NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Cloud Security and DevOps Automation
Cloud Security
English2022年8月29日(月)~9月2日(金)
1日目:9:00-19:30
2日目~5日目:9:30-19:30
オンライン
960,000円(税込 1,056,000円)
※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。
※コース本体のお申し込み後から講義開始までの間に、GIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)をいただきます。
※講義開始後のGIAC試験のお申込みは、こちらのページ(英語)をご参照のうえ、GIACへ直接お申し込みください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
注意:M1プロセッサを使用するAppleシステムは、必要な仮想化を行うことができないため、本コースのVMを使用することはできません。ただし、M1 Macをお持ちの場合は、クラウドベースのVMを提供することができます。
本コースでは、一部のハンズオンでAWSの有償機能を利用します。
トレーニング中に有償機能の有効化・支払いが必要となりますため、クレジットカードをお持ちください。
受講費用とは別に費用が発生します。詳しくは以下をご参照ください。
1)必須のクラウドアカウント
コースのラボを完了するために、受講生は自分のAWSまたはAzureのアカウントが必要になります。
SEC540コースのラボには、AWS版とAzure版の両方が用意されています。受講生は授業の最初に、コース期間中に使用するクラウドプロバイダを1つ選択する必要があります。最初のラボセットを終了した後は、各自で両方のクラウドプロバイダのラボを行うことができます。
AWSのラボを選択した受講生は、Amazon Web Services(AWS)アカウントが必要です。5日間のライブイベントでAWSラボ環境を実行するためのAWSコストの見積もりは、1週間あたり約20ドルです。
Azureラボを選択した場合、Microsoft Azureアカウントと有償サブスクリプションが必要です。Azureラボ環境を実行するための推定コストは、1週間あたり約100ドルです。新規のAzureサブスクリプションの場合、コストを相殺するために30日間200ドルのクレジットを利用することができます。
2)ノートパソコンの必須要件
受講生は、以下の指示に従って設定したシステムを持参する必要があります。
このコースに完全に参加するためには、正しく設定されたシステムが必要です。このページをよく読み、それに従わない場合は、このコースに不可欠な実習に参加できないため、満足のいく授業が受けられない可能性が高くなります。したがって、このコースで指定されているすべての要件を満たすシステムで出席することを強くお勧めします。
受講者は、VM を実行しているネットワークを完全に制御できる必要があります。VMはいくつかの外部サービス(AWS、Docker Hub、Terraform、Azureなど)とHTTPS、SSH、その他の非標準ポートで通信を行います。VPN、インターセプトプロキシ、またはイグレスファイアウォールフィルタを備えたホスト上でコースの仮想マシンを実行すると、これらのサービスとの通信に接続の問題が発生する可能性があります。受講生は、ラボ環境が適切に機能するように、これらのサービスを設定または無効にすることができなければなりません。
以下の手順で設定したご自身のパソコンをお持ちください。
ホストに必要なハードウェアの必須条件
ホストOSの必須要件
コースVMwareイメージとの互換性が確認されている以下のOSを搭載した64ビットノートPCを使用する必要があります。
必須ソフトウェア要件
講義に先立ち、ホストOSに以下のソフトウェアがインストールされていることを確認してください。
クラウド仮想マシン(AWS AMI)
ワークステーションやネットワークが上記の要件を満たさない場合は、講師、TAに連絡して、SEC540 Amazon Machine Image(AMI)にアクセスするようにしてください。AMIを共有した後、リモートデスクトップ(RDP)で仮想マシンを起動し、接続するための手順を説明します。このオプションは、ノートパソコンの要件を満たせない受講生に必要です。
まとめ
コースを開始する前に、以下のことを行う必要があります。
