donde empezamos
• Lo que cubrimos
• Recordatorios clave de lo que es importante
• Ejercicio: Creación de un plan de acción personal



Español

4 días
(horario: por confirmar)

Del 29 de octubre al 1° de noviembre 2022

ONSITE 
BUENOS AIRES

Costo:

USD  2.150 

ARS  457.950 

Reservá tu lugar  

CONSULTAS

Para realizar consultas sobre el training o alguno de sus beneficios, escribir a:capacitacion@ekoparty.org


Trainers: 

Luciano Moreira


Chief DevSecOps strategy Officer en Cloud Legion 

Seleccionado por la gente de peerlyst como uno de los "50 Influential DevSecOps Professionals“

Embajador del DevOps Institute • Master en Ciberseguridad por la Universidad Camilo José Cela. 

Primer Auditor CSA STAR certificado en la región SOLA • Elegido Cybersecurity Consultant of the Year en los premios Cybersecurity Excellence Awards del 2016 al 2019, 

MVP - Most Valuable Professional Microsoft Azure • Auditor Líder ISO 27001:2013, 27018, 27017 y 9001:2015, 

Co-Fundador y Tribe lider de DevSecOps Argentina y Latam, 

Presidente del capítulo argentino de la CSA Cloud Security Alliance. 

Martin Ambort


DevSecOps chapter Líder en Cloud Legion • Referente en DevSecOps en la región • DevSecOps Engenieer (DSOE) • Cybersecurity Team of the Year en los premios Cybersecurity Excellence Awards del 2019 • Scrum • Auditor Líder ISO 27001:2013, ISO 25000, ISO 9001:2015 • Analista de Sistemas de Computación • Project Manager

Christian Ibiri


CEO en Cloud Legion • Referente en DevSecOps en la región • Amazon Web Services (AWS) Technical Trainer • Cybersecurity Team of the Year en los premios Cybersecurity Excellence Awards del 2019, • Board Member - Argentina Chapter of Cloud Security Alliance • Seleccionado por la gente de peerlyst, como uno de los "50 Influential DevSecOps Professionals“ • Co-Fundador y Tribe lider de DevSecOps Argentina y Latam.