Visão Geral

Curso DevSecOps Foundations Hands-On. DevSecOps é um conjunto de práticas que combina desenvolvimento de software (Dev), segurança (Sec) e operações de TI (Ops) com o objetivo de “virar para a esquerda” na segurança. Este curso prático fornece aos alunos o conhecimento e a experiência para começar a usar ferramentas DevOps para gerenciar e automatizar o desenvolvimento e a implantação de aplicativos. O impacto do DevOps é ampliado com a adição de práticas de segurança ao processo de desenvolvimento e entrega de software. Os alunos aprendem como construir pipelines de integração e implantação contínua usando ferramentas como Git, Docker, Kubernetes, Terraform, Jenkins e outras, integrando segurança em todo o processo.

Objetivo

Após realizar este Curso DevSecOps Foundations Hands-On você será capaz de:

• Entenda os principais conceitos de DevSecOps
• Gerencie aplicativos usando automação e ferramentas DevOps
• Arquitetar aplicativos usando microsserviços
• Gerenciar código-fonte e versões usando Git
• Implante microsserviços usando contêineres Docker
• Verifique imagens de contêiner em busca de vulnerabilidades
• Orquestre a implantação de contêineres usando Kubernetes
• Automatize recursos de implantação usando ferramentas de infraestrutura como código
• Crie pipelines de CI/CD
• Integre a segurança em um pipeline DevOps
• Segurança de infraestrutura como código (IaC)
• Técnicas de modelagem de ameaças e avaliação de riscos
• Avalie o nível de maturidade DevSecOps da sua organização

Publico Alvo

• Profissionais de TI e DevOps
• Engenheiros de software
• Profissionais de segurança
• Arquitetos de software
• Qualquer pessoa que queira aprender mais sobre DevSecOps

Pre-Requisitos

• Familiaridade com  sistemas operacionais e comandos Linux
• Experiência com desenvolvimento de software e operações de TI
• Algum treinamento e experiência com serviços em nuvem
• Experiência em scripts relevante para nuvem/DevOps com linguagens como Python ou bash shell

Materiais

Conteúdo Programatico

DevSecOps Introduction

• What Is DevOps? What Is DevSecOps?
  1. DevOps Practices
  2. Siloed Teams vs. Collaborative
  3. Why DevSecOps Is Important
  4. DevSecOps Culture and Mindset
  5. DevOps Automation
  6. Cloud-Native Development
  7. Common Security Models
  8. General Security Considerations
  9. Shift Left Security

1. Activity: DevOps Quick Check

Microservices

• Introduction to Microservices
  1. Monolithic vs. Microservice Applications
  2. Recognizing Microservice Boundaries
  3. Stateful vs. Stateless Services
  4. Managing Databases
• Secure Application Development Lifecycle
  1. Terms and Concepts
  2. Configuration Management
  3. Secure Coding Practices and Guidelines
  4. DevSecOps Tools for Application Development
  5. Threat Modeling and Risk Assessment
• Activity: Running the Course Case Study
• Securing Containers and Microservices 
  1. Security Testing
  2. Types of Security Testing
  3. Automated and Manual Testing
• Twelve-Factor Apps
  1. Twelve-Factors
• Activity: Implementing Twelve-Factor Apps

Application Lifecycle Management

• Package Management
  1. Managing Application Dependencies
  2. Secure Your Application Supply Chain
• Activity: Managing Packages
• Source Control
  1. Source Control Choices
  2. Tools
  3. Git
  4. Basic Git Commands
  5. Hosted Git Repositories
  6. Cloud-Based Git Repositories
  7. Source Control Security
• Version Control
  1. Tags
  2. Branches
  3. Branching and Merging Strategies
• Activity: Using Git

Docker

• Understanding Docker
  1. Containers
  2. Advantages of Containers
  3. Images
• Using Docker
  1. Building Docker Images
  2. Dockerfile
  3. Starting Containers
  4. Stopping Containers
  5. Deleting Containers and Images
• Activity: Running Docker Containers
• Deploying Docker Containers
  1. Container Registries
  2. Push and Pull
  3. Vulnerability Scanning
• Activity: Container Registries

Kubernetes

• Kubernetes Clusters
  1. Kubernetes Architecture
  2. EKS
  3. GKE
  4. AKS
  5. OpenShift
  6. Minikube
  7. Cluster Security
• Activity: Creating Kubernetes Clusters
• Kubernetes
  1. Pods
  2. Deployments
  3. Services
  4. Autoscalers
  5. Health Checkers
  6. Liveness and Readiness Probes
  7. Configuration
• Activity: Deploying Applications with Kubernetes
• Kubernetes Security
  1. Securing a Cluster
  2. Role-Based Access Control
  3. Encryption
  4. Secrets
• Activity: Kubernetes Security

Infrastructure as Code

• Leveraging Cloud Infrastructure
  1. Infrastructure on Demand
  2. Disposable Infrastructure
• IaC tools
  1. Ansible, Chef, Puppet, Pulumi
  2. AWS CloudFormation
  3. Azure Resource Manager
  4. HashiCorp Terraform
• Activity: Deploying Infrastructure with Terraform
• IaC and DevSecOps
  1. Security in an IaC-Forward Environment
  2. Identify Misconfigurations and Security Issues
  3. IaC Scanning

DevOps Automation (CI/CD)

• Automated Builds
  1. CI/CD Pipelines
  2. Git Hooks
  3. Cloud Build Tools
• Activity: Automating Builds
• Integrating Security Into the CI/CD Pipeline
  1. Managing Pipeline Authentication and Authorization
  2. Supply Chain Security
  3. Managing IAM Resources
  4. Security Scanning at Each Stage of the Pipeline
  5. Automated Vulnerability Remediation
• Code Quality Tools
  1. SonarQube
  2. Selenium
• GitHubActions (GHA)
• Activity: Building a Secure CI/CD Pipeline with GHA
• Version Management
  1. Rolling Updates
  2. Canary Deployments
  3. Blue/Green Deployments
• Activity: Version Management

Introducing Site Reliability Engineering (SRE)

1. Site Reliability Engineering
2. How SRE Implements DevOps
   1. SLOs, SLIs, and SLAs

• Activity: Defining SLOs and SLIs

DevSecOps Maturity

1. The DevSecOps Maturity Model
2. Assess Your Organization’s Maturity Level
3. Activity: DevSecOps Maturity Model
4. Continual Improvement