NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
SECURITY 540
Cloud Security and DevSecOps Automation
Cloud Security
English- 日程
2025年3月10日(月)~2025年3月14日(金)
- 期間
- 5日間
- 講義時間
1日目:9:00-19:30
2日目~5日目:9:30-19:30
- 受講スタイル
- Live Online
- 会場
◆LiveOnline形式
オンライン
- GIAC認定資格
- GCSA
- 講師
- 言語
- 英語 英語教材・同時通訳
- 定員
- 40名
- CPEポイント
- 38 Points
- 受講料
早期早割価格:1,300,000円(税込み 1,430,000円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。通常価格:1,420,000円(税込み 1,562,000円)
- 申込締切日
- 早期割引価格:2025年1月24日(金)
通常価格:2025年2月28日(金)
- オプション
- GIAC試験 価格:170,000円(税込み 187,000円)
- OnDemand 価格:170,000円(税込み 187,000円)
- NetWars Continuous 価格:290,000円(税込み 319,000円)
※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)
現在お申し込みを受け付けておりません
受講に必要なPC環境
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
クラウドアカウント
受講者用クラウドアカウントはSANSから提供されます。
SEC540コースラボには、AWSとAzureの両方のバージョンがあります。各クラウドの時間制限付きアカウントは、ラボを完了するために使用するためにSANSから提供されます。
- 授業開始の24時間前に自動的にAWSとAzureの両方のアカウントにアクセスできるようになります。
- 授業開始の前日にSANSアカウントにログインし、MyLabsページにアクセスしてクラウド認証情報をダウンロードすることができます。
重要 この説明書に従って設定したシステムを持参してください。
このコースに完全に参加するためには、適切に設定されたシステムが必要です。この説明をよく読み、それに従わなければ、このコースに不可欠な実習に参加できず、満足できないままクラスを去ることになるでしょう。従って、コースで指定されたすべての要件を満たすシステムを持って受講されることを強くお勧めします。
受講生はシステムのネットワーク設定を完全に制御できなければなりません。システムは、非標準ポートのHTTPS、SSH、SOCKS5トラフィックを組み合わせて使用して、クラウドでホストされるDevOpsサーバーと通信する必要があります。VPN、インターセプト・プロキシ、またはイグレス・ファイアウォール・フィルタを実行すると、DevOpsサーバーとの通信で接続問題が発生する可能性があります。学生は、ラボ環境に接続するためにこれらのサービスを設定または無効にすることができなければなりません。
以下の指示に従って設定した自分のラップトップを持参してください:
適切に設定されたシステムが必要です。コースを開始する前に、以下の指示をよく読み、正確に実行してください:
- ホストOS:最新版のWindows 10、macOS 10.15.x以降、またはLinuxで、後述のFirefoxブラウザをインストールし、実行できるもの。
- 授業前にホストOSを完全にアップデートし、正しいドライバとパッチがインストールされていることを確認してください。
ハードウェア要件
- CPU 64ビット2.5GHz以上のマルチコアプロセッサ以上
- ワイヤレス・イーサネット 802.11 B/G/N/AC
- ホストOSのローカル管理者アクセス
- Firefoxをインストールし、Firefox拡張機能を有効にし、新しい信頼できるルート証明書をマシンにインストールできること。
ソフトウェア要件
- 授業の前に、以下のソフトウェアがホストOSにインストールされていることを確認してください:
- Firefox 120.0
- Firefox SmartProxy 拡張機能: https://addons.mozilla.org/en-US/firefox/addon/smartproxy/
まとめ
コースを開始する前に
- ソリッドステートドライブ(SSD)、16GBのRAM、64ビットのオペレーティングシステムを搭載したノートパソコンをご用意ください。
- 最新バージョンのFirefoxとSmartProxyエクステンションをインストールする。
- sans.orgアカウントからSEC540ラボのセットアップ手順をダウンロードする。
これらの手順を完了したら、SANSプロバイダのクラウド・アカウントにアクセスして、SANSクラウド・セキュリティ・フライト・シミュレータに接続し、SEC540 DevOpsサーバに接続します。SEC540 DevOpsサーバーは、Firefoxブラウザからアクセスできる電子ワークブック、バージョン管理、CI/CD、シークレットマネージャー、ターミナルサービスをホストしています。
