CL460: Security Aspects in the Implementation of IaC

Agenda:

• Grundlagen
  • Was ist IaC?
  • Vor- und Nachteile
  • Design Prinzipien
  • Terraform Prozesse, Provider und Module
  • Konfigurationsmanagement
  • Speicherung und Versionierung von IaC
  • Beispiele, Showcases und Übungen

• Design
  • Prozesse und Richtlinien
  • Speicherung von sensitiven Informationen
  • Key Rotation
  • Identity Management
  • Beispiele, Showcases und Übungen

• Automatisierung
  • Unterstützung von Generativer KI
  • Anwendungs- vs. Infrastrukturkonfiguration
  • Execution Environment
  • Dokumentation
  • Statefull vs. Stateless Umgebungen
  • Secrets Handling
  • Beispiele, Showcases und Übungen

• Best Practices
  • Beispiele und Showcases
  • OWASP Top 10
  • Hilfreiche Tools und weiterführende Informationen

Ziele:

• In den Grundlagen ist es Ziel, ein Basisverständnis von Terraform zu erhalten und eine VM zu deployen
• Sicherheitskritische Bestandteile sollen erkannt und bewertet werden
• Für sicheren Code werden Prozesse skizziert und diskutiert
• Probleme und Herausforderungen werden anhand Best-Practices diskutiert und Hilfe zur Selbsthilfe geben

Zielgruppe:

Der Kurs CL460 Security Aspects in the Implementation of IaC richtet sich an:

• Security Expert mit technischem Verständnis
• DevOps Engineers mit Security Interesse / Background
• Cloud Experten im Associate Level

Voraussetzungen:

Um den Inhalten und dem Lerntempo des Kurses CL460 Security Aspects in the Implementation of IaC gut folgen zu können, sind folgende Voraussetzungen notwendig:

• Fortgeschrittene Kenntnisse über CI/CD (Tools), Git, CLI, yaml
• Gute Cloud-Kenntnisse in AWS™ oder Azure, IDEs (bspw. vsCode)
• Allgemeine Sicherheitsgrundkenntnisse (Zertifikate, Schlüssel, Secrets Management)

Alternativ empfehlen wir vorab den Besuch des Trainings: CL450 DevOps CI/CD Pipeline

Beschreibung:

Im Kurs CL460 Security Aspects in the Implementation of IaC (Infrastructure as Code) führen die Teilnehmer praxisorientierte Übungen auf einer ausgewählten Cloud-Plattform durch und verwenden dabei CI/CD-Tools wie CodePipelines sowie Terraform als IaC-Werkzeug. Diese Übungen bieten einen tiefen Einblick in die Absicherung von Infrastruktur durch Automatisierung und die Einhaltung von Compliance-Vorgaben.
Zusätzlich zu den theoretischen Inhalten, werden im Kurs CL460 Security Aspects in the Implementation of IaC umfangreiche Praxisbeispiele und Showcases aus realen Projekten vorgestellt, die den Teilnehmern praxisnahe Einblicke und umsetzbare Strategien vermitteln. Diese Beispiele decken eine breite Palette von Sicherheitsherausforderungen und Best Practices ab, wie sie in der täglichen Arbeit eines DevOps- oder Security-Engineers auftreten.

Besondere Schwerpunkte liegen dabei auf:

Sicherheitsrichtlinien und Compliance: Wie man sicherstellt, dass Infrastrukturdefinitionen den unternehmensinternen sowie gesetzlichen Vorgaben entsprechen.
Fehlerbehebung und Sicherheitsvorfälle: Analyse und Umgang mit Sicherheitsvorfällen, die durch fehlerhafte IaC-Implementierungen verursacht wurden, anhand konkreter Fallstudien.
Best Practices für sichere CI/CD-Pipelines: Umsetzung sicherer Pipelines, die die Integrität und Sicherheit der bereitgestellten Infrastruktur gewährleisten.