O documento discute containers, DevOps e segurança na nuvem. Primeiro define containers, DevOps e segurança na nuvem, e apresenta alguns números sobre o crescimento de DevOps. Em seguida, discute como containers e DevOps estão relacionados e como orquestrar containers com Docker. Por fim, fornece dicas de segurança para containers, DevOps e nuvem.
4. DevOps CE
Palestrante:About
u MBA em Gerenciamento de Projetos de TI – FFB;
u Bacharel em Engenharia Elétrica – UFC;
u Tecnológo em Telemática – FIC/Estácio;
u Técnico em Informática Industrial – ETFCE/CEFET-CE/IFCE;
u 2x CCIE (Routing & Switching, Service Provider), CISSP;
u VCIX-NV (VMware NSX), MCSE Cloud Platform, VCP6-DCV, JNCIA-
Cloud, ITIL v3;
u Criador do Blog itHarley;
u Áreas de especialidade: Cyber Security, Data Center, Cloud
Computing, Routing & Switching, Service Provider;
u Colaborador regular das revistas PenTest Magazine e Hakin9;
u Arquiteto de Cloud Computing e Cyber Security na HX Brasil;
u Palestrante de temas diversos em Tecnologia da Informação;
u Mais de 20 anos de experiência em TI.
4
6. DevOps CE
Definições Gerais
u Containers
u Aplicações em espaços isolados de execução;
u Compartilhamento do kernel do sistema operacional à otimização dos recursos.
u DevOps
u A interação perfeita entre desenvolvedores e administradores de sistemas;
u Ferramentas, abordagens e comportamentos.
u Cloud Security
u Muitas aplicações rodam em algum ambiente de nuvem (privada, híbrida ou pública);
u Medidas, metodologias e softwares para desenvolver, testar e proteger as aplicações.
6
8. DevOps CE
Alguns Números (cont.)
u 2017 State of DevOps Report
u Tanto faz se o software é COTS (de prateleira) ou personalizado;
u Segundo Martin Fowler, Chief Scientst da ThoughtWorks, é importante definir se um
projeto é estratégico ou de utilidade geral.
u Software estratégico é aquele que trará um impacto direto para o negócio;
u Possui, necessariamente, uma diferenciação.
u Se não há diferenciação, é melhor instalar um pacote do que fazer o “build” de
uma solução própria;
u Em 2014, 16% das empresas tinham DevOps;
u Em 2017, o número subiu para 27%.
8
10. DevOps CE
Alguns Números (cont.)
u Em 2015, o Gartner fez uma previsão de que em 2016, DevOps deixaria de ser
um conceito restrito a grandes provedores de nuvem;
u 25% das 2000 maiores empresas do mundo adotam as metodologias;
u Forbes Global 2000
u Nomes como Apple, Shell, JP Morgan, entre outros.
10
14. DevOps CE
Atores de DevOps
u Segundo o TechBeacon, idealmente, estes profissionais precisam estar numa
empresa interessada em implementar DevOps:
1. Evangelista de DevOps: defende a ideia, apresentando argumentos para adoção
dela na TI e junto à diretoria;
2. Gerente de Release: coordena e gerencia os projetos e produtos da organização;
3. Arquiteto de Automação: projeta, implementa e analisa estratégias de
Continuous Deployment;
4. Desenvolvedor/Testador: cria e testa o código;
5. Profissional de XA (Experience Assurance: monitora a liberação de novos
releases e prioriza a experiência do usuário;
6. Engenheiro de Segurança: coordena as ações com outros membros da equipe
para garantir que a segurança esteja em todo o processo.
14
15. DevOps CE
Containers e DevOps
u Uso de container não obriga nenhuma metodologia DevOps;
u O uso de DevOps também não significa a necessidade de empregar containers.
15
18. DevOps CE
Dicas de Segurança
u Em relação a containers
u Cuidado com a exposição do socket/daemon do Docker para além do necessário;
u Para executar containers na nuvem, você pode optar por hyper.sh, ou ainda
efetivar proteções específicas da orquestração, como o Kubelet ou a API do
Kubernetes. Preocupe-se com autenticação e autorização;
u Proteja o etcd, use criptografia forte nos dados em trânsito e em repouso;
u Usa apenas imagens confiáveis/conhecidas no Dockerfile.
18
19. DevOps CE
Dicas de Segurança (cont.)
u As 10 boas práticas da Veracode para desenvolvimento seguro:
1. Verificar segurança antes, durante e após o release;
2. Parametrizar Queries;
3. Codificar dados;
4. Validar todas as entradas;
5. Implementar controles de identidade e autenticação;
6. Implementar controles de acesso;
7. Proteger dados;
8. Implementar Logging e Detecção de Intrusão;
9. Aproveitar Frameworks e Bibliotecas de Segurança;
10. Monitorar erros e tratar exceções.
19
20. DevOps CE
Cloud Security
u Modelo de responsabilidade dividida
u O provedor protege a infraestrutura;
u Você protege sua aplicação, VMs, containers e seus dados;
u Você pode pagar por serviços opcionais para lhe ajudar;
u Opcionalmente, procure serviços de containers em nuvens, ou use uma PaaS.
u Proteja seu pipeline com criptografia em trânsito, em repouso, e mecanismos seguros de
autenticação;
u Observe e pratique o princípio de least privilege;
u Se estiver implantando API, aplique controles cabíveis e use SEMPRE certificados digitais;
u Insira metodologias de testes estáticos (SAST) e dinâmicos (DAST)
u Testes estáticos atuam sobre o código-fonte da aplicação;
u Testes dinâmicos são conduzidos com a aplicação em funcionamento.
u Informe-se sobre o Secure SCRUM e leia o SDL (Secure Development Lifecycle da Microsoft.
20