コース教材には、ライブクラスのイベントやオンラインクラスを開始する前に行う必要がある重要な手順を詳細に説明した「セットアップ手順」のドキュメントが含まれています。これらの手順を完了するには、30分以上かかる場合があります。
あなたのクラスでは、ラボの指示に電子ワークブックを使用します。この新しい環境では、2台目のモニターおよび/またはタブレット端末が、コースのラボで作業している間、授業資料を見えるようにしておくのに便利です。
ノートパソコンの仕様についてご質問がある場合は、サポートまでお問い合わせください。
SEC540 コース概要
「クラウドの進化は早い。自動化で遅れをとらないように。」
DevOps文化に悩む組織に共通するセキュリティ上の課題には、次のようなものがあります。
- 変更承認や監査要件に対して、前もってピアコードレビューやセキュリティ承認が行われない場合がある
- インフラストラクチャとアプリケーションのスキャンが欠落していると、攻撃者が侵入口を見つけ、システムを危険にさらす可能性がある。
- クラウドセキュリティの設定ミスにより、機密データが公開されてしまったり、新たなデータ流出経路が発生する可能性がある
セキュリティチームは、DevOpsツールの使用やクラウドファーストのベストプラクティスなどを基に組織がこれらの問題を防止できるよう支援することができます。このコースでは、開発、運用、セキュリティの専門家が、クラウドインフラとソフトウェアの構築と配信に使用されるDevOps手法を深く理こうg、実際に体験することができます。バージョン管理から継続的インテグレーション、クラウドワークロードの実行まで、DevOpsのワークフロー全体を攻撃し、強化する方法を学びます。各ステップにおいて、オンプレミスおよびクラウドホストシステムの信頼性、完全性、セキュリティを向上させるために必要なセキュリティコントロール、設定、ツールを探ります。また、クラウドインフラとサービスの構築、テスト、展開、監視のために、20以上のDevSecOpsセキュリティ制御を実装する方法を学びます。
「SANSでこれまで受講した中で最高の講義でした。このコースは、授業が終わった後、職場に戻ってすぐに日々の業務に生かすことができるコースです。私はすでにチームのSlackチャンネルで、この講義を受けるすべきだと伝えました。
- Brian Esperanza, Teradata
「この講義に私が参加させた人は全員、このクラスを気に入っています。セキュリティの概念を超えて、最新の運用とDevOpsの仕組みを教えてくれるので、彼らにとっては変革のきっかけになりました。また、クラウドで開発したい、Infrastructure as Codeのような概念に触れたいと考えている開発者(まだクラウドで仕事をしていない人)にとっても、インパクトのある内容です。
- Brett Cumming
ビジネス上の学び
- 最新のクラウドセキュリティとDevSecOpsの実践を理解するセキュリティチームを構築
- DevOps およびエンジニアリング チームと連携し、自動化されたパイプラインにセキュリティを導入
- クラウド サービスと自動化を活用してセキュリ ティ機能を向上
- クラウドへの移行やデジタルトランスフォーメーションに対応できる組織を構築
習得するスキル
- DevOps の仕組みを理解し、 成功の鍵を知る
- 自動化された CI/CD パイプラインとワークフローにセキュリティスキャンを導入する
- 運用部門から技術部門への継続的な監視のフィードバックループを構築する
- Infrastructure as Code (IaC) を使用した構成管理の自動化
- コンテナ技術(Docker や Kubernetes など)のセキュリティを確保する
- ネイティブのクラウドセキュリティサービスとサードパーティツールを使用して、システムとアプリケーションを保護する
- 継続的インテグレーションサーバとアプリケーションの秘密を安全に管理する
- クラウドのロギングとメトリックを統合する
- コンプライアンスとセキュリティポリシーの継続的なスキャンを実行する
ハンズオントレーニング
SEC540は、従来の講義にとどまらず、コースの各セクションで技術を実践的に応用することができるようになっています。各ラボには、ハンズオンテクニックを学び、適用するためのステップバイステップのガイドと、ガイドに従わずにどこまでできるかを確認し、スキルを伸ばしたい受講生のために「ノーヒント」アプローチも含まれています。このため、受講者はバックグラウンドに関係なく、自分に最適と思われる難易度を選ぶことができます。また、実践的なラボにより、理論だけでなく、各セキュリティ制御の設定と実装の方法を確実に理解することができます。
SEC540のラボ環境は、実際のDevOps環境をシミュレートしており、DevOpsコンテナイメージの構築、クラウド基盤、ゴールドイメージ作成の自動化、コンテナ化ワークロードのオーケストレーション、セキュリティスキャンの実行、コンプライアンス基準の適用を担う10以上の自動パイプラインを備えています。受講者は、技術的なスキルを磨き、さまざまなコマンドラインツール、プログラミング言語、およびマークアップテンプレートを使用して、セキュリティに焦点を当てた20以上の課題を自動化することに挑戦します。
