Lộ Trình Học DevSecOps Từ Zero
Bạn nghe nói đến DevSecOps nhưng không biết bắt đầu từ đâu? Đây là bản đồ con đường gồm 8 chặng, từ người mới đến DevSecOps Engineer.
Chặng 1 — Linux & Terminal
Tại sao cần? Mọi server, container, và security tool đều chạy trên Linux. Không biết dùng terminal = bị mù trong 90% công việc DevSecOps.
Học gì:
- Lệnh cơ bản:
ls,grep,find,chmod,ps,netstat - File permissions, process management, environment variables
- Shell scripting cơ bản
Tài nguyên miễn phí: Linux Journey · OverTheWire Bandit (học bằng cách chơi game hacking)
Chặng 2 — Git & Scripting
Tại sao cần? DevSecOps sống trong code. Git là ngôn ngữ chung của cả team. Python/Bash để tự động hóa mọi thứ từ scan đến deploy.
Học gì:
- Git: commit, branch, merge, pull request,
.gitignore - Python cơ bản: đọc file, gọi API, xử lý JSON, viết script
- Bash: vòng lặp, điều kiện, pipe, redirect
Tip: Tạo GitHub cá nhân ngay hôm nay. Commit code mỗi ngày portfolio tự hình thành theo thời gian.
Chặng 3 — Cloud
Tại sao cần? Hầu hết workload hiện đại sống trên cloud. Hiểu cách cloud vận hành tạo VM, IAM, network, storage, encryption là nền tảng để triển khai và bảo mật mọi thứ phía sau.
Học gì:
- AWS: IAM least-privilege, VPC, EC2/S3, KMS, Security Hub
- GCP: project hierarchy, Workload Identity, Security Command Center
- Azure: Entra ID, Defender for Cloud
- Cloud posture scan: Prowler, ScoutSuite
Tip: Bắt đầu với 1 cloud thật vững (thường là AWS) rồi mở rộng. Chứng chỉ nền tốt: AWS Solutions Architect Associate, hoặc AWS Security Specialty cho hướng DevSecOps.
Chặng 4 — CI/CD Pipeline
Tại sao cần? DevSecOps = tích hợp security vào pipeline tự động. Không biết CI/CD thì không biết cắm tool bảo mật vào đâu.
Học gì:
- Jenkins/GitHub Actions: viết workflow YAML, trigger, job, step, artifact
- Hiểu luồng: code push → test → build → deploy
- Chạy linter, test tự động khi có PR
Thực hành: Tạo 1 repo, viết workflow tự động chạy pytest hoặc eslint mỗi khi push code.
Chặng 5 — Docker & Kubernetes
Tại sao cần? 90%+ workload hiện đại chạy trên container. Container là bước ngoặt lớn trong việc triển khai phần mềm.
Học gì:
- Docker: build image, chạy container, viết
Dockerfiletối ưu - Kubernetes: Pod, Deployment, Service, RBAC, NetworkPolicy
- Scan image với Trivy:
trivy image myapp:latest
Tip: KillerCoda có lab K8s miễn phí, chạy thẳng trên browser — không cần cài đặt gì.
Chặng 6 — Security
Đây là trái tim của toàn bộ lộ trình. Tích hợp bảo mật vào mọi giai đoạn:
| Loại | Tool phổ biến | Tìm gì? |
|---|---|---|
| SAST | Sonarqube, CodeQL | Lỗi trong source code |
| SCA | Trivy, Snyk | Thư viện/dependency có CVE |
| Secret Scan | Gitleaks, TruffleHog | API key, password bị lộ trong code |
| DAST | OWASP ZAP, Acunetix | Lỗ hổng khi app đang chạy |
| IaC Scan | Checkov, tfsec | Misconfiguration trong Terraform/Helm |
Thực hành ngay: Thêm Semgrep + TruffleHog vào GitHub Actions pipeline từ chặng 4. Chỉ cần thêm 2 step YAML là xong.
Chặng 7 — IaC & Secret Management
Tại sao cần? Hardcode secret trong code = thảm họa chờ xảy ra. Infrastructure phải được code hóa, version hóa, và scan tự động.
Học gì:
- Terraform: viết infrastructure as code, plan/apply/destroy
- HashiCorp Vault: lưu trữ và inject secret an toàn vào app
- OPA / Kyverno: policy as code — tự động enforce rule trong K8s
Tip: Vault Associate certification là điểm khởi đầu tốt và được công nhận rộng rãi trong ngành.
Chặng 8 — Observability
Tại sao cần? Bảo mật mà không quan sát được = mù trong production. Khi có sự cố, observability giúp bạn biết chuyện gì đang xảy ra, ở đâu, và ai bị ảnh hưởng — trước khi nó leo thang.
Học gì:
- Prometheus: metric collection, PromQL, alerting rule
- Grafana: dashboard, visualisation, on-call integration
- Logging tập trung: ELK Stack hoặc Loki
- Tracing: OpenTelemetry, Jaeger
Thực hành: Cắm Prometheus + Grafana vào K8s cluster từ chặng 5, dựng dashboard theo dõi pod restart, CPU/memory và alert khi có hành vi bất thường.
Đích đến — DevSecOps Engineer
Sau 8 chặng, bạn có thể:
- Build CI/CD pipeline với đầy đủ security gate tự động
- Scan code, container, và IaC trước khi lên production
- Quản lý secret an toàn, không hardcode bao giờ
- Enforce policy tự động trong Kubernetes cluster
Nâng cao tiếp theo:
- Runtime security: Falco (phát hiện hành vi bất thường trong container)
- Compliance: CIS Benchmarks, SBOM generation
- Chaos engineering: LitmusChaos, Chaos Mesh
- AI/ML security: model supply chain, prompt-injection defence
Bí quyết quan trọng nhất: Đừng học lý thuyết thuần túy. Mỗi chặng, hãy build một thứ gì đó thật — dù chỉ là một script nhỏ hay một pipeline đơn giản. Roadmap chỉ có giá trị khi bạn đặt chân lên từng cột mốc.