PDF de programación - SecDevOps Modelo de seguridad en entornos ágiles y continuos

SecDevOps

Modelo de seguridad en

entornos ágiles y continuos

Índice

Motivación
¿Qué es SecDevOps?
Proceso de desarrollo
Integración, despliegue y entrega continua
Pipeline la cadena de seguridad



2

Motivación

Motivación

• Escasa documentación existente.

• Mostrar un nuevo modelo de seguridad en el ciclo de

vida del desarrollo de software.


• Cambio de paradigma que suponen las metodologías

ágiles de desarrollo y el despliegue continuo.


• Servir como guía para organizaciones que están

pensando en adoptar SecDevOps


4

¿Qué es SecDevOps?

¿Qué es SecDevOps?

• Conjunto de metodologías, prácticas y técnicas que permiten la

administración ágil y segura de todos los sistemas de una
organización .


• Desarrollo, sigue el “manifiesto ágil”.



6

¿Qué es SecDevOps?

• Prácticas asociadas:

 Integración, entrega, despliegue continuo.
 Desarrollo guiado por pruebas o por test.

Infraestructura definida por código. Arquitecturas Cloud.

•



7

Proceso de desarrollo

Proceso de desarrollo

• Tradicionalmente desarrollo en cascada (waterfall).



• Alto coste en recursos y tiempo.



9

Proceso de desarrollo

• Proceso continuo, metodologías ágiles, Scrum. SAFe.



•
•



Iterativo, incremental.
Integrados seguridad, desarrollo y operaciones.

10

Seguridad en el Proceso de desarrollo

• Análisis de riesgos en backlog.



• Evil User Stories, Abuse Cases.

• Desarrollo guiado por comportamiento (BDD). Escenarios de

seguridad.

• Desarrollo guiado por pruebas (TDD). Pruebas de seguridad.



11

Escenarios de seguridad

12

Integración, despliegue y

entrega continua

Integración, despliegue y entrega continua

• Nuevas técnicas como el pipeline, objetivo automatizar la

creación de nuevas versiones de los productos, ejecutar test y
generar informes.


•



Integración continua: se centra principalmente en el camino que
recorre el código desde el desarrollador hasta un determinado
repositorio.


14

Integración, despliegue y entrega continua

• Despliegue continuo: tiene como objetivo el que en caso de

aparecer una nueva característica del producto o tener lugar un
cambio y, a continuación, se consiga pasar de forma satisfactoria
la batería de pruebas, entre ellas las de seguridad, se pueda
desplegar directamente en un determinado entorno de
ejecución.


• Entrega continua: se pasa a producción de forma manual una

vez que todas las pruebas y test han sido correctos.



15

Pipeline la cadena

de seguridad

Pipeline, la cadena de seguridad

• El punto de partida de dicha cadena es el repositorio de código,

que enlaza el desarrollo ágil con la integración continua y se
nutre del código desarrollado por el equipo de trabajo.

17

Seguridad sobre el repositorio

• Aunque el repositorio ayuda a mantener el control de todas las

versiones, SecDevOps va más allá al plantear la existencia de
elementos de seguridad extra que garanticen la confidencialidad
y la integridad.

18

Inicio flujo pipeline

19

Pruebas de seguridad dentro del Pipeline

20

Despliegue en diferentes entornos

21

Varios Pipelines

22

Administración seguridad desde un SOC

23

Próximos Pasos

Próximos pasos

• Herramientas: especificas de seguridad que se integren en

Pipelines para realizar ciertos test de seguridad.


•


•



Control: marco de control específico para SecDevOps,
especialmente si se adopta por organizaciones fuertemente
reguladas, que requieren la supervisión todos sus procesos.

SecDevOps en COBIT: modelo para alinear SecDevOps con los
objetivos de control para tecnologías de la información que
plantea COBIT, asegurando su correcta implementación.

25

SecDevOps

Modelo de seguridad en

entornos ágiles y continuos