NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Cloud Security and DevOps Automation
Cloud Security
English2021年1月18日(月)~1月22日(金)
9:00 ~ 19:00 最終日のみ~17:00
オンライン
760,000円(税抜)
※上記試験費用は講義と同時お申し込み時のみ有効です。講義申込み完了後から講義開始までの間に追加でお申し込みいただく際には別途、事務手数料(1万円)が発生します。また講義開始後のお申し込みについてはこちらのページ(英語)を参照のうえ、SANS/GIACへ直接お申込みください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
SANSトレーニングを有意義に受講していただくには、以下の要件を満たすノートPCを受講者自らご用意いただきます。下記要件をよく確認し、事前に必要な設定を完了しておいてください。セッション中には、下記の設定を実施する時間は設けられていません。必ず事前の確認・設定をお願いいたします。
本コースでは事前にAWSフリーティアアカウントを新規で作成しなければなりません。アカウント作成後、利用可能になるには24時間以上の時間を要する場合がありますので、下記の内容をクラス開始の1週間前までに実施・確認をお願いいたします。コース開始後にアカウントを作成する場合、ハンズオン演習に遅れが生じる可能性があります。
本コースでは、一部のハンズオンでAWSの有償機能を利用します。
トレーニング中に有償機能の有効化・支払いが必要となりますため、クレジットカードをお持ちください。
受講費用とは別におおよそ15~25米ドルが必要となります。
受講者にはオプションとしてMicrosoft Azureボーナスチャレンジが用意されており、このチャレンジを実施する場合にはコース開始前までにMicrosoft Azureアカウントを作成しておく必要があります。またAzureアカウントの利用料は1週間あたりおおよそ20米ドルが必要です。
重要:以下の環境のノートPCをご持参下さい。
コース開始前の事前準備として、5つのことをお願いしています。早めの準備をすることで、トレーニングを最大限に活用することができます。まず、適切に設定されたノートPCの持参をお願いいたします。この資料では、クラスに必要なシステムのハードウェアとソフトウェアの設定について詳しく説明しています。また、準備に関してのビデオをhttps://sansurl.com/sans-setup-videosから閲覧することができます。
講義の全てのコンテンツに参加するためには、適切に設定されたノートPCが必要です。この指示に従わないと、このコースの演習に参加することができず、満足のいく授業を受けることができない可能性が高いです。そのため、以下の条件をすべて満たすシステムを用意することを強くお勧めします。
CPU: 64ビット 2.5GHz マルチコアプロセッサ以上
BIOS/UEFIにおいて仮想化技術(VT-xやAMD-Vなど)の利用が有効になっていること
ディスク: 50GB以上の空きディスク容量のSSD
メモリ: 16GB以上のRAM。
USB2.0以上でexFATファイルシステムを扱えること
無線LAN 802.11 b/g/n/ac
ホストOSに対する管理者権限アクセスが行なえること
64ビット版 Windows 8または10、Mac OS X (Sierra、High Sierra、Mojave)
VMware Workstation Pro 14.0、VMware Workstation Player 14.0、VMware Fusion 10.0を事前にインストール
事前にVMware製品をダウンロードしてインストールしてください。VMware Workstation Pro 15.5、VMware Workstation Player 15.5、VMware Fusion 11.5を選択します。VMware Workstation、VMware Fusionのライセンスを持っていなくても、30日間はフリートライアル期間として利用することができます。VMwareウェブサイトに登録すれば、期限付きのシリアルナンバーが送られてきます。
ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)。
SEC540はDevOpsとクラウドサービスを使って安全なインフラストラクチャとソフトウェアを構築しデリバーするためのメソッドを開発、運用、セキュリティのプロに対して提供します。
受講生はDevOpsの原則、プラクティス、ツールがオンプレミスとクラウドにホストされたアプリケーションの信頼性、完全性、セキュリティをどのように向上させるかを学んでいきます。
このコースの最初の2日間では、オンプレミスでの導入から始め、成功したDevOpsセキュリティプログラムからの教訓をもとにSecure DevOpsの手法とその実装を検証します。
Puppet、Jenkins、GitLab、Vault、Grafanaといった人気のオープンソースツールを使って
Configuration Management(「Infrastracture as Code」)やContinuos Integratin(CI)、Continuous Delivery(CD)、コンテナ化,マイクロセグメント化,自動コンプライアンス(「Compliance as Code」)、Continuos Monitoringなどを自動化をハンズオンを通じて習得します。ラボ環境は、インフラストラクチャとアプリケーションを自動的に構築、テスト、および導入するCI/CDパイプラインから始まります。Secure DevOpsツールチェーンを活用して、さまざまなセキュリティツール、パターン、テクニックを使用して、CI/CDパイプラインにセキュリティを注入する一連のラボを実施します。
ラボ環境は、インフラストラクチャとコンテナ化されたアプリケーションを自動的に構築、テスト、デプロイするオンプレミスCI/CDパイプラインから始まります。Secure DevOpsツールチェーンを活用して、受講生は様々なセキュリティツール、パターン、テクニックを使用してCI/CDパイプラインにセキュリティを導入する一連のラボを実行します。DevSecOpsの基礎を築いた後、実際のクラウドインフラストラクチャを展開して管理することで、DevSecOpsのスキルを実践します。