SEC540コースのラボには、AWS版とAzure版の両方があります。受講者は、授業の最初に、コース期間中に使用するクラウドプロバイダを1つ選択します。最初のラボセットを終了した後は、各自の時間で両方のクラウドプロバイダのラボを行うことができます。
上級者向けには、毎日2時間のCloudWarsボーナスチャレンジが用意されています。これらのCloudWarsチャレンジは、クラウドとDevOpsツールチェーンのハンズオン体験を提供します。
セクション1:DevOpsツールチェーンの攻撃、バージョンコントロールのセキュリティ、静的解析の自動化、Vaultで秘密を守る、CloudWars:クラウドとDevOpsセキュリティのボーナスチャレンジ
セクション2:Infrastructure as Codeネットワークハードニング、ゴールドイメージの作成、コンテナセキュリティハードニング、動的解析の自動化、CloudWars:クラウドとDevOpsセキュリティのボーナスチャレンジ
セクション3:クラウドワークロードセキュリティの見直し、クラウドホスト型CI/CDガードレイル、継続的なセキュリティ監視、データ保護サービス、CloudWars:クラウドとDevOpsセキュリティのボーナスチャレンジ
セクション4:ブルー/グリーン環境を使用したセキュリティパッチの展開、署名付きURLによるコンテンツ配信ネットワークの保護、APIゲートウェイによるREST Webサービスの保護、サーバーレスおよびJSON WebトークンによるAPIの保護、CloudWars:クラウドとDevOpsセキュリティのボーナスチャレンジ
セクション5:クラウドセキュリティポスチャ管理、WAFによる攻撃のブロック、クラウドカストディアンによる自動修復、CloudWars:クラウドとDevOpsセキュリティのボーナスチャレンジ
“ラボは本当に素晴らしい。何時間もかけて作られたことが分かります。本当によく構築されていて、素晴らしい練習になりました。”
- David Heaton, Grange Insurance
“ラボは、全体の中で最も良いものでした。よく整備されているので、これからも続けてください。”
- Richard Ackroyd, PwC
“使用するスクリプトが非常に豊富で、活用できる。”
- Ravi Balla, GE
“楽しくてわかりやすい。すべてが魅力的に機能した。”
- Kenneth Jordan, Openaltar
シラバスの概要
セクション1:DevOpsツールチェーンの攻撃とハードニング
セクション2:クラウドインフラ、コンテナ、およびアプリケーションの保護
セクション3:クラウドワークロードの保護、監視、データ保護
セクション4:コンテンツ、API、サーバーレスの保護
セクション5:コンプライアンス、攻撃防御、修復の自動化
追加のフリー素材
ポスター、チートシート、リスト
- Nine Key Cloud Security Concentrations & SWAT Checklist
- Fix Security Issues Left of Prod
- CWE/SANS Top 25 Most Dangerous Software Errors
- Security Web Application Technologies (SWAT) Checklist
ウェブキャスト
- Extending DevSecOps Security Controls into the Cloud: A SANS Survey
- Winning in the Dark: Defending Serverless Infrastructure in the Cloud
- Attacking and Defending Cloud Metadata Services
- Cloud Security and DevOps Automation: Keys for Modern Security Success
ツール
クラウドセキュリティツールの一覧はこちら、すべてSEC540に適用可能です。
https://www.sans.org/cloud-security/tools/
受け取るもの
- 印刷されたコースウェアと電子コースウェア
- コースの仮想マシン(VM)を含むISO
- 事前構築されたDevOps CI/CDツールチェーン、クラウドセキュリティ、およびDevSecOpsラボ演習を含むコースVM
- AWSとAzureのインフラストラクチャをデプロイするためのCloudFormationとTerraformのコード
- VMでホストされるWikiと、ラボ演習を完了するための電子ラボワークブック
- Infrastructure as Code (IaC) とコースのVMを無期限に使用し、コース終了後も学習を継続することが可能です。
次に受講すべきコース:
現在の職務や将来の計画に応じて、これらのコースのいずれかを受講することで、クラウドセキュリティの次のステップに進むことができます。
