ニュースレター登録
資料ダウンロード
お問い合わせ

SECURITY 540

Cloud Security and DevOps Automation

Cloud Security

English
日程

2021年1月18日(月)~1月22日(金)

期間
5日間
講義時間

9:00 ~ 19:00 最終日のみ~17:00

受講スタイル
Live Online
会場

オンライン

GIAC認定資格
GCSA
講師
David Hazar|デビット アザール
SANS認定インストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
38 Points
受講料

760,000円(税抜)

申込締切日
2021年1月8日(金)
オプション
  • GIAC試験 95,000円(税抜)

※上記試験費用は講義と同時お申し込み時のみ有効です。講義申込み完了後から講義開始までの間に追加でお申し込みいただく際には別途、事務手数料(1万円)が発生します。また講義開始後のお申し込みについてはこちらのページ(英語)を参照のうえ、SANS/GIACへ直接お申込みください。

  • OnDemand 95,000円(税抜)
  • NetWars Continuous 174,000円(税抜)

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

SANSトレーニングを有意義に受講していただくには、以下の要件を満たすノートPCを受講者自らご用意いただきます。下記要件をよく確認し、事前に必要な設定を完了しておいてください。セッション中には、下記の設定を実施する時間は設けられていません。必ず事前の確認・設定をお願いいたします。

重要事項

本コースでは事前にAWSフリーティアアカウントを新規で作成しなければなりません。アカウント作成後、利用可能になるには24時間以上の時間を要する場合がありますので、下記の内容をクラス開始の1週間前までに実施・確認をお願いいたします。コース開始後にアカウントを作成する場合、ハンズオン演習に遅れが生じる可能性があります。

本コースでは、一部のハンズオンでAWSの有償機能を利用します。
トレーニング中に有償機能の有効化・支払いが必要となりますため、クレジットカードをお持ちください。
受講費用とは別におおよそ15~25米ドルが必要となります。

受講者にはオプションとしてMicrosoft Azureボーナスチャレンジが用意されており、このチャレンジを実施する場合にはコース開始前までにMicrosoft Azureアカウントを作成しておく必要があります。またAzureアカウントの利用料は1週間あたりおおよそ20米ドルが必要です。

  1. 個人向けフリーティアアカウントの登録
  2. 登録したアカウントのアクティベート
  3. ルートアカウントによるAWSコンソールへのログイン確認
  4. ブラウザでEC2サービスダッシュボート(アクティベーション画面ではなく)が閲覧可能であることの確認
  5. ページ右上の角からコースが実施される場所に一番近いリージョンを選択(Asia Pacific Tokyo)
  6. 左側のメニューから「Limits」を選択
  7. オンデマンドスタンダード(A, C, D, H, I, M, R, T, Z)インスタンス用のvCPUが最低10個あることを確認。
  8. 制限が10 vCPU未満の場合は、新しいt2.microインスタンスを作成してください。新しいインスタンスを作成すると、制限値が自動的に増加することがあります。制限値が自動的に増加しない場合(30分ほど待って再度確認してください)、AWSサポートチームに増加をリクエストしてください。詳細はAWS EC2 Service Limitsのドキュメントに記載されています。

重要:以下の環境のノートPCをご持参下さい。

コース開始前の事前準備として、5つのことをお願いしています。早めの準備をすることで、トレーニングを最大限に活用することができます。まず、適切に設定されたノートPCの持参をお願いいたします。この資料では、クラスに必要なシステムのハードウェアとソフトウェアの設定について詳しく説明しています。また、準備に関してのビデオをhttps://sansurl.com/sans-setup-videosから閲覧することができます。

講義の全てのコンテンツに参加するためには、適切に設定されたノートPCが必要です。この指示に従わないと、このコースの演習に参加することができず、満足のいく授業を受けることができない可能性が高いです。そのため、以下の条件をすべて満たすシステムを用意することを強くお勧めします。

