Descripción general:

Este curso explica cómo las prácticas de seguridad de DevOps difieren de otros enfoques de seguridad y brinda la educación necesaria para comprender y aplicar los datos y las ciencias de la seguridad.

Los participantes aprendenrán el propósito, los beneficios, los conceptos y el vocabulario de DevSecOps; en particular, cómo los roles de DevSecOps se ajustan a una cultura y organización de DevOps.

Al final de este curso, los participantes entenderán el uso de "seguridad como código" con la intención de hacer que la seguridad y el cumplimiento sean consumibles como un servicio.

Objetivo:

• El propósito, los beneficios, los conceptos y el vocabulario de DevSecOps

• Prácticas de seguridad de DevOps

• Estrategias de seguridad impulsadas por el negocio

• El uso y los beneficios de los equipos rojos y azules

• Integración de la seguridad en los flujos de trabajo de entrega continua,

• Cómo encajan los roles de DevSecOps en una cultura y organización de DevOps

• Seguridad en Docker + Kubernetes

• Jenkins - Orquestando AST (App Security Testing)

• Gitlab – Community vs Enterprise (Security Features)
  

• SAST (como integrar análisis de código estático en el pipeline)

• DAST (como integrar análisis dinámico en el pipeline)

• Auditoría y control del pipeline completo

• Disponibilización ágil de infraestructura (infraestructura como código)

• Blue and Green deployment

• Integración con infraestructura de seguridad de red (WAF, etc).

Contenido :

• ¿Qué es DevOps?

• Bloques de construcción de DevOps: personas, procesos y tecnología.

• Principios de DevOps - Cultura, Automatización, Medición y Compartición (CAMS)

• Beneficios de DevOps - Velocidad, Fiabilidad, Disponibilidad,

• Escalabilidad, Automatización, Coste y Visibilidad.

• ¿Qué es la Integración Continua y el Despliegue Continuo?

• Integración Continua a Despliegue Continuo a Entrega Continua.
  

• Entrega Continua vs Despliegue Continuo.

• Flujo de trabajo general de la tubería CI/CD.

• Estrategia de despliegue azul/verde

• Lograr la automatización total.

• Diseño de un pipeline CI/CD para una aplicación web.

• Desafíos comunes que se enfrentan al utilizar el principio de DevOps.

• Casos de estudio sobre DevOps de tecnología punta en Facebook,

• Amazon y Google
  

• Un Pipeline DevSecOps de grado empresarial completo.

Introduction to the Tools of the trade

Gitlab/BitBucket/Github/

• Docker

• Gitlab CI/Bitbucket/Jenkins/Travis/

• OWASP ZAP/

• Ansible

• Inspec

Práctica:

• Construcción de una tubería CI usando Gitlab CI/Jenkins/Travis y

Gitlab/Github/bitbucket.

• Utilice las herramientas anteriores para crear una canalización

completa de CI/CD.

Infrastructure as code and its security

Qué es la Infraestructura como Código y sus beneficios.

• Definición de plataforma + infraestructura + gestión de la configuración.

• Introducción a Ansible.

Beneficios de Ansible.

Sistemas de gestión de la configuración basados en Push y Pull.

• Módulos, tareas, roles y Playbooks

• Herramientas y servicios que ayudan a conseguir IaaC Docker y Ansible

• Uso de Ansible para crear imágenes doradas y reforzar la infraestructura.

Container (Docker) Security

Qué es Docker

• Docker vs Vagrant

• Fundamentos de Docker y sus retos

• Vulnerabilidades en las imágenes (públicas y privadas)

• Ataques de denegación de servicio

• Métodos de escalada de privilegios en Docker.

Desconfiguraciones de seguridad.

• Seguridad de los contenedores.

• Controles de confianza e integridad del contenido.

• Capacidades y espacios de nombres en Docker.

• Segregación de redes.

Kernel Hardening usando SecComp y AppArmor.

• Análisis estático de imágenes de contenedores (Docker).

• Análisis dinámico de hosts y daemons de contenedores.

Prácticas:

• Escaneo de imágenes Docker usando Trivy y sus APIs.

• Auditoría del demonio Docker y el host para los problemas de

seguridad.

Secure SDLC and CI/CD pipeline

Qué es el SDLC seguro

• Actividades del SDLC seguro

• Requisitos de seguridad ("Requirements")

• Modelado de amenazas (Diseño)

• Análisis estático y seguridad por defecto (Implementación)

• Análisis dinámico (pruebas)

• Endurecimiento del sistema operativo, endurecimiento de la

web/aplicación (Despliegue)

• Supervisión de la seguridad/cumplimiento (mantenimiento)

• Modelo de madurez DevSecOps (DSOMM)

Niveles de madurez y tareas implicadas

• 4 ejes en el DSOMM

• Cómo pasar del Nivel de Madurez 1 al Nivel de Madurez 4

• Mejores prácticas para el Nivel de Madurez 1

• Consideraciones para el Nivel de Madurez 2

• Desafíos en el nivel de madurez 3

• Sueño de alcanzar el Nivel de Madurez 2

• Utilización de herramientas del oficio para realizar las actividades

anteriores en CI/CD

• Incorporación de la seguridad como parte de la tubería de CI/CD

• DevSecOps y desafíos con Pentesting y Evaluación de Vulnerabilidad.