DevSecOps プロフェッショナル
- SEC522: Application Security: Web Applications, APIs, and Microservices
クラウドセキュリティエンジニア:
- SEC510: Public Cloud Security: AWS, Azure, and GCP
- SEC541: Cloud Security Attacker Techniques, Monitoring, and Threat Detection
- SEC588: Cloud Penetration Testing
クラウドセキュリティアーキテクト:
- SEC549: Enterprise Cloud Security Architecture
クラウドセキュリティマネージャー:
- MGT516: Managing Security Vulnerabilities: Enterprise and Cloud
- MGT520: Leading Cloud Security Design and Implementation
その他の受講における注意事項
ラボの準備とセットアップのため、最初のセッションの30分前に到着するように計画してください(ただし、Azureでラボを完了することを選択した場合は、Azureアカウントの取得をこれより前に行う必要があります)。この間に、学生はクラウドアカウントが適切に設定されていることを確認し、ノートパソコンで仮想化が有効になっていることを確認し、ラボのファイルをコピーし、Linux仮想マシンを起動します。ライブ授業(オンラインまたは対面)の場合、講師はコース開始時間の30分前にノートパソコンの準備とセットアップをサポートします。講義は、予定されたコース開始時刻に開始されます。
ラボを修了するために、受講生はパブリッククラウドプロバイダーにインフラをデプロイします。SANSから提供されるアカウントと、授業に持参する必要のある個人アカウントの詳細については、以下の「ノートパソコンの必要条件」をご確認ください。
- 本講座受講にあたっての前提
以下は、SEC540の前提条件となるコースまたは同等の経験です。
-
- SANS SEC488: Cloud Security Essentials、またはAWSやAzureのクラウドを利用したハンズオン経験
- Linuxコマンドシェルと関連コマンドに精通していること
- 一般的なアプリケーションの攻撃や脆弱性(例:OWASP Top 10)の基本的な理解
- バージョン管理システム(git)および継続的インテグレーションシステム(Jenkins)を使用した実践的な経験を推奨しますが、必須ではありません。
SEC540に向けた準備
SEC540の受講生は、ハンズオンで多くのDevOpsツールやクラウドツールを学習・使用する機会があります。以下のツール、技術、言語について先取りしておくと、ラボでの体験がより楽しくなります。
- 基本的なGitコマンドの実行(clone、add、commit、push): https://docs.gitlab.com/ee/gitlab-basics/start-using-git.html
- バージョン管理のためのGitLabの使用: https://docs.gitlab.com/ee/gitlab-basics/
- Jenkins入門ガイド: https://jenkins.io/doc/book/getting-started/
- YAML: https://docs.ansible.com/ansible/latest/reference_appendices/YAMLSyntax.html
- AWS CloudFormation Templates (YAML & JSON): https://aws.amazon.com/cloudformation/aws-cloudformation-templates/
- Terraform HCL: https://www.terraform.io/docs/configuration/syntax.html
- Azure Pipelines: https://docs.microsoft.com/en-us/azure/devops/pipelines
受講対象者
- パブリッククラウド環境へのシステム移行を考えている方
- DevOps環境への移行を考えている方
- クラウドやDevOps Continuous Deliveryパイプラインにセキュリティチェックやテスト、その他のコントロールをどのように導入すればよいかを理解したい方
- DevOpsワークロードのクラウド(特にAWS)移行に興味がある方
- AWSが提供するクラウドアプリケーションセキュリティサービス活用に興味がある方
- 開発者
- ソフトウェアアーキテクト
- 運用エンジニア
- システム管理者
- セキュリティ分析官
- セキュリティエンジニア
- 監査人
- リスク管理者
- セキュリティコンサルタント
※SEC540は、GIAC(GCSA)認定試験対象コースです。
GIAC Cloud Security Automation