 

ノートパソコンのハードウェア要件、ソフトウエア要件

  • CPU: 64ビット 2.5GHz マルチコアプロセッサ以上
    BIOS/UEFIにおいて仮想化技術(VT-xやAMD-Vなど)の利用が有効になっていること

  • ディスク: 50GB以上の空きディスク容量のSSD

  • メモリ: 16GB以上のRAM。

  • USB2.0以上でexFATファイルシステムを扱えること

  • 無線LAN 802.11 b/g/n/ac

  • ホストOSに対する管理者権限アクセスが行なえること

  • 64ビット版 Windows 8または10、Mac OS X (Sierra、High Sierra、Mojave)

  • VMware Workstation Pro 14.0、VMware Workstation Player 14.0、VMware Fusion 10.0を事前にインストール

  • 書庫解凍ソフトウェア(7Zipなど)

事前にVMware製品をダウンロードしてインストールしてください。VMware Workstation Pro 15.5、VMware Workstation Player 15.5VMware Fusion 11.5を選択します。VMware Workstation、VMware Fusionのライセンスを持っていなくても、30日間はフリートライアル期間として利用することができます。VMwareウェブサイトに登録すれば、期限付きのシリアルナンバーが送られてきます。

ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)。


LiveOnlineでのコースメディアの事前準備、テキストについて

コースのメディアがダウンロード版で配信されるようになりました。授業で使用するメディアファイルは大容量で、40~50GBのものもあります。ダウンロードに必要な時間は様々な要因に左右されるため、所要時間を見積もることはできませんが、非常に時間がかかってしまう場合もあります。メールよりダウンロードリンクを取得したら、コースメディアのダウンロードを開始してください。コースメディアは授業初日すぐに必要になります。開始前夜などにダウンロードを開始すると、失敗する可能性が高くなりますので、時間に余裕をもってご準備ください。

SANSでは、PDF形式のテキストの提供を開始しました。さらに、一部のクラスではPDFに加えて電子ブックを使用しています。電子ブックを使用するクラスは今後増えていく予定です。セカンドモニターやタブレット端末を使って、授業の資料を見られるようにしておくと便利です。

ノートパソコンの仕様についてご質問がある場合は、laptop_prep@sans.org.にご連絡ください。

SEC540 コース概要

SEC540はDevOpsとクラウドサービスを使って安全なインフラストラクチャとソフトウェアを構築しデリバーするためのメソッドを開発、運用、セキュリティのプロに対して提供します。

受講生はDevOpsの原則、プラクティス、ツールがオンプレミスとクラウドにホストされたアプリケーションの信頼性、完全性、セキュリティをどのように向上させるかを学んでいきます。

このコースの最初の2日間では、オンプレミスでの導入から始め、成功したDevOpsセキュリティプログラムからの教訓をもとにSecure DevOpsの手法とその実装を検証します。
Puppet、Jenkins、GitLab、Vault、Grafanaといった人気のオープンソースツールを使って
Configuration Management(「Infrastracture as Code」)やContinuos Integratin(CI)、Continuous Delivery(CD)、コンテナ化,マイクロセグメント化,自動コンプライアンス(「Compliance as Code」)、Continuos Monitoringなどを自動化をハンズオンを通じて習得します。ラボ環境は、インフラストラクチャとアプリケーションを自動的に構築、テスト、および導入するCI/CDパイプラインから始まります。Secure DevOpsツールチェーンを活用して、さまざまなセキュリティツール、パターン、テクニックを使用して、CI/CDパイプラインにセキュリティを注入する一連のラボを実施します。

