DevSecOps Webinar

Tenchi Security confidential and proprietary. Unauthorized disclosure, reproduction or other use prohibited.Tenchi Security confidential and proprietary. Unauthorized disclosure, reproduction or other use prohibited.
Webinar Segurança de DevOps
Alexandre Sieira
Founder @ Tenchi Security
asieira@tenchisecurity.com
@AlexandreSieira
Carolina Bozza
Regional Sales Director LatAm
carolina.bozza@aquasec.com
@CarolBozza

Tenchi Security confidential and proprietary. Unauthorized disclosure, reproduction or other use prohibited.
Introdução à Segurança de DevOps
2
Alexandre Sieira
Founder @ Tenchi Security
asieira@tenchisecurity.com
@AlexandreSieira

Agenda
1. Waterfall
2. Agile
3. DevOps
4. DevSecOps
5. CI/CD
6. Containers
7. Serverless
3

4
Waterfall
Modelos tradicionais de gestão de
projetos e processos corporativos:
• Planejamento prévio minucioso;
• Dependência na capacidade de prever
o futuro para minimizar custos trazidos
por mudanças;
• Preponderância de processos sobre
pessoas;
• Diversos pontos de aprovação manuais;
• Entendimento de soma zero entre
velocidade e robustez.
Alta % de atrasos, custos excedidos e
falhas de desenvolvimento de software.

5
Agile

7
DevOps
DevOps is a set of practices that combines software development
(Dev) and information-technology operations (Ops) which aims to
shorten the systems development life cycle and provide continuous
delivery with high software quality.

DevOps
“(…) companies such as
CapitalOne that report
deploying up to 50
times per day for a
product, or companies
such as Amazon,
Google, and Netflix
that deploy thousands
of times per day
(aggregated over the
hundreds of services
that comprise their
production
environments).”
https://services.google.com/fh/files/misc/state-of-devops-2019.pdf

Se segurança for o gargalo, anulará os benefícios
trazidos para o negócio por DevOps.
Segurança precisa se adaptar, e suportar estes
ganhos mudando a forma como atua.
9

DevOps
“As in previous years, our highest
performers do significantly better on
all four measures, and low
performers do significantly worse in
all areas.”
“(…) availability measures are
significantly correlated with software
delivery performance profiles, and
elite and high performers
consistently reported superior
availability, with elite performers
being 1.7 times more likely to have
strong availability practices.”
https://services.google.com/fh/files/misc/state-of-devops-2019.pdf

DevOps https://services.google.com/fh/files/misc/state-of-devops-2019.pdf

DevOps https://info.veracode.com/report-state-of-software-security-volume-10.html

13
DevSecOps https://www.nist.gov/system/files/documents/director/planning/report02-3.pdf
SHIFT LEFT

Requisitos Design Código Teste Operação
14
DevSecOps
Requisitos de
segurança e
compliance como
parte de requisitos de
negócios.
Threat modeling.
Segurança incorporada
à arquitetura.
Modelo D.I.E. –
distributed, immutable,
ephemeral.
Mais threat modeling.
Produtos de segurança
integrados à IDE e
ferramentas do
desenvolvedor.
Code review e stand-
ups com time de
segurança.
Uso de biblioteca,
templates de IaC e
produtos desenvolvidos
/ mantidos por
segurança.
Uso de CI para rodar
SAST, DAST, VA, CWPP,
CSPM, etc.
Testes baseados em
requisitos de
segurança.
Testes de regressão
baseado em resultados
de incidentes ou pen-
tests.
Dev e Ops envolvidos
durante e em blameless
post-mortems de
incidentes.
Uso de CD para
minimizar privilégios.
VA, CWPP, CSPM, etc.

Tenha desenvolvedores no time, escreva e mantenha código de
segurança.
15
Participe de todos os ritos e passos do desenvolvimento.
Produtos precisam ter APIs e se integrar no pipeline de CI/CD.
Dev e Ops precisam ser envolvidos, estar qualificados para e se
tornar responsáveis pela segurança.
Evite a todo custo parar o pipeline, preserve a velocidade.

16
CI/CD
A solução de CI/CD costuma ser um forte concentrador de
risco:
• Frequentemente instalada e operada por times de
desenvolvedores sem background em operações ou
segurança;
• Considerada “interna” e portanto não exposta a
atacantes;
• Acesso a todos os repositórios de código;
• Acesso de escrita a ambientes para deploy.
Histórico de segurança de projetos open source como
Jenkins não é exatamente fantástica.