GCSA認定は、DevSecOpsの方法論とツールチェーンの理解、および自動化されたセキュアなDevOpsパイプライン全体にセキュリティ制御を実装するスキルを検証します。GCSA認定者は、クラウドホスト型システムの信頼性、完全性、およびセキュリティを向上させるために必要なツール、セキュリティ管理、および構成に関する知識を実証しています。
- DevOpsの基礎、DevSecOpsのセキュリティ制御、クラウドセキュリティの基礎、コードとしてのセキュアなインフラストラクチャ
- コードとしての構成管理; コンテナセキュリティ; クラウドアーキテクチャのセキュリティ確保; 継続的なセキュリティ監視
- データ保護と秘密管理、デプロイメントオーケストレーションと安全なコンテンツ配信
- マイクロサービスセキュリティ、サーバーレスセキュリティ、ランタイムセキュリティ自動化、コードとしてのコンプライアンス
受講内容
コース開発者より
「DevOps とクラウドは、組織がオンライン・システムを設計、構築、デプロイ、運用する方法を根本的に変えています。Amazon、Microsoft、Google、Netflix などの大手企業は、毎日何百、何千もの変更を導入し、継続的に学習、改善、成長し、競合他社を大きく引き離しています。現在、DevOpsとクラウドは、インターネットの「ユニコーン」やクラウドプロバイダからエンタープライズへの道を歩み始めています。
「セキュリティに対する従来のアプローチでは、このような変化のスピードについていけません。組織内の「混乱の壁」を取り払ったエンジニアリングチームやオペレーションチームは、Infrastructure as Code、Continuous Delivery、Continuous Deployment、マイクロサービス、コンテナ、クラウドサービス・プラットフォームなど、新しい種類の自動化をますます活用するようになりました。問題は、セキュリティがツールや自動化を活用して、システムの安全性を高めることができるかどうかです。
"DevOpsとクラウドの世界では、セキュリティを再発明する必要がある"
- Eric Johnson, Ben Allen, and Frank Kim
"素晴らしい講師で、自身の経験からDevOpsの実例を挙げ、余分な概念やコマンドをその場でデモしてくれる(hashicorp terraform)。"
- Eden Kang
- DAY1
- DAY2
- DAY3
- DAY4
- DAY5
DevOps Security Automation
SEC540は、脆弱なバージョン管理および継続的インテグレーションシステムの構成を攻撃することによって、DevOpsの実践、原則、およびツールを紹介することから始めます。受講者は、ツールチェーンの仕組みや、これらのシステムがもたらすリスクについて深く理解し、ワークフローを危険にさらす可能性のある主要な弱点を特定することができます。次に、Jenkins、GitHub、GitLab、Azure DevOps、AWS CodePipelineなどのさまざまな継続的インテグレーション(CI)および継続的デリバリー(CD)システムで利用できるセキュリティ機能を検証し、環境のハードニングを開始します。様々なコード解析ツールを自動化し、安全に保存されていない秘密を発見した後、HashiCorp Vault、AWS Secrets Manager、Azure Key Vaultなどの秘密管理ソリューションに機密データを保存することに焦点を当てます。
演習
- DevOpsツールチェーンへの攻撃
- バージョン管理のセキュリティ
- 静的解析の自動化
- Vaultで秘密を守る
- CloudWars(セクション1):クラウドとDevOpsのセキュリティ・ボーナス・チャレンジ
トピック
DevOpsとセキュリティの課題
- DevOpsの背後にある基本原則とパターンを理解する。
- DevOpsの仕組みを理解し、成功のカギを見極める
DevOpsツールチェイン
- Jenkins、CodePipeline、Azure DevOpsを使用したCI/CDパイプラインの構築
- GitFlow
- GitHubアクション
- GitLab CI/CD
- Jenkins
- DevOpsワークフローの保護
- 脅威モデルとビルドとデプロイの環境の保護
DevOpsツールやワークフローのセキュリティ確保
- 急速に変化する環境において、効果的なリスク評価と脅威のモデリングを実施する
- CI/CD における自動化されたセ キュリティテストとチェックを設計 し、記述することができる
- 継続的デリバリにおけるさまざまな自動テスト手法の長所と短所を理解する
- ソフトウェアの依存関係を確認し、パッチを適用する
- セキュリティ・スキャンを Jenkins、CodePipeline、Azure DevOps ワークフローに組み込む
プレコミットセキュリティコントロール
- 迅速なリスクアセスメント
- Gitフックのセキュリティ
- コードエディター拡張機能
- ブランチプロテクション
- コードオーナー
- ピアレビュー
セキュリティ・コントロールのコミット
- 静的解析 セキュリティテスト
- コンポーネント分析
シークレットの管理