ラボ環境は、インフラストラクチャとコンテナ化されたアプリケーションを自動的に構築、テスト、デプロイするオンプレミスCI/CDパイプラインから始まります。Secure DevOpsツールチェーンを活用して、受講生は様々なセキュリティツール、パターン、テクニックを使用してCI/CDパイプラインにセキュリティを導入する一連のラボを実行します。DevSecOpsの基礎を築いた後、実際のクラウドインフラストラクチャを展開して管理することで、DevSecOpsのスキルを実践します。
ハンズオンの演習では、コンテナ化されたワークロードをクラウドに展開し、Puppetを使ってオンプレミスの構成管理を統合し、HashiCorp VaultとCloud Key Management Service (KMS)を使って機密データを管理します。さらに、クラウドインフラストラクチャの脆弱性の分析と修正、クラウドホストアプリケーションの脆弱性スキャンの実行、API GatewayやFaaSなどのツールを使用したマイクロサービスの防御を行います。なお、クラウドセキュリティコンプライアンスツールは、コードドライブWebアプリケーションファイアウォール(WAF)サービス、CloudMapperによる継続的な監査、Cloud Custodianによる継続的な監視を使用してインフラストラクチャを監視するのに役立ちます。

本コースによって受講者は下記の内容を習得します。

DevOpsの裏側にある思想とパターンの理解

  • DevOpsがどのように動作し、成功のための鍵を特定します。

Continuous Delivery/Continuous Deploymentのマッピングと実装

  • Continuous Integration、Continuous Delivery、Continuous Deplymentワークフロー、パターン、ツールの活用
  • DevOpsとContinuous Deliveryに関連するセキュリティリスクと自称の特定

DevSecOpsメソッドとツールチェーンの理解

  • DevOpsプラクティスを使ったDevOpsツールとワークフローのセキュア化
  • 変化の激しい環境下における効果的なリスクアセスメントと脅威モデリングの実施
  • CI/CDでの自動化されたセキュリティテストとチェックの設計と記述
  • 継続的デリバリーにおけるいくつかの自動化テストアプローチの長所と短所の理解
  • 開発者向けセルフサービスセキュリティサービスの実装
  • ソフトウェア依存関係のインベントリ作成とパッチ適用
  • 脅威モデリングとビルドと開発環境のセキュア化

本場運用に対するセキュリティ施策の組込み

  • Infrastructure as codeによる構成管理の自動化
  • DockerやKubernetesなどのセキュアなコンテナテクノロジー
  • 本番―開発間の継続的監視フィードバックサイクルの構築
  • 継続的統合サーバとアプリケーションへの機微情報の安全な管理
  • コンプライアンスとセキュリティポリシーポリシースキャンの自動化

DevOpsワークロードのクラウド移行

  • クラウドアーキテクチャのコンポーネントを自動化する方法の理解
  • CloudFormationとTerraformを使用して、Infrastructure as Codeを作成
  • JenkinsとCodePipelineを使ったCI/CDパイプラインの構築
  • セキュリティスキャンをJenkinsとCodePipelineワークフローへ組み込む
  • Elastic Container ServiceとAzure Kubernetes Serviceでアプリケーションをコンテナ化
  • クラウドのロギングとメトリクスをGrafanaと統合
  • CloudWatchのメトリクスからSlackアラートを作成
  • Vault、KMS、SSMパラメータストアを使用した秘密の管理

クラウドサービスを利用したクラウドアプリケーションの保護

  • CloudFront Signaturesを利用した静的コンテンツの保護
  • ブルー・グリーンデプロイメントのElastic Container Serviceの活用
  • API Gatewayを利用したREST APIの保護
  • API Gatewayカスタム認証Lambda関数の実装
  • AWS WAFのデプロイとカスタムWAFルールの構築
  • CloudMapper を使用した継続的なコンプライアンススキャンの実行
  • Cloud Custodianでクラウド設定ポリシーを実行する
  • 本講座受講にあたっての前提

本コースをご受講される場合、下記の知識を習得していることを前提としています。

  • Linuxシェルコマンドと関連コマンド
  • 基本的なアプリケーションへの攻撃と脆弱性(OWASP Top 10など)
  • AWS、Azureクラウドでの操作経験(推奨)

