Visão Geral

Este curso foi meticulosamente desenvolvido para arquitetos de software, engenheiros de DevOps, especialistas em SRE (Site Reliability Engineering), engenheiros de segurança, líderes técnicos e desenvolvedores Fullstack sênior que buscam dominar as melhores práticas e ferramentas para implementar observabilidade e segurança robustas em sistemas distribuídos de escala empresarial. Em um cenário onde a complexidade das aplicações e a sofisticação das ameaças cibernéticas crescem exponencialmente, garantir a visibilidade total e a proteção em todas as camadas da stack é fundamental para a resiliência e o sucesso do negócio. Do ponto de vista técnico, você mergulhará nos pilares da observabilidade (logs, métricas e traces), explorará ferramentas como Prometheus, Grafana, OpenTelemetry, ELK Stack/Splunk e APMs (Application Performance Monitoring). Na frente de segurança, abordaremos DevSecOps, Segurança por Design, Shift Left, gerenciamento de vulnerabilidades, SIEMs/SOARs, segurança de APIs e microserviços, e práticas de autenticação/autorização avançadas. O curso será intensamente prático, com laboratórios hands-on que simulam ambientes de produção, desafios de instrumentação, análise de incidentes de segurança e otimização de performance, preparando você para construir e manter sistemas Fullstack seguros e observáveis.

Objetivo

Ao final do curso Observabilidade e Segurança Fullstack para Escala Empresarial, você será capaz de:

• Projetar e implementar uma estratégia de observabilidade completa (logs, métricas, traces) para aplicações distribuídas.
• Utilizar ferramentas líderes de mercado para coleta, agregação e visualização de dados de observabilidade.
• Incorporar práticas de segurança por design (Security by Design) e DevSecOps em todo o ciclo de vida do desenvolvimento.
• Implementar controles de segurança avançados para aplicações, APIs e microserviços.
• Realizar análise de dados de observabilidade para diagnóstico proativo de performance e falhas.
• Monitorar e responder a incidentes de segurança de forma eficaz.
• Aplicar automação e orquestração para observabilidade e segurança.
• Otimizar a performance e a segurança de sistemas em escala empresarial.

Publico Alvo

• Arquitetos de Software: Que projetam sistemas distribuídos e resilientes.
• Engenheiros de DevOps e SRE: Responsáveis pela operação, confiabilidade e automação da infraestrutura.
• Engenheiros de Segurança: Que buscam integrar segurança em todo o ciclo de vida do desenvolvimento.
• Líderes Técnicos: Que precisam guiar suas equipes na construção de soluções robustas.
• Desenvolvedores Fullstack Sênior: Que desejam expandir suas habilidades para observabilidade e segurança em larga escala.
• Qualquer profissional de TI que trabalhe com sistemas distribuídos e de alto desempenho.

Pre-Requisitos

• Conhecimento sólido em desenvolvimento de software: Familiaridade com pelo menos uma linguagem de programação (Java, Python, Node.js, C#, Go).
• Conhecimento básico de arquiteturas de software: Microserviços, APIs, sistemas distribuídos.
• Noções de computação em nuvem: Preferencialmente com alguma plataforma (AWS, Azure, GCP).
• Familiaridade com conceitos de rede: TCP/IP, HTTP, DNS.
• Desejável: Experiência prévia com ferramentas de monitoramento ou segurança básica.

Informações Gerais

Formato de Entrega do Curso

• Modalidade: On-line (Hands-On) AO VIVO via Microsoft Teams.
• Condução: Na presença de um instrutor/consultor de mercado e docente em sala de aula.

