Post on 20-Dec-2016
SecDevOps
Modelo de seguridad en entornos ágiles y continuos
Índice
Motivación
¿Qué es SecDevOps?
Proceso de desarrollo
Integración, despliegue y entrega continua
Pipeline la cadena de seguridad
2
Motivación
Motivación
• Escasa documentación existente. • Mostrar un nuevo modelo de seguridad en el ciclo de
vida del desarrollo de software.
• Cambio de paradigma que suponen las metodologías ágiles de desarrollo y el despliegue continuo.
• Servir como guía para organizaciones que están pensando en adoptar SecDevOps
4
¿Qué es SecDevOps?
¿Qué es SecDevOps?
• Conjunto de metodologías, prácticas y técnicas que permiten la administración ágil y segura de todos los sistemas de una organización .
• Desarrollo, sigue el “manifiesto ágil”.
6
¿Qué es SecDevOps?
• Prácticas asociadas: Integración, entrega, despliegue continuo. Desarrollo guiado por pruebas o por test.
• Infraestructura definida por código. Arquitecturas Cloud.
7
Proceso de desarrollo
Proceso de desarrollo
• Tradicionalmente desarrollo en cascada (waterfall).
• Alto coste en recursos y tiempo.
9
Proceso de desarrollo
• Proceso continuo, metodologías ágiles, Scrum. SAFe.
• Iterativo, incremental. • Integrados seguridad, desarrollo y operaciones.
10
Seguridad en el Proceso de desarrollo
• Análisis de riesgos en backlog.
• Evil User Stories, Abuse Cases. • Desarrollo guiado por comportamiento (BDD). Escenarios de
seguridad. • Desarrollo guiado por pruebas (TDD). Pruebas de seguridad.
11
Escenarios de seguridad
12
Integración, despliegue y entrega continua
Integración, despliegue y entrega continua
• Nuevas técnicas como el pipeline, objetivo automatizar la creación de nuevas versiones de los productos, ejecutar test y generar informes.
• Integración continua: se centra principalmente en el camino que
recorre el código desde el desarrollador hasta un determinado repositorio.
14
Integración, despliegue y entrega continua
• Despliegue continuo: tiene como objetivo el que en caso de aparecer una nueva característica del producto o tener lugar un cambio y, a continuación, se consiga pasar de forma satisfactoria la batería de pruebas, entre ellas las de seguridad, se pueda desplegar directamente en un determinado entorno de ejecución.
• Entrega continua: se pasa a producción de forma manual una
vez que todas las pruebas y test han sido correctos.
15
Pipeline la cadena de seguridad
Pipeline, la cadena de seguridad
• El punto de partida de dicha cadena es el repositorio de código, que enlaza el desarrollo ágil con la integración continua y se nutre del código desarrollado por el equipo de trabajo.
17
Seguridad sobre el repositorio
• Aunque el repositorio ayuda a mantener el control de todas las versiones, SecDevOps va más allá al plantear la existencia de elementos de seguridad extra que garanticen la confidencialidad y la integridad.
18
Inicio flujo pipeline
19
Pruebas de seguridad dentro del Pipeline
20
Despliegue en diferentes entornos
21
Varios Pipelines
22
Administración seguridad desde un SOC
23
Próximos Pasos
Próximos pasos
• Herramientas: especificas de seguridad que se integren en Pipelines para realizar ciertos test de seguridad.
• Control: marco de control específico para SecDevOps,
especialmente si se adopta por organizaciones fuertemente reguladas, que requieren la supervisión todos sus procesos.
• SecDevOps en COBIT: modelo para alinear SecDevOps con los
objetivos de control para tecnologías de la información que plantea COBIT, asegurando su correcta implementación.
25
SecDevOps
Modelo de seguridad en entornos ágiles y continuos