本コースでは数々のDevOpsとクラウドツールに触れる機会があります。事前に下記のテクノロジーや限度などに目を通しておくことでハンズオン演習の内容をよりスムーズかつより深く理解することが可能です。

受講対象者

  • パブリッククラウド環境へのシステム移行を考えている方
  • DevOps環境への移行を考えている方
  • クラウドやDevOps Continuous Deliveryパイプラインにセキュリティチェックやテスト、その他のコントロールをどのように導入すればよいかを理解したい方
  • DevOpsワークロードのクラウド(特にAWS)移行に興味がある方
  • AWSが提供するクラウドアプリケーションセキュリティサービス活用に興味がある方
  • 開発者
  • ソフトウェアアーキテクト
  • 運用エンジニア
  • システム管理者
  • セキュリティ分析官
  • セキュリティエンジニア
  • 監査人
  • リスク管理者
  • セキュリティコンサルタント

※SEC540は、GIAC(GCSA)認定試験対象コースです。

受講内容

  • DevOpsの背後にあるコア原則とパターンを理解する
  • Continuous Delivery/Continuous Deployment Plpelineのマッピングと実装
  • DevSecOpsの手法とワークフローを理解する
  • 生産オペレーションへのセキュリティ統合
  • DevOps ワークロードをクラウドに移行する
  • クラウドサービスを利用してクラウドアプリケーションをセキュアにする

コース開発者より

DevOpsとクラウドは、組織がオンラインシステムを設計、構築、展開、運用する方法を根本的に変えつつあります。Amazon、Etsy、Netflixなどのリーダーは、毎日何百、何千もの変更を展開し、継続的に学習し、改善し、成長し、競合他社を大きく引き離すことに成功しています。今やDevOpsとクラウドは、インターネット発の「ユニコーン」にとっては巨大企業へシフトしていくために必要なツールなのです。

従来のセキュリティ対策では、この急速な変化に追いつくことは困難でしょう。組織内の「混乱の壁 」を細分化したエンジニアリングおよび運用チームは、Infrastructure as Code、Continuous Delivery、Continuous Deployment、マイクロサービス、コンテナ、クラウドサービスプラットフォームなど、新しい種類の自動化をますます活用するようになっています。問題は、セキュリティがツールと自動化を利用してシステムのセキュリティを向上できるかどうかです。

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5

Introduction to DevSecOps

SEC540はDevOpsに関する施策、思想、ツールなどに関する解説からクラスを開始します。DevOpsがどのように機能するのか、その仕組みの中でどのようにジョブが進められるのか、DevOpsの文化やコレボレーション、自動化の重要性について検証していきます。

DevOps「ユニコーン」(DevOpsのDNAを創造したとも言える今をとときめくインターネット業界リーダー)の事例を取り上げ、これらの組織がどのように成功したか、DevOpsのセキュリティプログラム成功の鍵を解き明かしていきます。

次にDevOpsの自動化エンジンであるContinuous Deliveryに目を向けていきます。どのようにDevSecOpsセキュリティコントロールを含んだContinuous DeliveryパイプラインまたはContinuous Deploymentパイプラインを構築しているのか、どのようにセキュリティチェックとテストの自動化を組み込んでいるのかを探求します。

演習

  • Kataのデプロイ
  • プリコミットセキュリティ:Git Hooksとセキュリティユニットテスト
  • CIによる静的自動分析
  • CI/CDによる動的自動分析
  • NetWars(Day1):セキュアDevOpsボーナスチャレンジ

