DevSecOps – Bảo mật tích hợp trong quy trình DevOps hiện đại
DevSecOps không còn là một lựa chọn, mà là một tiêu chuẩn mới trong phát triển và vận hành hệ thống hiện đại. Với tốc độ triển khai liên tục, container hóa, IaC, và cloud, bảo mật phải được tự động hoá, tích hợp xuyên suốt, và phi tập trung hóa trách nhiệm. Khóa học này trang bị học viên năng lực bảo mật thực chiến, tích hợp liền mạch trong pipeline CI/CD, IaC, container, cloud-native.
Thời lượng: 84h
Bạn đạt được gì sau khi hoàn thành khóa học
Áp dụng tư duy “Shift Left” để bảo mật ngay từ mã nguồn
Bạn sẽ tự động hóa việc quét lỗ hổng trong code (SAST với CodeQL), thư viện mã nguồn mở (SCA với Trivy), và các thông tin nhạy cảm bị lộ (Secrets Scanning với Gitleaks) ngay trong pipeline CI/CD.
Xây dựng và vận hành một chu trình cung ứng container (supply chain) an toàn
Học cách viết Dockerfile theo các tiêu chuẩn bảo mật tốt nhất, tự động quét lỗ hổng trong image, và harden môi trường container runtime để chống lại các tấn công phổ biến.
Bảo mật hạ tầng dưới dạng mã (IaC) và thực thi chính sách tự động
Sử dụng các công cụ như tfsec để quét file Terraform, và OPA/Kyverno để định nghĩa các chính sách bảo mật dưới dạng mã (Policy-as-Code), đảm bảo hạ tầng luôn tuân thủ quy định.
Quản lý tập trung và an toàn các thông tin nhạy cảm (secrets)
- Triển khai và sử dụng các hệ thống chuyên dụng như HashiCorp Vault hoặc AWS Secrets Manager để loại bỏ hoàn toàn việc lưu mật khẩu, API key trong mã nguồn hoặc file cấu hình.
Giám sát và phát hiện các mối đe dọa trong thời gian thực (runtime) trên Kubernetes
Triển khai Falco để phát hiện các hành vi bất thường trong container, kết hợp với việc phân quyền chi tiết (RBAC) và chính sách mạng (NetworkPolicy) để bảo vệ cluster một cách toàn diện.
Tự động hóa việc kiểm tra tuân thủ (compliance) và quản lý lỗ hổng tập trung
Chạy các bài kiểm tra theo tiêu chuẩn quốc tế như CIS Benchmark bằng kube-bench, và sử dụng DefectDojo để quản lý, theo dõi và xử lý các lỗ hổng được phát hiện từ tất cả các công cụ..
Đối tượng tham gia
Kỹ sư DevOps và Cloud muốn tích hợp bảo mật một cách tự động vào các pipeline CI/CD và hạ tầng đám mây mà họ đang xây dựng và quản lý.
Kỹ sư Bảo mật (Security Engineer) và Quản trị viên Hệ thống muốn chuyển đổi từ phương pháp bảo mật thủ công sang tự động hóa và “dịch trái” (Shift Left) trong quy trình.
Lập trình viên (Developer) và Trưởng nhóm Kỹ thuật (Tech Lead) có trách nhiệm về chất lượng và an toàn của mã nguồn, muốn chủ động vá lỗi bảo mật ngay từ giai đoạn code.
Kiến trúc sư (Architect) và Quản lý Kỹ thuật (Engineering Manager) cần thiết kế và thực thi một Vòng đời Phát triển Phần mềm An toàn (Secure SDLC) theo các tiêu chuẩn quốc tế.
