SecDevOps

Modelo de seguridad en entornos ágiles y continuos

Índice

Motivación

¿Qué es SecDevOps?

Proceso de desarrollo

Integración, despliegue y entrega continua

Pipeline la cadena de seguridad

2

Motivación

Motivación

• Escasa documentación existente. • Mostrar un nuevo modelo de seguridad en el ciclo de

vida del desarrollo de software.

• Cambio de paradigma que suponen las metodologías ágiles de desarrollo y el despliegue continuo.

• Servir como guía para organizaciones que están pensando en adoptar SecDevOps

4

¿Qué es SecDevOps?

¿Qué es SecDevOps?

• Conjunto de metodologías, prácticas y técnicas que permiten la administración ágil y segura de todos los sistemas de una organización .

• Desarrollo, sigue el “manifiesto ágil”.

6

¿Qué es SecDevOps?

• Prácticas asociadas: Integración, entrega, despliegue continuo. Desarrollo guiado por pruebas o por test.

• Infraestructura definida por código. Arquitecturas Cloud.

7

Proceso de desarrollo

Proceso de desarrollo

• Tradicionalmente desarrollo en cascada (waterfall).

• Alto coste en recursos y tiempo.

9

Proceso de desarrollo

• Proceso continuo, metodologías ágiles, Scrum. SAFe.

• Iterativo, incremental. • Integrados seguridad, desarrollo y operaciones.

10

Seguridad en el Proceso de desarrollo

• Análisis de riesgos en backlog.

• Evil User Stories, Abuse Cases. • Desarrollo guiado por comportamiento (BDD). Escenarios de

seguridad. • Desarrollo guiado por pruebas (TDD). Pruebas de seguridad.

11

Escenarios de seguridad

12

Integración, despliegue y entrega continua

Integración, despliegue y entrega continua

• Nuevas técnicas como el pipeline, objetivo automatizar la creación de nuevas versiones de los productos, ejecutar test y generar informes.

• Integración continua: se centra principalmente en el camino que

recorre el código desde el desarrollador hasta un determinado repositorio.

14

Integración, despliegue y entrega continua

• Despliegue continuo: tiene como objetivo el que en caso de aparecer una nueva característica del producto o tener lugar un cambio y, a continuación, se consiga pasar de forma satisfactoria la batería de pruebas, entre ellas las de seguridad, se pueda desplegar directamente en un determinado entorno de ejecución.

• Entrega continua: se pasa a producción de forma manual una

vez que todas las pruebas y test han sido correctos.

15

Pipeline la cadena de seguridad

Pipeline, la cadena de seguridad

• El punto de partida de dicha cadena es el repositorio de código, que enlaza el desarrollo ágil con la integración continua y se nutre del código desarrollado por el equipo de trabajo.

17

Seguridad sobre el repositorio

• Aunque el repositorio ayuda a mantener el control de todas las versiones, SecDevOps va más allá al plantear la existencia de elementos de seguridad extra que garanticen la confidencialidad y la integridad.

18

Inicio flujo pipeline

19

Pruebas de seguridad dentro del Pipeline

20

Despliegue en diferentes entornos

21

Varios Pipelines

22

Administración seguridad desde un SOC

23

Próximos Pasos

Próximos pasos

• Herramientas: especificas de seguridad que se integren en Pipelines para realizar ciertos test de seguridad.

• Control: marco de control específico para SecDevOps,

especialmente si se adopta por organizaciones fuertemente reguladas, que requieren la supervisión todos sus procesos.

• SecDevOps en COBIT: modelo para alinear SecDevOps con los

objetivos de control para tecnologías de la información que plantea COBIT, asegurando su correcta implementación.

25

SecDevOps

Modelo de seguridad en entornos ágiles y continuos