Das Seminar integriert open-appsec in reproduzierbare DevSecOps- und GitOps-Prozesse. Lokale Policy-Dateien, Kubernetes-Custom-Resources, Helm-Values, Testfälle und Freigaberegeln werden gemeinsam versioniert. Der Schwerpunkt liegt auf prüfbaren Änderungen, automatisierter Validierung, gestuften Rollouts, Drift-Erkennung und sicherem Rollback.
Inhaltsverzeichnis
- Seminarprofil
- Lernziele
- Zielgruppe
- Voraussetzungen
- Seminarinhalte
- Praktische Übungen
- Methodik und Unterlagen
Seminarprofil
Deklarative Konfiguration ist nur dann ein Sicherheitsgewinn, wenn Repository-Struktur, Ownership, Pipeline-Prüfung und Betriebsfreigabe zusammenpassen. Das Seminar entwickelt einen vollständigen Delivery-Prozess für Linux/Docker-Policies und Kubernetes-Ressourcen. Zentrale Verwaltung wird als kontrollierte Alternative mit vergleichbaren Change-Nachweisen eingeordnet.
Lernziele
- Repository und Konfigurationsschichten nachvollziehbar strukturieren.
- Policy-Dateien, CRDs und Helm-Values automatisiert prüfen.
- Sicherheits- und Funktionstests in CI/CD integrieren.
- Umgebungsunterschiede ohne unkontrollierte Kopien verwalten.
- gestufte Policy- und Enforcement-Rollouts entwerfen.
- Secrets, Rollen und Freigaben nach minimalen Rechten gestalten.
- Drift, Fehlrollout und Rollback technisch beherrschen.
Zielgruppe
Geeignet für DevOps, DevSecOps, Plattformengineering, GitOps- und CI/CD-Verantwortliche, Kubernetes-Administration, Security Engineering sowie technische Configuration- und Release-Verantwortliche.
Voraussetzungen
Erforderlich sind Kenntnisse zu Git, Branches, Merge Requests, YAML und grundlegenden CI/CD-Pipelines. Zusätzlich werden open-appsec-Grundkenntnisse sowie Linux/Docker- oder Kubernetes-Erfahrung vorausgesetzt.
Seminarinhalte
1. Configuration-as-Code-Modell
Konfiguration wird in wiederverwendbare Objekte zerlegt: Policies, Practices, Exceptions, Log Trigger, Custom Responses, Source Identifiers, Trusted Sources, Helm-Values und Umgebungszuordnung. Generierte Dateien werden von handgepflegten Quellen getrennt.
- Objekte und Abhängigkeiten inventarisieren.
- Namenskonvention und Verzeichnisstruktur definieren.
- gemeinsame Baseline und Umgebungsüberlagerungen trennen.
- Owner und Reviewpflicht pro Bereich festlegen.
- Versionierungs- und Releasekonzept dokumentieren.
2. Repository-Struktur und Umgebungen
Ein Repository enthält keine ungeprüften Vollkopien für Entwicklung, Test und Produktion. Gemeinsame Baselines, Overlays oder Werteebenen reduzieren Drift. Sicherheitskritische Unterschiede werden sichtbar und begründet.
3. Statische Validierung
Vor dem Rollout werden YAML-Syntax, Schema, Pflichtfelder, Namensbezüge, Eindeutigkeit und verbotene Muster geprüft. Breite Exceptions, fehlende Logziele oder sofortige Prevent-Aktivierung können durch Policy-as-Code-Regeln blockiert werden.
- Dateien syntaktisch validieren.
- gegen aktuelles Schema prüfen.
- Querverweise zwischen Objekten auflösen.
- organisatorische Sicherheitsregeln auswerten.
- maschinenlesbaren Prüfbericht erzeugen.
4. Automatisierte Funktions- und Sicherheitstests
Ein Testsystem erhält die geplante Konfiguration. Danach werden positive Requests, erwartete Erkennungen, Blockierungen, Exceptions, Statuscodes und Logs geprüft. Tests sind idempotent und liefern eindeutige Fehlerursachen.
- Testanwendung und bekannte Endpunkte bereitstellen.
- Konfiguration in Detect/Learn oder kontrollierter Prevent-Stufe anwenden.
- legitime Requests als Regression ausführen.
- Angriffsmuster und API-Negativtests ausführen.
- erwartete Aktion und Logfelder vergleichen.
- Testergebnis als Freigabekriterium speichern.
5. Gestufter Rollout
Konfiguration und Enforcement werden getrennt betrachtet. Neue Policies können zunächst im Erkennungsmodus, auf einem Teil der Assets oder in einer Canary-Umgebung aktiviert werden. Erst nach messbarer Prüfung folgt die breitere Prävention.