これらの手順が完了すると、講義のメディアがダウンロードで配信されます。講義で使用するメディアファイルは、40~50GBの大容量になることもあります。ダウンロードが完了するまでには、十分な時間が必要です。インターネット接続と速度は、多くの異なる要因によって大きく異なります。そのため、教材のダウンロードにかかる時間の目安をお知らせすることはできません。リンクを入手したら、コースメディアのダウンロードを開始してください。授業初日には、コースメディアがすぐに必要になります。授業開始の前夜にダウンロードを開始すると、失敗する可能性が高くなります。
SANSでは、PDF形式の印刷物の提供を開始しました。さらに、一部のクラスでは、PDFに加え、電子ワークブックを使用しています。電子ワークブックを使用するクラスは、今後急速に増加すると思われます。この新しい環境では、セカンドモニターやタブレット端末があれば、講師の講義中やラボでの演習中に、授業資料を常に確認することができ、便利です。
ノートパソコンの仕様についてさらにご質問がある場合は、laptop_prep@sans.org (英語)までご連絡ください。
「クラウドの進化は早い。自動化で遅れをとらないように。」
DevOps文化に悩む組織に共通するセキュリティ上の課題には、次のようなものがあります。
セキュリティチームは、DevOpsツールの使用やクラウドファーストのベストプラクティスなどを基に組織がこれらの問題を防止できるよう支援することができます。このコースでは、開発、運用、セキュリティの専門家が、クラウドインフラとソフトウェアの構築と配信に使用されるDevOps手法を深く理こうg、実際に体験することができます。バージョン管理から継続的インテグレーション、クラウドワークロードの実行まで、DevOpsのワークフロー全体を攻撃し、強化する方法を学びます。各ステップにおいて、オンプレミスおよびクラウドホストシステムの信頼性、完全性、セキュリティを向上させるために必要なセキュリティコントロール、設定、ツールを探ります。また、クラウドインフラとサービスの構築、テスト、展開、監視のために、20以上のDevSecOpsセキュリティ制御を実装する方法を学びます。
「SANSでこれまで受講した中で最高の講義でした。このコースは、授業が終わった後、職場に戻ってすぐに日々の業務に生かすことができるコースです。私はすでにチームのSlackチャンネルで、この講義を受けるすべきだと伝えました。
- Brian Esperanza, Teradata
「この講義に私が参加させた人は全員、このクラスを気に入っています。セキュリティの概念を超えて、最新の運用とDevOpsの仕組みを教えてくれるので、彼らにとっては変革のきっかけになりました。また、クラウドで開発したい、Infrastructure as Codeのような概念に触れたいと考えている開発者(まだクラウドで仕事をしていない人)にとっても、インパクトのある内容です。
- Brett Cumming
ビジネス上の学び
習得するスキル
ハンズオントレーニング
SEC540は、従来の講義にとどまらず、コースの各セクションで技術を実践的に応用することができるようになっています。各ラボには、ハンズオンテクニックを学び、適用するためのステップバイステップのガイドと、ガイドに従わずにどこまでできるかを確認し、スキルを伸ばしたい受講生のために「ノーヒント」アプローチも含まれています。このため、受講者はバックグラウンドに関係なく、自分に最適と思われる難易度を選ぶことができます。また、実践的なラボにより、理論だけでなく、各セキュリティ制御の設定と実装の方法を確実に理解することができます。
SEC540のラボ環境は、実際のDevOps環境をシミュレートしており、DevOpsコンテナイメージの構築、クラウド基盤、ゴールドイメージ作成の自動化、コンテナ化ワークロードのオーケストレーション、セキュリティスキャンの実行、コンプライアンス基準の適用を担う10以上の自動パイプラインを備えています。受講者は、技術的なスキルを磨き、さまざまなコマンドラインツール、プログラミング言語、およびマークアップテンプレートを使用して、セキュリティに焦点を当てた20以上の課題を自動化することに挑戦します。
SEC540コースのラボには、AWS版とAzure版の両方があります。受講者は、授業の最初に、コース期間中に使用するクラウドプロバイダを1つ選択します。最初のラボセットを終了した後は、各自の時間で両方のクラウドプロバイダのラボを行うことができます。
上級者向けには、毎日2時間のCloudWarsボーナスチャレンジが用意されています。これらのCloudWarsチャレンジは、クラウドとDevOpsツールチェーンのハンズオン体験を提供します。