DevSecOps

Containers

Serverless

Tenchi Security confidential and proprietary. Unauthorized disclosure, reproduction or other use prohibited.Tenchi Security confidential and proprietary. Unauthorized disclosure, reproduction or other use prohibited.
Perguntas?
20

Material de Referência
Controlled Chaos - The Inevitable Marriage of DevOps & Security
Kelly Shortridge (@swagitda_)
https://youtu.be/GxN4Y2as-OM
Security Learns to Sprint – DevSecOps
Tanya Janca (@shehackspurple)
https://youtu.be/g3wCiEEiZmI
Black Hat USA 2019 Keynote: Every Security Team is a Software Team Now
Dino Dai Zovi (@dinodaizovi)
https://youtu.be/8armE3Wz0jk

© 2018 Aqua Security Software Ltd., All Rights Reserved
CWPP & CSPM
Como garantir a segurança de suas
aplicações em nuvem
Carolina Bozza
Sales LATAM @ Aqua Security
Carolina.Bozza@aquasec.com

“Até 2022, mais de 75% das organizações
globais estarão rodando aplicações
conteinerizadas em produção”
Gartner, Best Practices for Running Containers and Kubernetes in Production

CSPM
CWPP
CASB
Visão do Gartner sobre segurança em nuvem,
Cloud Access
Security
Brokers
Cloud Security
Posture
Management
Cloud Workload
Protection
Platforms

”Garantir as melhores práticas de
segurança e compliance para sua IaaS,
detectando falhas de configurações,
detecção e visibilidade sobre os maiores
riscos de sua arquitetura, baseando-se
em frameoworks conhecidos,
requerimentos regulatórios e políticas
corporativas”
CSPM DEFINIÇÃO

CSPM - Funcionalidades n Scans Periódicos
n Relatórios de Compliance
§ PASS / FAIL
§ PCI, CIS, ...
n Visibilidade
n Painel de Riscos
n Eventos em tempo real
§ Consumo / Proliferação Descontrolada
§ Login / Mudança de pwd
§ Novas instâncias
n Integrações
§ Slack / SIEM / Outros

Modelo de Responsabilidade Compartilhada

https://cloud.aquasec.com/signup

n Visibilidade e controle
§ Independente da localidade
§ Máquinas físicas e virtuais
§ Containers, Serveless Workloads, Funções
n Proteção contra ataque
§ Segmentação de Rede
§ Proteção da Integridade do Sistema
§ Monitoramento comportamental
§ Controle das aplicações
CWPP DEFINIÇÃO – Cloud Workload Protection Platform

Build Infrastructure Workloads
As três principais frentes da SEGURANÇA DE
CLOUD NATIVE APPS:

Build
CLOUD NATIVE APPS:
n Application Assurance
§ Vulnerabilidades
§ Remediar / Aceitar
§ Mitigar – Virtual Patching
§ Malware
§ Más Configurações
§ Dados sensíveis
§ Senhas / Chaves / Secrets
§ Análise dinâmica de imagens
§ Sandboxing

Infrastructure
CLOUD NATIVE APPS:
n Cluster, Orquestrador e Nuvem:
§ Configurações de Segurança
§ Vulnerabilidades
§ Missing Patches
§ Controle de Acesso
§ Alertas em tempo real

Workloads
CLOUD NATIVE APPS:
n Atividade Maliciosa
n Prevenção de Intrusão
n Segmentação
n Whitelist Comportamental
n Drift Prevention
§ Garantia da Imutabilidade
n Auditoria de eventos
n Visibilidade de Riscos

Garantia de
Imutabilidade
Original
Image
Observed
Behavior
Least Priv.
Profile
û
û
ûû
û
û
û
û
û
û
û
û
û
û
û
ûûûûûû
ûûû
û û
û û
ContainerContainerImage Container
bin
user
etc
bin
user
etc
?
=
Whitelisting via Análise
comportamental

Micro-Segmentação / Vaulting
BUSCA
BANCO DE
DADOS PAGAMENTO
𝗫

Projetos Open source - github.com/aquasecurity/
Image vulnerability scanner Cloud Security Posture Management
CIS benchmark for K8S K8S penetration-testing

Aquasec.com > resources > webinar
Webinar AQUA
5 de Maio
Às 13h

DevSecOps Webinar

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a DevSecOps Webinar

Semelhante a DevSecOps Webinar (20)

Mais de Tenchi Security

Mais de Tenchi Security (9)

DevSecOps Webinar