Certified DevSecOps Expert (Cloud Native Edition) – CDSE-C

Cloud-Native-Technologien wie Microservices, Container und Kubernetes haben sich als die beste Methode zur Erstellung, Bereitstellung und Verwaltung von Microservices sowohl für On-Premise- als auch für Cloud-Umgebungen erwiesen. Cloud-Native-Technologien bringen eine Fülle von Vorteilen mit sich. Die Aufgabe, Ihre Cloud-Native-Umgebung zu sichern, ist jedoch komplex.

Der Certified Cloud-Native Security Expert st ein herstellerneutraler Kurs und ein Zertifizierungsprogramm, mit dem die Sicherheitskenntnisse eines Kandidaten in Bezug auf Cloud-Native-Technologien wie Microservices, APIs und Kubernetes bewertet werden.

Der Kurs soll den Teilnehmern einen praktischen Einblick in die Kubernetes-Sicherheit geben und deckt nicht nur die Theorie, sondern auch sofort anwendbare Tools und Techniken ab. Der Kurs ist projektorientiert, mit mehr als 60 praktischen Übungen, die Ihr neu erworbenes Wissen in die Tat umsetzen und Sie auf Ihrem Weg begleiten.

Der Lehrplan konzentriert sich auch auf die Vermittlung von API-Sicherheit, Containersicherheit und Tools zur Verwaltung von Schwachstellen, um die Sicherheit der Infrastruktur zu verbessern, Schwachstellen zu scannen und verdächtige Aktivitäten und anomales Verhalten zu erkennen.

Dieser Kurs richtet sich an Einzelpersonen oder Teams, die daran interessiert sind, ihre Karriere dem Erlernen und Implementieren von branchenüblichen Sicherheitspraktiken im Zusammenhang mit Cloud-Native-Technologien zu widmen.

Nach der Schulung werden Sie in der Lage sein:

Die Zertifizierung zum Certified Cloud Native Security Expert erwerben, indem Sie eine 12-stündige praktische Prüfung ablegen.
Arbeitgebern und Kollegen gegenüber ein praktisches Verständnis der Cloud-Native-Sicherheitslandschaft und der Tools zu deren Absicherung nachweisen.

Voraussetzungen

  • Die Kursteilnehmer sollten Kenntnisse in der Ausführung grundlegender Linux-Befehle wie ls, cd, mkdir, etc. haben
  • Grundlegende Kenntnisse in Container-Technologie und k8s sind hilfreich, aber nicht notwendig.
  • Verständnis der OWASP Top 10 Sicherheitslücken

Lernziele

  • Aufbau einer soliden Grundlage, die zum Verständnis der Container- und K8s-Sicherheitslandschaft erforderlich ist
  • Erlangung eines praktischen Verständnisses der Cloud-nativen Sicherheitslandschaft und der Tools zu ihrer Sicherung
  • Verstehen und Implementieren der modernen Methoden zur Skalierung und Sicherung des Cloud-Native-Stacks

Teil1 – Einführung in Cloud-Native-Konzepte und deren Sicherheit

  1. Kurseinführung (Über den Kurs, den Lehrplan und wie man ihn angeht)DevOps-Prinzipien – Culture, Automation, Mesaurement and Sharing (CAMS)
  2. Über die Zertifizierung und wie man sie angeht
  3. LAB Umgebung
  4. Überblick über die Cloud-Native-Technologien
  5. Die 4 Cs der Cloud-Native-Sicherheit
    1. Cloud
    2. Container
    3. Cluster
    4. Code (SCA, SAST, DAST) – DevSecOps
  6. Security und Threat Model von Cloud-Native Technologien
    1. Übersicht Cloud Security
  7. SDLC
    1. Überblick über einen sicheren SDLC und CI/CD.
    2. Überblick Container Security (Container Vulnerability, Supply Chain Attack, Least Privilege)
    3. Überblick Kubernetes Security
    4. Überblick Microservices Security
  8. Praktische Übung: Lernen Sie, wie Sie unsere browserbasierte Laborumgebung nutzen