セクション1:DevOpsツールチェーンの攻撃、バージョンコントロールのセキュリティ、静的解析の自動化、Vaultで秘密を守る、CloudWars:クラウドとDevOpsセキュリティのボーナスチャレンジ
セクション2:Infrastructure as Codeネットワークハードニング、ゴールドイメージの作成、コンテナセキュリティハードニング、動的解析の自動化、CloudWars:クラウドとDevOpsセキュリティのボーナスチャレンジ
セクション3:クラウドワークロードセキュリティの見直し、クラウドホスト型CI/CDガードレイル、継続的なセキュリティ監視、データ保護サービス、CloudWars:クラウドとDevOpsセキュリティのボーナスチャレンジ
セクション4:ブルー/グリーン環境を使用したセキュリティパッチの展開、署名付きURLによるコンテンツ配信ネットワークの保護、APIゲートウェイによるREST Webサービスの保護、サーバーレスおよびJSON WebトークンによるAPIの保護、CloudWars:クラウドとDevOpsセキュリティのボーナスチャレンジ
セクション5:クラウドセキュリティポスチャ管理、WAFによる攻撃のブロック、クラウドカストディアンによる自動修復、CloudWars:クラウドとDevOpsセキュリティのボーナスチャレンジ
“ラボは本当に素晴らしい。何時間もかけて作られたことが分かります。本当によく構築されていて、素晴らしい練習になりました。”
- David Heaton, Grange Insurance
“ラボは、全体の中で最も良いものでした。よく整備されているので、これからも続けてください。”
- Richard Ackroyd, PwC
“使用するスクリプトが非常に豊富で、活用できる。”
- Ravi Balla, GE
“楽しくてわかりやすい。すべてが魅力的に機能した。”
- Kenneth Jordan, Openaltar
シラバスの概要
セクション1:DevOpsツールチェーンの攻撃とハードニング
セクション2:クラウドインフラ、コンテナ、およびアプリケーションの保護
セクション3:クラウドワークロードの保護、監視、データ保護
セクション4:コンテンツ、API、サーバーレスの保護
セクション5:コンプライアンス、攻撃防御、修復の自動化
追加のフリー素材
ポスター、チートシート、リスト
ウェブキャスト
ツール
クラウドセキュリティツールの一覧はこちら、すべてSEC540に適用可能です。
https://www.sans.org/cloud-security/tools/
受け取るもの
次に受講すべきコース:
現在の職務や将来の計画に応じて、これらのコースのいずれかを受講することで、クラウドセキュリティの次のステップに進むことができます。
DevSecOps プロフェッショナル
クラウドセキュリティエンジニア:
クラウドセキュリティアーキテクト:
クラウドセキュリティマネージャー:
以下は、SEC540の前提条件となるコースまたは同等の経験です。
SEC540に向けた準備
SEC540の受講生は、ハンズオンで多くのDevOpsツールやクラウドツールを学習・使用する機会があります。以下のツール、技術、言語について先取りしておくと、ラボでの体験がより楽しくなります。
GCSA 認定資格は、システムやアプリケーションをより安全に構築、展開するために使用されるクラウドサービスと最新の DevSecOps のプラクティスを対象としています。
SEC540は、脆弱なバージョン管理および継続的インテグレーションシステムの構成を攻撃することによって、DevOpsの実践、原則、およびツールを紹介することから始めます。受講者は、ツールチェーンの仕組みや、これらのシステムがもたらすリスクについて深く理解し、ワークフローを危険にさらす可能性のある主要な弱点を特定することができます。次に、Jenkins、GitHub、GitLab、Azure DevOps、AWS CodePipelineなどのさまざまな継続的インテグレーション(CI)および継続的デリバリー(CD)システムで利用できるセキュリティ機能を検証し、環境のハードニングを開始します。様々なコード解析ツールを自動化し、安全に保存されていない秘密を発見した後、HashiCorp Vault、AWS Secrets Manager、Azure Key Vaultなどの秘密管理ソリューションに機密データを保存することに焦点を当てます。
DevOpsとセキュリティの課題
DevOpsツールチェイン
DevOpsツールやワークフローのセキュリティ確保
プレコミットセキュリティコントロール
セキュリティ・コントロールのコミット
シークレットの管理
