Certified DevSecOps Engineering is de tweede training uit het "DevSecOps Master" traject dat uit drie 2-daagse trainingen bestaat. Deze trainingen zijn zowel los te boeken als gebundeld tegen een speciaal tarief.

In DevSecOps wordt security geïntegreerd in de DevOps benadering waarbij beveiliging als collectieve verantwoordelijkheid wordt beschouwd zonder dat dit ten koste gaat van de snelheid van het proces. De integratie van security in snelle Agile/DevOps omgevingen gaat gepaard met uitdagingen op het gebied van organisatie, tooling en practices die gezamenlijk moeten worden aangepakt om succesvol te kunnen zijn. Deze training maakt je bekend met de concepten, terminologiën en strategieën om DevSecOps te kunnen implementeren. 

Een van de belangrijkste voordelen in een DevSecOps-implementatie is dat Security veel eerder in de gehele softwareontwikkeling en IT-processen wordt ingebakken. Dit in tegenstelling tot het achteraf inbouwen van Security nadat de software is ontwikkeld en geïmplementeerd wat bij het vinden van kwetsbaarheden een snelle software delivery belemmerd.

Een DevSecOps benadering sluit aan op AVG/GDPR compliance waarbij dataprotectie aantoonbaar geborgd moet zijn. Zo worden dataopslag, -verwerking en -verzameling in DevSecOps zodanig gestroomlijnd dat compliance in het ontwikkelproces wordt bereikt. Het helpt een organisatie daarnaast software oplossingen te leveren (bijvoorbeeld aan klanten) waarin security als key component is meegenomen. 

Aan het einde van de training weet je “security as code” toe te passen met als doel om security en compliance bruikbaar te maken als een service. Met behulp van praktijkscenario’s en casestudy’s neem je bruikbare praktische voorbeelden mee die je direct in je werkzaamheden toe kunt passen. 

Onze Dev(Sec)Ops trainingen kenmerken zich door een praktijkgerichte aanpak waarbij je ruim voor de training toegang krijgt tot het studiemateriaal. Dit biedt je in de klassikale training zelf gelegenheid om gerichte vragen te stellen en bovenal deel te nemen aan een groot aantal oefeningen waarin de concepten worden toegepast.

Wat kan of weet ik na deze training?

• Het doel, de voordelen, concepten en vocabulaire van DevSecOps benoemen en gebruiken
• Benoemen in hoeverre DevSecOps verschilt met een traditionele security benadering
• Business-driven security strategieën integreren in DevOps
• Data- en security tactieken begrijpen en toepassen
• Het gebruik en de voordelen van Red en Blue Teams onderkennen
• Security integreren in Continous Delivery workflows
• Benoemen hoe DevSecOps rollen passen in een DevOps cultuur en organisatie

Examen en Certificering

Inbegrepen bij deze training is het Certified DevSecOps Engineering examen. Met dit 90 minuten durende examen bestaande uit 40 meerkeuzevragen kun je de bijbehorende en internationaal erkende DSOE certificering van het DevOps Institute behalen.

Certified DevSecOps Engineering is de tweede stap uit het "DevSecOps Master" traject dat uit drie 2-daagse trainingen bestaat. De andere twee trainingen uit dit traject zijn:

• Certified DevOps Foundation (prerequisite)
• Advanced DevSecOps

Voor wie is de Certified DevSecOps Engineering training geschikt?

Deze training is geschikt voor een groot aantal professionals die onderdeel zijn of worden van een Dev(Sec)Ops team of daar tijdens hun werkzaamheden kennis van moeten hebben. Te denken valt aan:

• Iedereen die betrokken is of geïnteresseerd is in het leren van DevSecOps strategieën en automatisering
• Iedereen die betrokken is bij Continuous Delivery toolchain architectuur
• Compliance team
• Delivery personeel
• DevOps engineers
• IT managers
• IT security professionals, practitioners en managers
• Onderhoud en support personeel
• Managed service providers
• Project- en product managers
• Quality Assurance teams
• Release managers
• Scrum masters
• Site Reliability Engineers
• Software Engineers
• Testers

Duur Training

2 dagen

Globale Inhoud

Course Introduction

• Course Goals
• Course Agenda
• Exercise: Diagramming Your CI/CD Pipeline

Why DevSecOps?

• Key Terms and Concepts
• Why DevSecOps is important
• 3 Ways to Think About DevOps+Security
• Key Principles of DevSecOps

Culture and Management

• Key Terms and Concepts
• Incentive Model
• Resilience
• Organizational Culture
• Generativity
• Erickson, Westrum, and LaLoux
• Exercise: Influencing Culture

Strategic Considerations

• Key Terms and Concepts
• How Much Security is Enough?
• Threat Modeling
• Context is Everything
• Risk Management in a High-velocity World
• Exercise: Measuring For Success

General Security Considerations

• Avoiding the Checkbox Trap
• Basic Security Hygiene
• Architectural Considerations
• Federated Identity
• Log Management

IAM: Identity & Access Management

• Key Terms and Concepts
• IAM Basic Concepts
• Why IAM is Important
• Implementation Guidance
• Automation Opportunities
• How to Hurt Yourself with IAM
• Exercise: Overcoming IAM Challenges

Application Security

• Application Security Testing (AST)
• Testing Techniques
• Prioritizing Testing Techniques
• Issue Management Integration
• Threat Modeling
• Leveraging Automation

Operational Security

• Key Terms and Concepts
• Basic Security Hygiene Practices
• Role of Operations Management
• The Ops Environment
• Exercise: Adding Security to Your CI/CD Pipeline

Governance, Risk, Compliance (GRC) and Audit

• Key Terms and Concepts
• What is GRC?
• Why Care About GRC?
• Rethinking Policies
• Policy as Code
• Shifting Audit Left
• 3 Myths of Segregation of Duties vs. DevOps
• Exercise: Making Policies, Audit and Compliance Work with DevOps

Logging, Monitoring & Response

• Key Terms and Concepts
• Setting Up Log Management
• Incident Response and Forensics
• Threat Intelligence and Information Sharing

Course Review

• Where We Started
• What We Covered
• Key Reminders of What’s Important
• Exercise: Creating a Personal Action Plan

Exam Preparations

• Exam Requirements, Question Weighting, and Terminology List
• Sample Exam Review