- CI/CDにおけるシークレットの管理
- Azure Key Vault
- AWS SSM パラメータストア
- AWSシークレットマネージャー
- HashiCorp Vault
Cloud Infrastructure Security
セクション 2 では、AWS CloudFormation と Terraform を使用して、150 以上のクラウドリソースを使用したコード駆動型のクラウドインフラを展開するために、DevOps スキルを使用することに挑戦します。クラウドネットワークの評価を行い、安全でないネットワーク構成を特定し、ネットワークトラフィックフローのルールを強化します。クラウド仮想マシンに移り、Ansible、Vagrant、Packerを使用して構成管理を自動化し、ゴールドイメージを構築する方法を学びます。最後に、クラウドにワークロードをデプロイする前に、コンテナイメージのスキャンとハードニングに焦点を当てます。
演習
- Infrastructure as Code ネットワークハードニング
- ゴールドイメージの作成
- コンテナセキュリティハードニング
- 動的解析の自動化
- CloudWars(セクション2):クラウドとDevOpsのセキュリティ・ボーナス・チャレンジ
トピック
コードとしてのクラウド基盤
- クラウド インフラストラクチャ アズ コード入門
- AWSクラウドフォーメーション
- テラフォーム
- デプロイ
- クラウドインフラのセキュリティ分析
コードとしての構成管理
- CI / CDにおける構成管理の自動化
- Ansibleを使った仮想マシンの設定
- Vagrant と Packer を使ったゴールドイメージの構築
- InSpec によるゴールドイメージの証明
コンテナのセキュリティ
- DockerfileとBuildKitのセキュリティ
- HadolintとConftestによるベースイメージのハードニング
- コンテナイメージのセキュリティ
- Docker ScanとTrivyによるコンテナイメージのスキャン
- コンテナレジストリのセキュリティ
- AWS ECRとAzure ACRによるコンテナスキャン
- コンテナランタイムのセキュリティ
アクセプタンスステージのセキュリティ
- 動的なアプリケーションセキュリティテスト
- DevSecOpsにおける脆弱性管理
Cloud Security Operations
セクション 3 では、AWS Elastic Container Service (ECS) や Azure Kubernetes Service (AKS) などのクラウド ネイティブ オーケストレーション サービスでコンテナ化ワークロードを展開および実行するための準備を行います。クラウドのリソースを分析し、一般的なセキュリティ設定のミスを特定し、自動化を活用してワークロードのセキュリティを迅速に確保します。その後、ワークロードの監視、ログファイルの分析、リアルタイムでの攻撃の検出、セキュリティチームへのアラート送信に焦点を当てます。最後に、クラウドネイティブのデータ保護機能および機密データの暗号化について学習します。
演習
- クラウドワークロードセキュリティレビュー
- クラウドホスティングによるCI/CDガードレール
- 継続的なセキュリティ監視
- データ保護サービス
- CloudWars(セクション3):クラウドとDevOpsのセキュリティ・ボーナス・チャレンジ
トピック
クラウドデプロイメントとオーケストレーション
- Azureパイプライン
- AWS CodePipeline
- クラウドコンテナオーケストレーション
- Elastic Container Service (ECS)
- Azure Kubernetes Service (AKS)
クラウドワークロードセキュリティ
- クラウドストレージアクセス制御
- ワークロードアイデンティティと特権のエスカレーション
- TLSの誤設定とハードニング
クラウドCI/CDにおけるセキュリティ
- ソフトウェア構成分析
- AWS CodeBuildのセキュリティ統合
- Azure DevOpsセキュリティエクステンション
継続的なセキュリティ監視
- 生産からエンジニアリングまでのモニタリングとフィードバックループ
- クラウドのロギングとメトリクス
- Azure Monitor & Log Analytics
- Kusto Query Language (KQL)
- AWS CloudWatch Log Insights
- AWS CloudWatch ダッシュボード
- OSクエリ
- Slackアラートの自動化
データ保護サービス
- Azure Key Vault
- Azureサービス統合
- AWS KMS
- AWSサービス統合
Cloud Security as a Service
セクション4 では、まず、クラウドネイティブサービスを活用して、コンテナ化されたワークロードにパッチを適用し、コンテンツ配信ネットワークを保護する方法について学習します。そこから、マイクロサービスアーキテクチャ、ベストプラクティス、APIゲートウェイによるマイクロセグメンテーションに話が移っていきます。最後に、Lambda や Azure Functions など、FaaS (Functions as a Service) の構築とデプロイ方法、およびマイクロサービス環境にガードレールを追加するためのリソースを学習します。