セクション 2 では、AWS CloudFormation と Terraform を使用して、150 以上のクラウドリソースを使用したコード駆動型のクラウドインフラを展開するために、DevOps スキルを使用することに挑戦します。クラウドネットワークの評価を行い、安全でないネットワーク構成を特定し、ネットワークトラフィックフローのルールを強化します。クラウド仮想マシンに移り、Ansible、Vagrant、Packerを使用して構成管理を自動化し、ゴールドイメージを構築する方法を学びます。最後に、クラウドにワークロードをデプロイする前に、コンテナイメージのスキャンとハードニングに焦点を当てます。
Configuration Management as Code
コンテナのセキュリティ
アクセプタンスステージのセキュリティ
セクション 3 では、AWS Elastic Container Service (ECS) や Azure Kubernetes Service (AKS) などのクラウド ネイティブ オーケストレーション サービスでコンテナ化ワークロードを展開および実行するための準備を行います。クラウドのリソースを分析し、一般的なセキュリティ設定のミスを特定し、自動化を活用してワークロードのセキュリティを迅速に確保します。その後、ワークロードの監視、ログファイルの分析、リアルタイムでの攻撃の検出、セキュリティチームへのアラート送信に焦点を当てます。最後に、クラウドネイティブのデータ保護機能および機密データの暗号化について学習します。
クラウドデプロイメントとオーケストレーション
クラウドワークロードセキュリティ
クラウドCI/CDにおけるセキュリティ
継続的なセキュリティ監視
データ保護サービス
セクション4 では、まず、クラウドネイティブサービスを活用して、コンテナ化されたワークロードにパッチを適用し、コンテンツ配信ネットワークを保護する方法について学習します。そこから、マイクロサービスアーキテクチャ、ベストプラクティス、APIゲートウェイによるマイクロセグメンテーションに話が移っていきます。最後に、Lambda や Azure Functions など、FaaS (Functions as a Service) の構築とデプロイ方法、およびマイクロサービス環境にガードレールを追加するためのリソースを学習します。
ブルー・グリーンデプロイオプション
セキュアなコンテンツデリバリー
マイクロサービス・セキュリティ
サーバーレスのセキュリティ
セクション5では、クラウドサービスを活用してセキュリティコンプライアンスを自動化する方法を学びます。まず、Cloud Security Posture Management(CSPM)ソリューションを使って、クラウド基盤のセキュリティ問題を検出します。次に、クラウドネイティブのWeb Application Firewall(WAF)サービスを使って、監視、攻撃検知、アクティブディフェンス機能を有効にし、悪質な行為者を捕まえてブロックします。その後、DevOpsでの作業と、それがポリシーやコンプライアンスにどのような影響を与えるかについて議論します。コース終了時には、Cloud Custodianを使用して自動修復するためのポリシーをコードとして記述する方法と、クラウド設定のドリフトを検出して修正する方法を学習します。
継続的なコンプライアンス
ランタイムセキュリティ保護
「DevOps とクラウドは、組織がオンライン・システムを設計、構築、デプロイ、運用する方法を根本的に変えています。Amazon、Microsoft、Google、Netflix などの大手企業は、毎日何百、何千もの変更を導入し、継続的に学習、改善、成長し、競合他社を大きく引き離しています。現在、DevOpsとクラウドは、インターネットの「ユニコーン」やクラウドプロバイダからエンタープライズへの道を歩み始めています。
「セキュリティに対する従来のアプローチでは、このような変化のスピードについていけません。組織内の「混乱の壁」を取り払ったエンジニアリングチームやオペレーションチームは、Infrastructure as Code、Continuous Delivery、Continuous Deployment、マイクロサービス、コンテナ、クラウドサービス・プラットフォームなど、新しい種類の自動化をますます活用するようになりました。問題は、セキュリティがツールや自動化を活用して、システムの安全性を高めることができるかどうかです。
"DevOpsとクラウドの世界では、セキュリティを再発明する必要がある"
- Eric Johnson, Ben Allen, and Frank Kim
"素晴らしい講師で、自身の経験からDevOpsの実例を挙げ、余分な概念やコマンドをその場でデモしてくれる(hashicorp terraform)。"
- Eden Kang