A Tenchi Security tem o prazer de convidá-lo para um evento da série de Security and Cloud. O formato é uma sequência de webinars para profissionais de operações, desenvolvimento, tecnologia e segurança da informação, dependendo do tema do webinar.
Nesta 1ª edição temos apoio da Aqua Security e iremos tratar do tema segurança de DevOps em ambientes de nuvem. Serão discutidos o uso de alta freqüência de deployment, pipelines de CI/CD, e o uso de containers ou adoção de aplicações serverless no contexto corporativo. Em especial, quais os benefícios para o negócio, os riscos à segurança da informação e os controles que o mercado tem adotado para mitigá-los.
O evento terá duração de 1 hora, sendo:
* 25 min - Apresentação de Segurança de DevOps por Alexandre Sieira, Fundador da da Tenchi Security;
* 25 min - Apresentação de Soluções de Segurança de Aplicativos Cloud Native por Carolina Bozza, Regional Sales Director da Aqua Security; e
* 10 min – Dúvidas e respostas.
Gravação do webinar pode ser assistida em https://youtu.be/ac339gAqtj4
1. Tenchi Security confidential and proprietary. Unauthorized disclosure, reproduction or other use prohibited.Tenchi Security confidential and proprietary. Unauthorized disclosure, reproduction or other use prohibited.
Webinar Segurança de DevOps
Alexandre Sieira
Founder @ Tenchi Security
asieira@tenchisecurity.com
@AlexandreSieira
Carolina Bozza
Regional Sales Director LatAm
carolina.bozza@aquasec.com
@CarolBozza
2. Tenchi Security confidential and proprietary. Unauthorized disclosure, reproduction or other use prohibited.
Introdução à Segurança de DevOps
2
Alexandre Sieira
Founder @ Tenchi Security
asieira@tenchisecurity.com
@AlexandreSieira
3. Tenchi Security confidential and proprietary. Unauthorized disclosure, reproduction or other use prohibited.
Agenda
1. Waterfall
2. Agile
3. DevOps
4. DevSecOps
5. CI/CD
6. Containers
7. Serverless
3
4. Tenchi Security confidential and proprietary. Unauthorized disclosure, reproduction or other use prohibited.
4
Waterfall
Modelos tradicionais de gestão de
projetos e processos corporativos:
• Planejamento prévio minucioso;
• Dependência na capacidade de prever
o futuro para minimizar custos trazidos
por mudanças;
• Preponderância de processos sobre
pessoas;
• Diversos pontos de aprovação manuais;
• Entendimento de soma zero entre
velocidade e robustez.
Alta % de atrasos, custos excedidos e
falhas de desenvolvimento de software.
5. Tenchi Security confidential and proprietary. Unauthorized disclosure, reproduction or other use prohibited.
5
Agile
6. Tenchi Security confidential and proprietary. Unauthorized disclosure, reproduction or other use prohibited.
7
DevOps
DevOps is a set of practices that combines software development
(Dev) and information-technology operations (Ops) which aims to
shorten the systems development life cycle and provide continuous
delivery with high software quality.
7. Tenchi Security confidential and proprietary. Unauthorized disclosure, reproduction or other use prohibited.
DevOps
“(…) companies such as
CapitalOne that report
deploying up to 50
times per day for a
product, or companies
such as Amazon,
Google, and Netflix
that deploy thousands
of times per day
(aggregated over the
hundreds of services
that comprise their
production
environments).”
https://services.google.com/fh/files/misc/state-of-devops-2019.pdf
8. Tenchi Security confidential and proprietary. Unauthorized disclosure, reproduction or other use prohibited.
Se segurança for o gargalo, anulará os benefícios
trazidos para o negócio por DevOps.
Segurança precisa se adaptar, e suportar estes
ganhos mudando a forma como atua.
9
9. Tenchi Security confidential and proprietary. Unauthorized disclosure, reproduction or other use prohibited.
DevOps
“As in previous years, our highest
performers do significantly better on
all four measures, and low
performers do significantly worse in
all areas.”
“(…) availability measures are
significantly correlated with software
delivery performance profiles, and
elite and high performers
consistently reported superior
availability, with elite performers
being 1.7 times more likely to have
strong availability practices.”
https://services.google.com/fh/files/misc/state-of-devops-2019.pdf
10. Tenchi Security confidential and proprietary. Unauthorized disclosure, reproduction or other use prohibited.
DevOps https://services.google.com/fh/files/misc/state-of-devops-2019.pdf
11. Tenchi Security confidential and proprietary. Unauthorized disclosure, reproduction or other use prohibited.
DevOps https://info.veracode.com/report-state-of-software-security-volume-10.html
12. Tenchi Security confidential and proprietary. Unauthorized disclosure, reproduction or other use prohibited.
13
DevSecOps https://www.nist.gov/system/files/documents/director/planning/report02-3.pdf
SHIFT LEFT
13. Tenchi Security confidential and proprietary. Unauthorized disclosure, reproduction or other use prohibited.
Requisitos Design Código Teste Operação
14
DevSecOps
Requisitos de
segurança e
compliance como
parte de requisitos de
negócios.
Threat modeling.
Segurança incorporada
à arquitetura.
Modelo D.I.E. –
distributed, immutable,
ephemeral.
Mais threat modeling.