6. Secrets, Rollen und Freigaben
Tokens, Zugangsdaten und Managementinformationen gehören nicht unverschlüsselt in das Repository. Pipeline-Identitäten erhalten nur notwendige Rechte. Merge- und Deploy-Freigaben werden nach Risikoklasse getrennt.
7. Drift, Rollback und Audit
Soll- und Ist-Konfiguration werden regelmäßig verglichen. Jede produktive Änderung ist auf Commit, Review, Pipeline und Deployment zurückführbar. Rollback nutzt eine bekannte, bereits geprüfte Version und enthält dieselben Nachtests wie der Vorwärtsrollout.
- Drift oder Fehlrollout erkennen.
- betroffenen Commit und Konfigurationsbereich bestimmen.
- letzte freigegebene Version auswählen.
- Rollback anwenden.
- Policy-Load, Datenpfad und Tests erneut prüfen.
- Ursache und Korrekturmaßnahme dokumentieren.
Praktische Übungen
- Repository für Policy-Dateien, CRDs, Helm-Values und Tests strukturieren.
- Baseline und Umgebungsüberlagerung erstellen.
- Schema- und Sicherheitsprüfungen in eine Beispielpipeline integrieren.
- automatisierte Positiv- und Angriffstests ausführen.
- gestuften Wechsel von Detect/Learn zu Prevent/Learn modellieren.
- breite Exception durch eine Pipeline-Regel verhindern.
- Fehlrollout erkennen, zurückrollen und vollständig nachprüfen.
Methodik und Unterlagen
Die Übungen verwenden ein vorbereitetes Git-Repository mit Pipeline-Definitionen und Testfällen. Die Unterlagen enthalten Referenzstruktur, Reviewregeln, Sicherheits-Gates, Rolloutmatrix und Rollback-Runbook.
Seminar und Anbieter vergleichen
Öffentliche Schulung
Diese Seminarform ist auch als Präsenzseminar bekannt und bedeutet, dass Sie in unseren Räumlichkeiten von einem Trainer vor Ort geschult werden. Jeder Teilnehmer hat einen Arbeitsplatz mit virtueller Schulungsumgebung. Öffentliche Seminare werden in deutscher Sprache durchgeführt, die Unterlagen sind teilweise in Englisch.
Inhausschulung
Diese Seminarform bietet sich für Unternehmen an, welche gleiche mehrere Teilnehmer gleichzeitig schulen möchten. Der Trainer kommt zu Ihnen ins Haus und unterrichtet in Ihren Räumlichkeiten. Diese Seminare können in Deutsch - bei Firmenseminaren ist auch Englisch möglich gebucht werden.
Webinar
Diese Art der Schulung ist geeignet, wenn Sie die Präsenz eines Trainers nicht benötigen, nicht Reisen können und über das Internet an einer Schulung teilnehmen möchten.
Fachbereichsleiter / Leiter der Trainer / Ihre Ansprechpartner
-
Michael Adler
Telefon: + 41 (800) 225127
E-Mail: michael.adler@seminar-experts.ch -
Stefano Conti
Telefon: + 41 (800) 225127
E-Mail: stefano.conti@seminar-experts.ch
Seminardetails
| Dauer: | 2 Tage ca. 6 h/Tag, Beginn 1. Tag: 10:00 Uhr, weitere Tage 09:00 Uhr |
| Preis: |
Öffentlich und Webinar: CHF 1.198 zzgl. MwSt. Inhaus: CHF 3.400 zzgl. MwSt. |
| Teilnehmeranzahl: | min. 2 - max. 8 |
| Teilnehmer: | DevOps, DevSecOps, Plattformengineering, GitOps- und CI/CD-Verantwortliche, Kubernetes-Administration, Security Engineering |
| Voraussetzungen: | Git, Branch- und Reviewprozesse, YAML, grundlegende CI/CD-Pipelines sowie open-appsec- und Plattformkenntnisse |
| Standorte: | Basel, Bern, Luzern, Sankt Gallen, Winterthur, Zürich |
| Methoden: | Vortrag, Demonstrationen, praktische Übungen am System |
| Seminararten: | Öffentlich, Webinar, Inhaus, Workshop - Alle Seminare mit Trainer vor Ort, Webinar nur wenn ausdrücklich gewünscht |
| Durchführungsgarantie: | ja, ab 2 Teilnehmern |
| Sprache: | Deutsch - bei Firmenseminaren ist auch Englisch möglich |
| Seminarunterlage: | Dokumentation auf Datenträger oder als Download |
| Teilnahmezertifikat: | ja, selbstverständlich |
| Verpflegung: | Kalt- / Warmgetränke, Mittagessen (wahlweise vegetarisch) |
| Support: | 3 Anrufe im Seminarpreis enthalten |
| Barrierefreier Zugang: | an den meisten Standorten verfügbar |
| Weitere Informationen unter +41 (800) 225127 |
Seminartermine
Die Ergebnissliste kann durch Anklicken der Überschrift neu sortiert werden.
