SANS SEC540 DevSecOpsトレーニングコースは、自動化されたパイプラインにセキュリティ制御を実装することで、クラウドネイティブおよびDevOps環境のセキュリティを確保するためのセキュリティ専門家を育成します。安全でないCI/CDパイプライン、設定ミス、Kubernetesの脆弱性といった課題に対処するとともに、実践的なスキルを習得するためのハンズオンラボを提供します。このコースでは、受講者にDevSecOpsのマインドセットを身につけさせ、クラウドインフラストラクチャのセキュリティとレジリエンスを強化します。
クラウドネイティブのスピードでシステムを保護
DevOps文化に苦慮する組織が抱える一般的なセキュリティ課題には、次のようなものがあります。
- 適切に保護されていない継続的インテグレーションおよびデリバリーパイプラインに起因する、悪意のあるコード、認証情報の盗難、侵害された拡張機能。
- 変更承認および監査要件を満たさない、強制されていないピアコードレビューとセキュリティ承認。
- 適切に自動化されていないセキュリティスキャナーによる誤検知、ノイズ、ビルドの失敗。
- 環境間の構成のずれ、リソースの不適切な構成、管理が不十分なクラウドインフラストラクチャによる公開データの漏洩。
- 組織全体でゴールデン仮想マシンとコンテナベースイメージを標準化していない。
- 悪意のあるライブラリ、サードパーティ製ソフトウェア、侵害されたビルド成果物から継承されたソフトウェアサプライチェーンの脆弱性を無視している。
- Kubernetesクラスターとその中で実行されるワークロードに過剰な権限を付与している。
- ワークロード間のラテラルムーブメントを防止するポリシーを実装せずにKubernetesサービスを運用し、クラスターのアクティビティを一元的に監視している。
- マイクロサービスとサーバーレスシステム間のインベントリと可視性の欠如。
- コードフリーズやデプロイメントの失敗により、パッチのリリースや脆弱性の解消ができない。
- 組織全体で実行されるパイプラインやワークロードのポリシーを統合、検証、適用できない。
セキュリティチームは、DevOpsの考え方を育み、クラウドネイティブおよびKubernetesのセキュリティ管理の適用方法を習得することで、組織がこれらの問題を防ぐのを支援できます。このコースでは、開発、運用、セキュリティの専門家を対象に、クラウドネイティブなインフラストラクチャとソフトウェアの構築と提供に使用されるDevOps手法に関する深い理解と実践的な経験を積むことができます。受講者は、バージョン管理から継続的インテグレーション、Kubernetesでのワークロード実行まで、DevOpsワークフロー全体を攻撃し、強化する方法を学びます。受講者は、各ステップで、オンプレミスおよびクラウドホストシステムの信頼性、整合性、セキュリティを向上させるために必要なセキュリティ管理、構成、ポリシーを探求します。受講者は、クラウドネイティブなインフラストラクチャとサービスを構築、テスト、展開、強化、監視するために、20を超えるDevSecOpsセキュリティ管理を実装する方法を学びます。
実践的なDevSecOps自動化トレーニング
- 35のユニークで没入型のハンズオンラボ
- 3つのCI/CDセキュリティラボ
- AWSで稼働する16のKubernetesおよびクラウドネイティブセキュリティラボ
- Microsoft Azureで稼働する16のKubernetesおよびクラウドネイティブセキュリティラボ
CloudWars ボーナスチャレンジ
SEC540 トレーニングは、従来の講義をはるかに超え、コースの各セクションで受講者が実践的な技術を体験できるよう設計されています。各ラボには、実践的な技術の学習と適用のためのステップバイステップガイドと、「ヒントなし」のアプローチが含まれています。ガイドに従わずにスキルを伸ばし、どこまで到達できるかを確認したい受講者のために、「ヒントなし」のアプローチも用意されています。これにより、受講者は経験の有無に関わらず、自分に最適な難易度を選択でき、いつでもストレスなくフォールバックパスを利用できます。実践的なハンズオンラボにより、受講者は理論を理解するだけでなく、各セキュリティコントロールの設定と実装方法も習得できます。
SEC540 ラボ環境は、実際の DevOps 環境をシミュレートしており、DevOps コンテナイメージの構築、クラウドインフラストラクチャ、ゴールドイメージ作成の自動化、Kubernetes ワークロードのオーケストレーション、サーバーレス関数のデプロイ、セキュリティおよび監査スキャンの実行、コンプライアンス標準の適用を担う 10 以上の自動化パイプラインを備えています。受講者は、様々なコマンドラインツール、プログラミング言語、マークアップテンプレートを用いて、技術スキルを磨き、20以上のセキュリティ重視の課題を自動化することに挑戦します。
SEC540コースのラボは、AWS版とAzure版の両方で提供されます。受講者は、授業開始時にコース期間中使用するクラウドプロバイダーを1つ選択します。どちらのオプションも、Infrastructure as Code(IaC)にはTerraformを、コンテナオーケストレーションにはクラウドプロバイダーが管理するKubernetesを活用します。最初のラボセットを修了後、受講者は自分の時間を使って、別のクラウドプロバイダーのラボに取り組むことができます。
さらなるチャレンジを求める受講者のために、毎日延長時間帯に2時間のCloudWarsボーナスチャレンジが用意されています。これらのCloudWarsチャレンジは、クラウドとDevOpsツールチェーンの実践的な経験を積むための追加的な機会を提供します。
- セクション 1: DevOps ツールチェーンへの攻撃、バージョン管理セキュリティ、コード分析の自動化、Vault によるシークレットの保護、CloudWars (セクション 1): クラウドネイティブと DevSecOps 自動化のボーナスチャレンジ
- セクション 2: Infrastructure as Code ネットワークの強化、ゴールドイメージの作成、コンテナイメージの強化、コンテナサプライチェーンのセキュリティ、CloudWars (セクション 2): クラウドネイティブと DevSecOps 自動化のボーナスチャレンジ
- セクション 3: コンテナレジストリのセキュリティ、Kubernetes のロールベースアクセス制御 (RBAC)、Kubernetes ワークロード ID、Kubernetes アドミッションコントロール、CloudWars (セクション 3): クラウドと DevOps のボーナスチャレンジ
- セクション 4: マイクロサービスセキュリティ、サーバーレスセキュリティ、Kubernetes Blue/Green デプロイメント、OpenTelemetry の可観測性、CloudWars (セクション 4): クラウドネイティブと DevSecOps 自動化のボーナスチャレンジ
- セクション 5: クラウドと Kubernetes のコンプライアンス、脆弱性の集約と相関、自動修復、CloudWars (セクション5): クラウドネイティブとDevSecOps自動化ボーナスチャレンジ
シラバス概要
-
セクション1:DevOpsツールチェーンへの攻撃と強化
-
セクション2:クラウドインフラストラクチャ、コンテナイメージ、ソフトウェアサプライチェーンのセキュリティ保護
-
セクション3:コンテナレジストリとKubernetesのセキュリティ保護
-
セクション4:マイクロサービス、サーバーレス、オブザーバビリティのセキュリティ保護
-
セクション5:コンプライアンス、ポリシー、修復の自動化