トピック

  • DevOpsの概要
  • 事例:DevOps「ユニコーン」
  • DevOpsにおけるセキュリティチャレンジ
  • DevOps Kataのデプロイ
  • Continuous Deliveryのセキュア化
  • プリコミット時のセキュリティ
    • 脅威モデリング/迅速なリスクアセスメント
    • Git フックセキュリティ
    • Gitフロー
    • Security Linting
    • セキュリティユニットテスト
  • コミット時のセキュリティ
    • セキュリティ静的分析テスト
    • コンポーネント分析
  • Acceptance時のセキュリティ
    • セキュリティ承認テスト
    • セキュリティ動的分析テスト
    • DevOpsのペネトレーションテスト

Cloud Infrastructure and Orchestration

Day1で開発したアイデアとフレームワークを基に、Cloud Infrastructure as Code を使用して、新しいインフラストラクチャとサービスを迅速かつ一貫してデプロイする方法を検討します。PuppetChefAnsibleなどの最新の自動構成管理ツールを使用することで、、クラウドがホストする仮想マシンに望ましい設定を強制する方法についても説明します。ワークロードがコンテナサービスに移行しているため、DockerKubernetesなどのツールに関連するセキュリティの問題を探ります。

演習

  • Jenkins PipelinesでAWSを管理する
  • CloudFormationの自動化
  • Puppetを用いた構成管理
  • Dockerのセキュリティ監査
  • Netwars(2日目)。クラウド&DevOpsセキュリティボーナスチャレンジ

トピック

  • クラウドセキュリティの基礎知識
    • コアクラウドサービス
    • AWS/Azureコマンドラインインターフェイスによる自動化
  • Secure Infrastructure as Code
    • Azureリソースマネージャ
    • Terraform
    • CloudFormation
  • Configuration Management as Code
    • Chef、Puppet、Ansible
  • コンテナのハードニング

Cloud Security Operations

コンテナオーケストレーションのオプションを確認し、クラウドインフラストラクチャのコードをスキャンしてテストし、一般的なクラウドの誤設定の脆弱性を調べますインフラストラクチャーコードの修正とコミットがきっかけとなりインフラストラクチャーパイプラインが自動的にクラウドインフラストラクチャーコードを堅牢化します。次に、オーケストレーションサービスにコンテナをリリースする前に、クラウドの継続的インテグレーションとデリバリツールを確認し、サーバーレスコンピューティングを活用して静的分析とソフトウェアサプライチェーンの脆弱性スキャンを実行します。次に、GrafanaCloudWatchSlackを使用して継続的なセキュリティ監視を構築し、本番と運用に焦点を移していきます。3日目はクラウドのデータ保護で締めくくります。さまざまな暗号化サービス、クラウドでの機密管理の実装方法、オンプレミスの機密情報をクラウドリソースに統合する方法について説明します。

演習

  • クラウド・インフラストラクチャのスキャンとハードニング
  • CodeBuildとCodePipelineによるCI/CDのセキュリティスキャン
  • GrafanaとCloudWatchによる継続的な監視とフィードバックループ
  • HashiCorp VaultとAWS KMSによるセキュアな機密管理
  • Netwars(3日目)。クラウド&DevOpsボーナスチャレンジ

トピック

クラウドアーキテクチャの堅牢化
  • クラウドコンテナオーケストレーション
    • Azure Kubernetesサービス
    • Elastic Containerサービス
  • 一般的なクラウドのセキュリティ問題
    •  S3バケットの設定ミス
      • IAM権限昇格
      • NACLとSecurity GroupによるControlling Traffic Flow
      • 管理者アクセスの露出
      • Infrastructure as Codeによるパッチ適用
      • TLS の誤設定とハードニング
CI/CDにおけるセキュリティスキャン
  • CodeBuildとCodePipelineインテグレーション
  • サーバレス機能(Lambda )による静的解析
  • CodeBuildによる静的解析
  • JenkinsとCodePipelineの統合
継続的なセキュリティ監視
  • Grafana/CloudWatchでの監視とメトリクス
  • CloudWatch Log Insights
  • Osquery
  • Slackでのアラート
  • DevOps後遺症
  • Gamedayエクササイズ
データ保護と機密情報管理
  • データストレージ(S3、RDS、DynamoDB)
  • Azure Key Vault
  • AWS Key Management Service
  • Hashicorp Vault