Teil 2 – Einführung in Microservices Architekturen

  1. Die Notwendigkeit von Microservices
  2. Monolith vs. Microservices
  3. Technische und Business Vor- und Nachteile von Microservices
  4. Tools
    1. Source code management
    2. CI/CD Tools
    3. Artifact management
    4. Cloud Platform
    5. Infrastructure as code
    6. Monitoring und logging Tools
    7. Collaboration Tools
  5. REST APIs
    1. API Security 
    2. OpenAPI/Swagger
    3. Einführung in OWASP API Top 10
    4. Software Component Analysis von APIs
    5. Static Application Security Testing von APIs
    6. Dynamic Application Security Testing von APIs
  6. Praktische Übungen:
    1. Erstellen einer einfachen CI/CD-Pipeline
    2. Bereitstellen eines Microservice/Docker-Containers für die Produktion
    3. Exploit des oben genannten Microservices durch Fehlkonfiguration von Docker
    4. Explot eines Microservices unter Verwendung von API-Schwachstellen
    5. Finden und Beheben von API-Sicherheitsproblemen mit SCA, SAST und DAST in CI/CD-Pipelines

Teil3 – Container und Container Security

  1. Was ist ein Container
  2. Grundlagen der Containertechnologie und ihre Herausforderungen
  3. Verschiedene Ansätze zum Schreiben von benutzerdefinierten Regeln in kostenlosen und kostenpflichtigen Tools.
  4. Container vs. Virtualization
    1. Container Vorteile
    2. Container Nachteile
  5. Container Primitives
    1. Namespaces
    2. CGroup
    3. Capabilities
  6. Docker-Architektur und ihre Komponenten
    1. Command Line Interface(CLI)
    2. Engine (Daemon, API)
    3. Runtime (containerd, shim, runc)
  7. Möglichkeiten der Interaktion mit dem Container-Ökosystem
  8. Fragen der Containersicherheit
  9. Container Defense
  10. Praktische Übungen:
    1. Image basierte Angriffe
    2. Registry basierte Angriffe
    3. Angriffe auf den Docker-Host (Daemon) / Kernel
    4. Minimierung von Sicherheitsfehlkonfigurationen in Docker
    5. Erstellen eines sicheren und möglichst kleinen Images zur Minimierung des Fußabdrucks
    6. Patch von Docker-Images und Härtung
    7. Docker Daemon Härtung
    8. Docker Content Trust
    9. Sichere Konfiguration von Docker mit SecComp und AppArmor

Teil 4 – Einführung in Kubernetes

  1. Einführung in Kubernetes
  2. Kubernetes use cases 
  3. Kubernetes Architektur (Core Komponenten)
  4. Möglichkeiten zur Handhabung benutzerdefinierter Authentifizierungen für ZAP Scanner.
  5. Core components
    1. API Server
    2. Kube Proxy
    3. Controller Manager
    4. kube Scheduler
    5. etcd
    6. Node
    7. Kubelet
  6. Bootstrapping eines Clusters
  7. Microservice in Kubernetes deployen
  8. Praktische Übungen:
    1. Bootstrapping des Clusters mit kubeadm, KinD
    2. Bereitstellung eines Microservices auf Kubernetes(k8s)
    3. Grundlagen der kubectl-Befehle
    4. Storage in Kubernetes
    5. Networking in Kubernetes
    6. Überwachung und Protokollierung in Kubernetes

Teil 5 – Hacking Kubernetes

  1. Kubernetes Attack Surface und Threat Model
  2. Häufige k8s-Sicherheitsprobleme und Fehlkonfigurationen
  3. Unterschiede bei k8s-Installationen (Unterstützung für PSP vs. kein PSP)
  4. Praktische Übungen:
    1. Reconnaissance Techniken für k8s Cluster, Port Scanning, Service enumeration
    2. Wechsel von Pods zu Nodes
    3. Denial of Service Attacken auf k8s Cluster
    4. Exploit von Image registries und supply chain Probleme
    5. Kubernetes Metadata API Attacken
    6. Exploit von Privileged Container/Pod
    7. Secrets Scanning in k8s Cluster
    8. Exploit von Miskonfiguration mit kube-hunter