演習
- ブルー/グリーン環境を利用したセキュリティパッチの導入
- 署名付きURLによるコンテンツの保護
- API Gateway による REST Web サービスの保護
- サーバーレスとJSONウェブトークンによるAPIの保護
- CloudWars(セクション4):クラウドとDevOpsのセキュリティ・ボーナス・チャレンジ
トピックス
ブルー・グリーンデプロイオプション
- ブルー/グリーン・デプロイメント向けクラウドサービス
- Azure Application Gateway
- Azure Kubernetesサービス
- AWS EC2 DNSルーティング
- AWS ALB Weighted Target Groups
- AWS Elastic Container サービススワッピング
セキュアなコンテンツデリバリー
- Azure Content Delivery Network (CDN)
- Azure CDNトークン認証とポリシー
- AWS CloudFront
- AWS CloudFront Origin Access Identities(OAID)
- AWS CloudFrontの署名
- CDNクロスオリジンリソース共有ポリシー
マイクロサービス・セキュリティ
- マイクロサービスアーキテクチャの攻撃面
- マイクロサービス・セキュリティ・コントロール
- Identity FederationとOpen ID Connect(OIDC)
- JSON Web Token (JWT) のセキュリティとベストプラクティス
- サービスメッシュのセキュリティコントロール
- Azure API管理
- Azure API Management カスタム セキュリティ ポリシー
- Azure API管理 リクエストスロットリング
- AWS APIゲートウェイ
- AWS API Gatewayカスタムオーソライザー
- AWS API Gatewayのリクエストスロットリングとデータトレース
サーバーレスのセキュリティ
- サーバーレスコンピューティングの概要
- サーバーレスファンクションのセキュリティへの影響
- CI / CDパイプラインでのファンクションのデプロイ
- Azure ファンクション
- AWS Lambda
Compliance as Code
セクション5では、クラウドサービスを活用してセキュリティコンプライアンスを自動化する方法を学びます。まず、Cloud Security Posture Management(CSPM)ソリューションを使って、クラウド基盤のセキュリティ問題を検出します。次に、クラウドネイティブのWeb Application Firewall(WAF)サービスを使って、監視、攻撃検知、アクティブディフェンス機能を有効にし、悪質な行為者を捕まえてブロックします。その後、DevOpsでの作業と、それがポリシーやコンプライアンスにどのような影響を与えるかについて議論します。コース終了時には、Cloud Custodianを使用して自動修復するためのポリシーをコードとして記述する方法と、クラウド設定のドリフトを検出して修正する方法を学習します。
演習
- ProwlerとMicrosoft Defender for CloudによるCloud Security Posture Management (CSPM)
- WAFによる攻撃のブロック
- クラウドカストディアンによる自動的な修復
- CloudWars(セクション5):クラウドとDevOpsのセキュリティ・ボーナス・チャレンジ
トピックス
継続的なコンプライアンス
- DevSecOpsにおける継続的なコンプライアンス
- DevOps監査防御ツールキット
- DevOpsとITILおよびPCI
- コンプライアンスとセキュリティポリシーのスキャンを自動化
- InSpec、AWS サービス コントロール ポリシー (SCP)、および Azure ポリシーによるクラウド セキュリティ ガードレイル
- クラウドネイティブのCloud Security Posture Management 管理(CSPM)サービス
- Microsoft Defender for Cloudによるクラウドワークロード保護
- AWSセキュリティハブ
- AWS Prowler
ランタイムセキュリティ保護
- クラウドウェブアプリケーションファイアウォール
- AWSとAzureのWAF
- AWSセキュリティ自動化プロジェクト
- カスタムWAFルールの作成
- RASP/IAST
- Azure Event Grid
- Amazon EventBridge
- 悪質なボットやスキャナを自動でブロック
- Microsoft Defender for Cloud 自動化
- AWS Security Hub 自動応答と修復
- 自動化されたプレイブック
- Cloud Custodianによるクラウド設定ポリシーの適用