Práctica:

• Crear un pipeline de CI/CD adecuado para una aplicación moderna.

• Gestionar los hallazgos en un pipeline totalmente automatizado.

Qué es la prueba estática de seguridad de aplicaciones.

• El análisis estático y sus desafíos.

• Incorporación de herramientas SAST como Find Bugs en el pipeline.

• Escaneo de secretos para prevenir la exposición de secretos en el código.

Escribir controles personalizados para detectar la edad de fuga de secretos en una organización.

Prácticas:

• Usando SpotBugs para escanear código Java.

• usando trufflehog/gitrob para escanear secretos en el pipelineCI/CD.

• usando brakeman/bandit para escanear código base de Ruby on Rails y Python.

• uso de RetireJS y NPM para escanear vulnerabilidades de

componentes de terceros en la base de código Javascript.

• Bandit para Python

Secrets management on mutable and immutable infra

Gestión de secretos en la infraestructura tradicional.

• Gestión de secretos en contenedores a escala.

• Gestión de secretos en la nube

• Sistemas de control de versiones y secretos.

• Variables de entorno y archivos de configuración.

• Docker, sistemas inmutables y sus retos de seguridad.

• Gestión de secretos con Hashicorp Vault y consul.

Runtime Analysis(RASP/IAST) in CI/CD pipeline

¿Qué es el análisis de seguridad de aplicaciones en tiempo real?

• Diferencias entre RASP e IAST.

• Análisis en tiempo de ejecución y desafíos.

• RASP/IAST y su idoneidad en el pipeline CI/CD.

Prácticas:

• Una implementación comercial de la herramienta IAST.

Vulnerability management with custom tools

Enfoques para gestionar las vulnerabilidades en la organización.

• Creación de diferentes métricas para CXO, desarrolladores y equipos

de seguridad.

Prácticas:

• Gestionar los hallazgos en un pipeline totalmente automatizado.

• uso de Defect Dojo para la gestión de vulnerabilidades.

Compliance as code

Diferentes enfoques para manejar los requisitos de cumplimiento a escala de DevOps

• Utilizar la gestión de la configuración para lograr el cumplimiento.

• Gestionar el cumplimiento utilizando Inspec/OpenScap a escala.

Prácticas:

• Crear un perfil Inspec para crear controles de cumplimiento para su organización

• Utilizar el perfil Inspec para escalar el cumplimiento.

Español	4 días (horario: por confirmar)
Del 29 de octubre al 1° de noviembre 2022	ONSITE  BUENOS AIRES

Costo:

Trainers: 

Luciano Moreira

Chief DevSecOps strategy Officer en Cloud Legion 

Seleccionado por la gente de peerlyst como uno de los "50 Influential DevSecOps Professionals“

Embajador del DevOps Institute • Master en Ciberseguridad por la Universidad Camilo José Cela. 

Primer Auditor CSA STAR certificado en la región SOLA • Elegido Cybersecurity Consultant of the Year en los premios Cybersecurity Excellence Awards del 2016 al 2019, 

MVP - Most Valuable Professional Microsoft Azure • Auditor Líder ISO 27001:2013, 27018, 27017 y 9001:2015, 

Co-Fundador y Tribe lider de DevSecOps Argentina y Latam, 

Presidente del capítulo argentino de la CSA Cloud Security Alliance. 

Martin Ambort

DevSecOps chapter Líder en Cloud Legion • Referente en DevSecOps en la región • DevSecOps Engenieer (DSOE) • Cybersecurity Team of the Year en los premios Cybersecurity Excellence Awards del 2019 • Scrum • Auditor Líder ISO 27001:2013, ISO 25000, ISO 9001:2015 • Analista de Sistemas de Computación • Project Manager

Christian Ibiri

CEO en Cloud Legion • Referente en DevSecOps en la región • Amazon Web Services (AWS) Technical Trainer • Cybersecurity Team of the Year en los premios Cybersecurity Excellence Awards del 2019, • Board Member - Argentina Chapter of Cloud Security Alliance • Seleccionado por la gente de peerlyst, como uno de los "50 Influential DevSecOps Professionals“ • Co-Fundador y Tribe lider de DevSecOps Argentina y Latam.