Teil 6 – Kubernetes Authentication und Authorization

  1. Authentifizierungs Mechanismen in Kubernetes (k8s)
  2. k8s Access Control Mechanismen
  3. Role-Based Access Control (RBAC) Grundlagen
  4. Admission control
  5. Pod Security Policies
  6. Praktische Übungen:
    1. Authentifizierungs-Richtlinien
    2. Authentifizierung mit Keycloak
    3. Whitelisting der Container-Registry
    4. Auffinden riskanter RBAC-Berechtigungen mit KubiScan
    5. Statische Analyse der Zugriffskontrolle mit Krane
    6. Admission Controller
    7. Authorisierung mit OPA Gatekeeper

Teil 7 – Kubernetes Data Security

  1. Kubernetes Data Storage Mechanismen
    1. Image Layer
    2. Countainer Mounts und Volumes
    3. Verteilte Storage Lösungen
  2. Secret Management in der traditionellen Infrastruktur
  3. Secret Management in Containern at Scale
  4. Secret Management in der Cloud
    1. Version Control Systems und Secrets
    2. Umgebungs Variablen and Konfigurations Dateien
    3. Docker, Immutable systems und Sicherheits Herausforderungen
    4. Secrets Management mit Hashicorp Vault und Consul
  5. Praktische Übungen:
    1. Sichere Speicherung von Encryption Keys und anderen Secrets mit Vault/Consul
    2. Verschlüsselung von Kubernetes-Secrets at rest
    3. Sichern von Umgebungsvariablen mit Vault
    4. Automatisiertes Scannen von Images in Build stage, Release stage, Integration stage, Production stage

Teil 8 – Kubernetes Network Security

  1. Network Security in Kubernetes
    1. Network Segregation und Network Security Policies
    2. Einführung in Calico und Cilium als Network Policy Layer
    3. Zero-Trust and Service Meshs
    4. Service Mesh – Istio and Envoy
  2. Network Scanning Tools
  3. Cluster konfigurieren mit SecComp und AppArmor Profilen
  4. Praktische Übungen:
    1. Implementieren eines Service Mesh mit Istio
    2. Aktivierung mTLS im Service Mesh
    3. Cluster Härtung mit SecComp-Richtlinien
    4. Cluster Härtung mit AppArmor-Richtlinien
    5. Schreiben einer benutzerdefinierten Netzwerk-Policy

Teil 9 – Automatisierte Container Orchestration Security Tools

  1. Härtung von k8s Cluster
  2. Statische Analyse von k8s Cluster
  3. Dynamische Analyse von k8s Cluster
  4. Laufzeit-Sicherheitsanalyse und Sicherheitsüberwachung von k8s-Clustern
  5. Sysdig Falco als DaemonSet
  6. Compliance and Benchmark Checks
  7. Praktische Übungen:
    1. Statische Analyse und dynamische Analyse von Clustern in der CI/CD-Pipeline
    2. Härtung und automatisiertes Patchen von k8s-Cluster
    3. Sicherheitsüberwachung von k8s-Clustern mit Wazuh
    4. Sicherheitsüberwachung von k8s-Clustern mit Falco
    5. Automatisierte CIS k8s-Benchmark-Prüfungen mit Compliance as Code

DevSecOps Zertifizierungs Prozess

  1. Nach Abschluss des Kurses planen Sie die Prüfung zu Ihrem Wunschtermin.
  2. Bestehen Sie die Prüfung, um die Zertifizierung zum Certified DevSecOps Expert Cloud Native Edition (CDSE-C) zu erhalten.
  3. Das Verfahren zur Erlangung praktischer DevSecOps-Kurszertifizierungen finden Sie hier.

Preise und Buchung

Dauer: 5 Tage
Preis p. Teilnehmer: 2.950€ + 19% Mwst.

Bitte registrieren Sie sich für diesen Kurs (unverbindlich). Wir setzen uns umgehend mit Ihnen in Verbindung, um alles weitere zu klären.