Yêu cầu tiên quyết
Học viên cần có:
- Kiến thức cơ bản về Linux, Docker, và Git/GitHub/GitLab
- Biết cách sử dụng CI/CD pipelines cơ bản với GitHub Actions, GitLab CI hoặc Jenkins
- Đã từng làm việc với hoặc triển khai ứng dụng containerized (hoặc đã học môn Containerization trong lộ trình DevOps)
- Có kiến thức cơ bản về AWS (IAM, EC2, S3) là một lợi thế
- Biết đọc file YAML, JSON, và hiểu cơ bản về hạ tầng như Terraform là một điểm cộng (không bắt buộc)
Nội dung khóa học
1. Security Essentials & DevSecOps Foundation
- Mô hình bảo mật truyền thống vs DevSecOps
- OWASP Top 10, CVE, CWE
- Tư duy “Shift Left” và Security in Layers
- Vai trò các thành viên trong DevSecOps team
2. Static Security & Secrets Scanning
- Quét mã nguồn (SAST) với Bandit, ESLint, CodeQL
- Tích hợp Git pre-commit và CI pipeline
- Secrets scanning với Gitleaks
- Quản lý false positives
3. Dependency Scanning (SCA)
- Quét thư viện: pip-audit, osv-scanner, npm audit
- Đọc hiểu CVE/CVSS và khắc phục
- Mapping với SBOM
- Kết nối với DefectDojo
4. Vulnerability Management
- Triaging & Triage workflow
- Tự động import report từ pipeline
- Sử dụng DefectDojo cho theo dõi, phân quyền xử lý
- Đo lường, theo dõi chu kỳ fix lỗi
5. Docker Security & Image Scanning
- Dockerfile best practices
- Quét image: Trivy, Grype
- Harden container runtime
- Scan ECR + báo cáo về DefectDojo
6. CI/CD Security & Secrets
- Bảo mật GitHub Actions / GitLab CI
- Protect secrets trong pipeline
- Tránh rò rỉ API token / AWS credential
- GitOps-based CD: mô hình an toàn
7. AWS IAM & Access Management
- Root User, MFA, IAM User/Role/Policy
- Quản lý quyền tối thiểu
- Kết nối CI/CD pipeline với AWS IAM Role
- AWS Systems Manager & Secure Deployment
8. Dynamic Security Testing (DAST)
- Tích hợp OWASP ZAP
- Tự động hóa quét từ CI/CD
- Tổng hợp kết quả SAST + DAST
- Cảnh báo & chặn deploy khi fail scan
9. Infrastructure as Code & Policy-as-Code
- IaC scan: tfsec, checkov
- GitOps + Terraform + remote state
- Rego / OPA / Kyverno: enforce rule
- Triển khai chính sách trong CI + GitOps
10. K8s Security, Audit & Compliance
- RBAC, NetworkPolicy, PodSecurity
- Audit log, Falco runtime detection
- Compliance scan: kube-bench, Prowler, ScoutSuite
- Mapping rule với CIS/NIST
11. Bài thực hành tổng hợp
Dự án cuối khóa: Triển khai một pipeline DevSecOps end-to-end cho ứng dụng container hóa
Mục tiêu: Từ source code đến triển khai production, học viên sẽ xây dựng pipeline có kiểm tra bảo mật tự động và tuân thủ chuẩn doanh nghiệp.
1. Source Code & CI
- Tích hợp kiểm tra mã nguồn (SAST), thư viện (SCA), secrets
- Tự động tạo báo cáo + push kết quả lên DefectDojo
2. Build & Container
- Viết Dockerfile an toàn
- Build image → Scan → Đẩy lên ECR hoặc DockerHub
- Harden container & xuất báo cáo image scan
3. IaC & Provisioning
- Viết Terraform để provision EKS cluster hoặc EC2 + S3
- Scan file Terraform
- Deploy từ GitOps + kiểm tra policy trước khi sync
4. Secrets & IAM
- Lưu secrets trong AWS Secrets Manager hoặc Vault
- Ứng dụng đọc secret qua External Secrets Operator
- IAM Role phân quyền cho app/pipeline
5. Runtime & Monitoring
- Falco phát hiện container exec shell hoặc file write
- Audit K8s API call: user nào tạo gì
- Alert → Slack/Email khi có bất thường
6. Compliance & Báo cáo
- kube-bench kiểm tra CIS Benchmark
- Tổng hợp toàn bộ log quét thành PDF/HTML
- Dashboard tổng quan DevSecOps health của hệ thống
Bài viết liên quan