Períodos Disponíveis (sob consulta para períodos corridos ou intercalados):

• Integral
• Manhã: das 08h às 12h
• Tarde: das 13h às 17h
• Sábado: das 08h às 12h
• Noite: das 19h às 23h

Inclusos:

• Apostila do curso
• Laboratório Individual para cada aluno

Materiais

Conteúdo Programatico

Módulo 1: Fundamentos da Observabilidade em Escala (8 horas)

1.1. Introdução à Observabilidade:

1. O que é observabilidade e por que é crítica em sistemas distribuídos.
2. Diferença entre monitoramento e observabilidade.
3. Os três pilares da observabilidade: Logs, Métricas e Traces.

1.2. Logs: Coleta, Agregação e Análise:

1. Melhores práticas para geração de logs (estrutura, contexto, níveis).
2. Sistemas centralizados de logs: ELK Stack (Elasticsearch, Logstash, Kibana), Grafana Loki.
3. Ferramentas de coleta (Filebeat, Fluentd/Fluent Bit).
4. Hands-on: Configurar uma aplicação para gerar logs estruturados. Implementar um sistema de logs centralizado com Loki e Grafana, ou ELK Stack.

1.3. Métricas: Coleta, Armazenamento e Visualização:

1. Tipos de métricas (Counter, Gauge, Histogram, Summary).
2. Coleta de métricas: Prometheus, agentes (Node Exporter, cAdvisor).
3. Armazenamento (Time-Series Databases): Prometheus, Grafana Mimir.
4. Visualização e Alerta: Grafana Dashboards, Alertmanager.
5. Hands-on: Instrumentar uma aplicação com métricas. Configurar Prometheus para coletar métricas e Grafana para criar dashboards e alertas.

1.4. Traces: Rastreamento Distribuído:

1. O que são traces e por que são importantes para microserviços.
2. Conceitos: Span, Trace ID, Context Propagation.
3. Padrões de instrumentação: OpenTracing, OpenCensus.
4. Hands-on: Instrumentar uma aplicação com OpenTelemetry para gerar traces. Enviar traces para um backend como Jaeger ou Grafana Tempo e visualizá-los.
5. Prática: Montar um ambiente com os três pilares da observabilidade, coletando e visualizando logs, métricas e traces de uma aplicação distribuída.

Módulo 2: Segurança por Design e DevSecOps (8 horas)

2.1. Introdução ao DevSecOps e Shift Left:

1. O que é DevSecOps e a importância de integrar segurança no pipeline.
2. Princípios de Shift Left Security.
3. Cultura de segurança colaborativa.

2.2. Segurança por Design e Modelagem de Ameaças:

1. Princípios de segurança (Princípio do Menor Privilégio, Defesa em Profundidade).
2. Modelagem de ameaças (Threat Modeling) e avaliação de riscos.
3. Hands-on: Realizar uma modelagem de ameaças simplificada para uma aplicação.

2.3. Segurança no Ciclo de Vida do Desenvolvimento (SDLC):

1. Segurança no planejamento, design, desenvolvimento, teste e deploy.
2. Ferramentas de segurança no pipeline CI/CD:
3. SAST (Static Application Security Testing): Análise de código-fonte (ex: SonarQube, Snyk Code).
4. SCA (Software Composition Analysis): Análise de dependências e vulnerabilidades (ex: Snyk, Dependabot).
5. DAST (Dynamic Application Security Testing): Teste de aplicações em execução (ex: OWASP ZAP, Burp Suite).
6. Hands-on: Integrar ferramentas SAST e SCA em um pipeline CI/CD para identificar vulnerabilidades em código e dependências.

2.4. Credenciais, Segredos e Gerenciamento de Identidade:

1. Armazenamento seguro de segredos (Vault, HashiCorp Vault, Azure Key Vault).
2. Autenticação e Autorização (OAuth 2.0, OpenID Connect, JWT).
3. Hands-on: Implementar um mecanismo de autenticação via JWT ou OAuth em uma API. Gerenciar segredos usando variáveis de ambiente ou um gerenciador de segredos.
4. Prática: Aplicar princípios de DevSecOps, integrar ferramentas de segurança no pipeline e gerenciar credenciais de forma segura.