ハンズオンの演習では、コンテナ化されたワークロードをクラウドに展開し、Puppetを使ってオンプレミスの構成管理を統合し、HashiCorp VaultとCloud Key Management Service (KMS)を使って機密データを管理します。さらに、クラウドインフラストラクチャの脆弱性の分析と修正、クラウドホストアプリケーションの脆弱性スキャンの実行、API GatewayやFaaSなどのツールを使用したマイクロサービスの防御を行います。なお、クラウドセキュリティコンプライアンスツールは、コードドライブWebアプリケーションファイアウォール(WAF)サービス、CloudMapperによる継続的な監査、Cloud Custodianによる継続的な監視を使用してインフラストラクチャを監視するのに役立ちます。
本コースによって受講者は下記の内容を習得します。
DevOpsの裏側にある思想とパターンの理解
Continuous Delivery/Continuous Deploymentのマッピングと実装
DevSecOpsメソッドとツールチェーンの理解
本場運用に対するセキュリティ施策の組込み
DevOpsワークロードのクラウド移行
クラウドサービスを利用したクラウドアプリケーションの保護
本コースをご受講される場合、下記の知識を習得していることを前提としています。
本コースでは数々のDevOpsとクラウドツールに触れる機会があります。事前に下記のテクノロジーや限度などに目を通しておくことでハンズオン演習の内容をよりスムーズかつより深く理解することが可能です。
DevOpsとクラウドは、組織がオンラインシステムを設計、構築、展開、運用する方法を根本的に変えつつあります。Amazon、Etsy、Netflixなどのリーダーは、毎日何百、何千もの変更を展開し、継続的に学習し、改善し、成長し、競合他社を大きく引き離すことに成功しています。今やDevOpsとクラウドは、インターネット発の「ユニコーン」にとっては巨大企業へシフトしていくために必要なツールなのです。
従来のセキュリティ対策では、この急速な変化に追いつくことは困難でしょう。組織内の「混乱の壁 」を細分化したエンジニアリングおよび運用チームは、Infrastructure as Code、Continuous Delivery、Continuous Deployment、マイクロサービス、コンテナ、クラウドサービスプラットフォームなど、新しい種類の自動化をますます活用するようになっています。問題は、セキュリティがツールと自動化を利用してシステムのセキュリティを向上できるかどうかです。
SEC540はDevOpsに関する施策、思想、ツールなどに関する解説からクラスを開始します。DevOpsがどのように機能するのか、その仕組みの中でどのようにジョブが進められるのか、DevOpsの文化やコレボレーション、自動化の重要性について検証していきます。
DevOps「ユニコーン」(DevOpsのDNAを創造したとも言える今をとときめくインターネット業界リーダー)の事例を取り上げ、これらの組織がどのように成功したか、DevOpsのセキュリティプログラム成功の鍵を解き明かしていきます。
次にDevOpsの自動化エンジンであるContinuous Deliveryに目を向けていきます。どのようにDevSecOpsセキュリティコントロールを含んだContinuous DeliveryパイプラインまたはContinuous Deploymentパイプラインを構築しているのか、どのようにセキュリティチェックとテストの自動化を組み込んでいるのかを探求します。
Day1で開発したアイデアとフレームワークを基に、Cloud Infrastructure as Code を使用して、新しいインフラストラクチャとサービスを迅速かつ一貫してデプロイする方法を検討します。Puppet、Chef、Ansibleなどの最新の自動構成管理ツールを使用することで、、クラウドがホストする仮想マシンに望ましい設定を強制する方法についても説明します。ワークロードがコンテナサービスに移行しているため、DockerやKubernetesなどのツールに関連するセキュリティの問題を探ります。
コンテナオーケストレーションのオプションを確認し、クラウドインフラストラクチャのコードをスキャンしてテストし、一般的なクラウドの誤設定の脆弱性を調べます。インフラストラクチャーコードの修正とコミットがきっかけとなりインフラストラクチャーパイプラインが自動的にクラウドインフラストラクチャーコードを堅牢化します。次に、オーケストレーションサービスにコンテナをリリースする前に、クラウドの継続的インテグレーションとデリバリツールを確認し、サーバーレスコンピューティングを活用して静的分析とソフトウェアサプライチェーンの脆弱性スキャンを実行します。次に、Grafana、CloudWatch、Slackを使用して継続的なセキュリティ監視を構築し、本番と運用に焦点を移していきます。3日目はクラウドのデータ保護で締めくくります。さまざまな暗号化サービス、クラウドでの機密管理の実装方法、オンプレミスの機密情報をクラウドリソースに統合する方法について説明します。
このセクションでは、クラウドセキュリティサービスを活用して、機能的で可用性の高いシステムをロックダウンします。ダウンタイムを最小限に抑えるために、ブルー・グリーンの環境を使用してアプリケーションにセキュリティパッチを展開することから始めます。
クラウドデータの保護をはじめ、さまざまな暗号化サービスとクラウドでの機密管理の実装方法を検討します。この知識を活用し、受講者はプライベートキー署名されたContent Delivery Network(CDN)によって提供される静的なWebサイトコンテンツを保護する方法を学習します。
後半では、マイクロサービスの世界、APIゲートウェイによるAPIの保護、サーバーレス機能の導入による承認、データ資格、アクセス制御の管理について解説します。
Day5では、ここまで学習してきた基礎を拡張し、DevSecOps実践者はクラウドサービスを活用したセキュリティタスクの自動化に焦点を移します。まず、監視、攻撃検知、アクティブディフェンス機能を備えたクラウドWebアプリケーションファイアウォールを導入して構成し、脅威を検知してブロックします。次に、クラウドの設定ミスを検知するため継続的なコンプライアンススキャンを実装する。最後に、クラウドのコンフィギュレーションドリフトを検出して修正するために、コードとしてのポリシーを強制することに取り組みます。