Publicado el 11 de Septiembre del 2017
830 visualizaciones desde el 11 de Septiembre del 2017
593,8 KB
26 paginas
Creado hace 8a (25/06/2015)
SecDevOps
Modelo de seguridad en
entornos ágiles y continuos
Índice
Motivación
¿Qué es SecDevOps?
Proceso de desarrollo
Integración, despliegue y entrega continua
Pipeline la cadena de seguridad
2
Motivación
Motivación
• Escasa documentación existente.
• Mostrar un nuevo modelo de seguridad en el ciclo de
vida del desarrollo de software.
• Cambio de paradigma que suponen las metodologías
ágiles de desarrollo y el despliegue continuo.
• Servir como guía para organizaciones que están
pensando en adoptar SecDevOps
4
¿Qué es SecDevOps?
¿Qué es SecDevOps?
• Conjunto de metodologías, prácticas y técnicas que permiten la
administración ágil y segura de todos los sistemas de una
organización .
• Desarrollo, sigue el “manifiesto ágil”.
6
¿Qué es SecDevOps?
• Prácticas asociadas:
Integración, entrega, despliegue continuo.
Desarrollo guiado por pruebas o por test.
Infraestructura definida por código. Arquitecturas Cloud.
•
7
Proceso de desarrollo
Proceso de desarrollo
• Tradicionalmente desarrollo en cascada (waterfall).
• Alto coste en recursos y tiempo.
9
Proceso de desarrollo
• Proceso continuo, metodologías ágiles, Scrum. SAFe.
•
•
Iterativo, incremental.
Integrados seguridad, desarrollo y operaciones.
10
Seguridad en el Proceso de desarrollo
• Análisis de riesgos en backlog.
• Evil User Stories, Abuse Cases.
• Desarrollo guiado por comportamiento (BDD). Escenarios de
seguridad.
• Desarrollo guiado por pruebas (TDD). Pruebas de seguridad.
11
Escenarios de seguridad
12
Integración, despliegue y
entrega continua
Integración, despliegue y entrega continua
• Nuevas técnicas como el pipeline, objetivo automatizar la
creación de nuevas versiones de los productos, ejecutar test y
generar informes.
•
Integración continua: se centra principalmente en el camino que
recorre el código desde el desarrollador hasta un determinado
repositorio.
14
Integración, despliegue y entrega continua
• Despliegue continuo: tiene como objetivo el que en caso de
aparecer una nueva característica del producto o tener lugar un
cambio y, a continuación, se consiga pasar de forma satisfactoria
la batería de pruebas, entre ellas las de seguridad, se pueda
desplegar directamente en un determinado entorno de
ejecución.
• Entrega continua: se pasa a producción de forma manual una
vez que todas las pruebas y test han sido correctos.
15
Pipeline la cadena
de seguridad
Pipeline, la cadena de seguridad
• El punto de partida de dicha cadena es el repositorio de código,
que enlaza el desarrollo ágil con la integración continua y se
nutre del código desarrollado por el equipo de trabajo.
17
Seguridad sobre el repositorio
• Aunque el repositorio ayuda a mantener el control de todas las
versiones, SecDevOps va más allá al plantear la existencia de
elementos de seguridad extra que garanticen la confidencialidad
y la integridad.
18
Inicio flujo pipeline
19
Pruebas de seguridad dentro del Pipeline
20
Despliegue en diferentes entornos
21
Varios Pipelines
22
Administración seguridad desde un SOC
23
Próximos Pasos
Próximos pasos
• Herramientas: especificas de seguridad que se integren en
Pipelines para realizar ciertos test de seguridad.
•
•
Control: marco de control específico para SecDevOps,
especialmente si se adopta por organizaciones fuertemente
reguladas, que requieren la supervisión todos sus procesos.
SecDevOps en COBIT: modelo para alinear SecDevOps con los
objetivos de control para tecnologías de la información que
plantea COBIT, asegurando su correcta implementación.
25
SecDevOps
Modelo de seguridad en
entornos ágiles y continuos
Comentarios de: SecDevOps Modelo de seguridad en entornos ágiles y continuos (0)
No hay comentarios