Módulo 3: Segurança de Aplicações Fullstack e Microserviços (8 horas)

3.1. Segurança de APIs RESTful e GraphQL:

1. Vulnerabilidades comuns em APIs (OWASP API Security Top 10).
2. Autenticação e autorização para APIs.
3. Rate Limiting, Throttling, Validação de entrada.
4. Hands-on: Identificar e mitigar vulnerabilidades comuns de API em um laboratório simulado.

3.2. Segurança de Microserviços:

1. Desafios de segurança em arquiteturas de microserviços.
2. Service Mesh (Istio, Linkerd) para segurança mútua de TLS.
3. Políticas de rede e segmentação.
4. Hands-on: (Conceitual/Demonstração) Explorar como um Service Mesh pode adicionar segurança e observabilidade a microserviços.

3.3. Segurança de Dados:

1. Criptografia de dados em trânsito e em repouso.
2. Masking e tokenização de dados sensíveis.
3. Auditoria de acesso a dados.

3.4. Segurança da Camada de Apresentação (Front-End):

1. Vulnerabilidades Web comuns (OWASP Top 10): XSS, CSRF, Injection (SQL, NoSQL, Command).
2. HTTPS, Content Security Policy (CSP), CORS.
3. Hands-on: Identificar e mitigar XSS e CSRF em uma aplicação Front-End. Configurar CSP.

3.5. Testes de Segurança para Aplicações:

1. Testes de penetração (Pen Testing) e testes de segurança de caixa preta/branca.
2. Testes de integração de segurança.
3. Hands-on: Utilizar OWASP ZAP ou Burp Suite para realizar um scan básico de vulnerabilidades em uma aplicação web.
4. Prática: Proteger APIs, microserviços e a camada Front-End contra ataques, aplicando diversas ferramentas e técnicas.

Módulo 4: Resposta a Incidentes, Automação e Otimização em Escala (8 horas)

4.1. Monitoramento e Alerta para Segurança:

1. Métricas de segurança (tentativas de login falhas, tráfego incomum).
2. Logs de auditoria e eventos de segurança.
3. Configuração de alertas inteligentes e notificações.
4. Hands-on: Criar alertas em Grafana ou SIEM para eventos de segurança específicos.

4.2. Gerenciamento de Incidentes de Segurança (SIEM/SOAR):

1. Introdução a SIEM (Security Information and Event Management) e SOAR (Security Orchestration, Automation and Response).
2. Fluxos de trabalho de resposta a incidentes.
3. Hands-on: (Conceitual/Demonstração) Explorar as funcionalidades de um SIEM/SOAR para correlação de eventos e automação de resposta.

4.3. Otimização de Performance e Custo da Observabilidade:

1. Estratégias de amostragem de traces.
2. Redução de volume de logs.
3. Otimização de armazenamento e consultas em sistemas de observabilidade.
4. Hands-on: Otimizar a coleta de logs/métricas em um cenário simulado para reduzir consumo de recursos.

4.4. Governança e Conformidade:

1. Monitoramento de conformidade regulatória (GDPR, LGPD, HIPAA).
2. Geração de relatórios de auditoria.

4.5. Cenários Avançados e Tendências:

1. Observabilidade e segurança para Serverless.
2. Uso de Machine Learning para detecção de anomalias (AIOps).
3. Próximas gerações de DevSecOps e Plataformas de Segurança.

Projeto Final Integrador: Projetar e implementar um plano de observabilidade e segurança para uma aplicação Fullstack distribuída em um ambiente simulado. Incluirá instrumentação de logs, métricas e traces, implementação de políticas de segurança (firewall, autenticação), uso de ferramentas de análise e configuração de alertas para cenários de performance e segurança.

• Prática: Gerenciar incidentes, otimizar a observabilidade e segurança em escala, e aplicar conhecimentos em um projeto integrador.