Produtos de segurança
integrados à IDE e
ferramentas do
desenvolvedor.
Code review e stand-
ups com time de
segurança.
Uso de biblioteca,
templates de IaC e
produtos desenvolvidos
/ mantidos por
segurança.
Uso de CI para rodar
SAST, DAST, VA, CWPP,
CSPM, etc.
Testes baseados em
requisitos de
segurança.
Testes de regressão
baseado em resultados
de incidentes ou pen-
tests.
Dev e Ops envolvidos
durante e em blameless
post-mortems de
incidentes.
Uso de CD para
minimizar privilégios.
VA, CWPP, CSPM, etc.
14. Tenchi Security confidential and proprietary. Unauthorized disclosure, reproduction or other use prohibited.
Tenha desenvolvedores no time, escreva e mantenha código de
segurança.
15
Participe de todos os ritos e passos do desenvolvimento.
Produtos precisam ter APIs e se integrar no pipeline de CI/CD.
Dev e Ops precisam ser envolvidos, estar qualificados para e se
tornar responsáveis pela segurança.
Evite a todo custo parar o pipeline, preserve a velocidade.
15. Tenchi Security confidential and proprietary. Unauthorized disclosure, reproduction or other use prohibited.
16
CI/CD
A solução de CI/CD costuma ser um forte concentrador de
risco:
• Frequentemente instalada e operada por times de
desenvolvedores sem background em operações ou
segurança;
• Considerada “interna” e portanto não exposta a
atacantes;
• Acesso a todos os repositórios de código;
• Acesso de escrita a ambientes para deploy.
Histórico de segurança de projetos open source como
Jenkins não é exatamente fantástica.
16. Tenchi Security confidential and proprietary. Unauthorized disclosure, reproduction or other use prohibited.
DevSecOps
17. Tenchi Security confidential and proprietary. Unauthorized disclosure, reproduction or other use prohibited.
Containers
18. Tenchi Security confidential and proprietary. Unauthorized disclosure, reproduction or other use prohibited.
Serverless
19. Tenchi Security confidential and proprietary. Unauthorized disclosure, reproduction or other use prohibited.Tenchi Security confidential and proprietary. Unauthorized disclosure, reproduction or other use prohibited.
Perguntas?
20
20. Tenchi Security confidential and proprietary. Unauthorized disclosure, reproduction or other use prohibited.
Material de Referência
Controlled Chaos - The Inevitable Marriage of DevOps & Security
Kelly Shortridge (@swagitda_)
https://youtu.be/GxN4Y2as-OM
Security Learns to Sprint – DevSecOps
Tanya Janca (@shehackspurple)
https://youtu.be/g3wCiEEiZmI
Black Hat USA 2019 Keynote: Every Security Team is a Software Team Now
Dino Dai Zovi (@dinodaizovi)
https://youtu.be/8armE3Wz0jk
22. “Até 2022, mais de 75% das organizações
globais estarão rodando aplicações
conteinerizadas em produção”
Gartner, Best Practices for Running Containers and Kubernetes in Production
23. CSPM
CWPP
CASB
Visão do Gartner sobre segurança em nuvem,
Cloud Access
Security
Brokers
Cloud Security
Posture
Management
Cloud Workload
Protection
Platforms
24. ”Garantir as melhores práticas de
segurança e compliance para sua IaaS,
detectando falhas de configurações,
detecção e visibilidade sobre os maiores
riscos de sua arquitetura, baseando-se
em frameoworks conhecidos,
requerimentos regulatórios e políticas
corporativas”
CSPM DEFINIÇÃO
25. CSPM - Funcionalidades n Scans Periódicos
n Relatórios de Compliance
§ PASS / FAIL
§ PCI, CIS, ...
n Visibilidade
n Painel de Riscos
n Eventos em tempo real
§ Consumo / Proliferação Descontrolada
§ Login / Mudança de pwd
§ Novas instâncias
n Integrações
§ Slack / SIEM / Outros
28. n Visibilidade e controle
§ Independente da localidade
§ Máquinas físicas e virtuais
§ Containers, Serveless Workloads, Funções
n Proteção contra ataque
§ Segmentação de Rede
§ Proteção da Integridade do Sistema
§ Monitoramento comportamental
§ Controle das aplicações
CWPP DEFINIÇÃO – Cloud Workload Protection Platform
30. Build
As três principais frentes da SEGURANÇA DE
CLOUD NATIVE APPS:
n Application Assurance
§ Vulnerabilidades
§ Remediar / Aceitar
§ Mitigar – Virtual Patching
§ Malware
§ Más Configurações
§ Dados sensíveis
§ Senhas / Chaves / Secrets
§ Análise dinâmica de imagens
§ Sandboxing
31. Infrastructure
As três principais frentes da SEGURANÇA DE
CLOUD NATIVE APPS:
n Cluster, Orquestrador e Nuvem:
§ Configurações de Segurança
§ Vulnerabilidades
§ Missing Patches
§ Controle de Acesso
§ Alertas em tempo real
32. Workloads
As três principais frentes da SEGURANÇA DE
CLOUD NATIVE APPS:
n Atividade Maliciosa
n Prevenção de Intrusão
n Segmentação
n Whitelist Comportamental
n Drift Prevention
§ Garantia da Imutabilidade
n Auditoria de eventos
n Visibilidade de Riscos