Cloud Security as a Service

このセクションでは、クラウドセキュリティサービスを活用して、機能的で可用性の高いシステムをロックダウンします。ダウンタイムを最小限に抑えるために、ブルー・グリーンの環境を使用してアプリケーションにセキュリティパッチを展開することから始めます。

クラウドデータの保護をはじめ、さまざまな暗号化サービスとクラウドでの機密管理の実装方法を検討します。この知識を活用し、受講者はプライベートキー署名されたContent Delivery Network(CDN)によって提供される静的なWebサイトコンテンツを保護する方法を学習します。

後半では、マイクロサービスの世界、APIゲートウェイによるAPIの保護、サーバーレス機能の導入による承認、データ資格、アクセス制御の管理について解説します。

演習

  • ブルー・グリーンの環境を利用したセキュリティパッチの展開
  • 署名されたURLによるCloudFrontコンテンツのセキュア化
  • API GatewayによるREST Webサービスの保護
  • LambdaとJSON Web Tokens(JWT)によるAPIの保護
  • Netwars(4日目)クラウド&DevOpsセキュリティボーナスチャレンジ

トピックス

ブルー・グリーンデプロイオプション
  • Azure Traffic Manager
  • Azure Kubernetesサービス
  • EC2 DNSルーティング
  • ALB加重ターゲットグループ
  • Elastic Contained Service スワッピング
コンテンツデリバリーのセキュア化
  • コンテンツデリバリーネットワークの概要
  • Origin Access Identitiesによるオリジナルファイルへのアクセスコントロール
  • 署名済CookieとURLによるCloudFront Trusted Signingとアクセス制限
  • BucketポリシーによるセキュアなCross-Originリソースシェアリング設定
マイクロサービスセキュリティ
  • マイクロサービスアーキテクチャの攻撃点
  • マイクロサービスセキュリティ
    • JSON Webトークンによる認証
    • Service MTLSのサービス
    • RESTセキュリティ
    • API Gatewayセキュリティ
サーバーレスセキュリティ
  • サーバーレスコンピューティングの概要
  • サーバーレスセキュリティの懸念事項
  • NetWars(4日目)。クラウド&DevOpsセキュリティボーナスチャレンジ
  • Lambdaによるセキュリティの自動化

Compliance as Code

Day5では、ここまで学習してきた基礎を拡張し、DevSecOps実践者はクラウドサービスを活用したセキュリティタスクの自動化に焦点を移します。まず、監視、攻撃検知、アクティブディフェンス機能を備えたクラウドWebアプリケーションファイアウォールを導入して構成し、脅威を検知してブロックします。次に、クラウドの設定ミスを検知するため継続的なコンプライアンススキャンを実装する。最後に、クラウドのコンフィギュレーションドリフトを検出して修正するために、コードとしてのポリシーを強制することに取り組みます。

演習

  • AWS WAFによるセキュリティの自動化
  • CloudMapper を使用した継続的なクラウド監査
  • Cloud Custodianを用いたPolicy as Code
  • Netwars(5日目)。クラウド&DevOpsセキュリティボーナスチャレンジ

トピックス

ランタイム セキュリティの自動化
  • 不適切な攻撃防御
  • クラウドWebアプリケーションファイアウォール
  • Azure FrontDoor
  • AWSセキュリティ自動化プロジェクト
  • エンドポイントハニーポットによるBotのブロック
  • カスタムWAFルールの作成
  • RASP / IAST
継続的な監査
  • 監査防衛ツールキット
  • InSpec
  • クラウドセキュリティCISベンチマーク
  • CloudMapper
クラウドセキュリティ監査
  • Azure Security Center
  • Azure Log Analytics
  • AWS Security Hub
  • AWS CloudTrail
  • Cloud Custodian

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。