SecDevOps Modelo de seguridad para entornos ágiles y continuos
Transcript of SecDevOps Modelo de seguridad para entornos ágiles y continuos
![Page 1: SecDevOps Modelo de seguridad para entornos ágiles y continuos](https://reader030.fdocuments.es/reader030/viewer/2022020301/5859616a1a28ab6e328f6f65/html5/thumbnails/1.jpg)
SecDevOps
Modelo de seguridad en entornos ágiles y continuos
![Page 2: SecDevOps Modelo de seguridad para entornos ágiles y continuos](https://reader030.fdocuments.es/reader030/viewer/2022020301/5859616a1a28ab6e328f6f65/html5/thumbnails/2.jpg)
Índice
Motivación
¿Qué es SecDevOps?
Proceso de desarrollo
Integración, despliegue y entrega continua
Pipeline la cadena de seguridad
2
![Page 3: SecDevOps Modelo de seguridad para entornos ágiles y continuos](https://reader030.fdocuments.es/reader030/viewer/2022020301/5859616a1a28ab6e328f6f65/html5/thumbnails/3.jpg)
Motivación
![Page 4: SecDevOps Modelo de seguridad para entornos ágiles y continuos](https://reader030.fdocuments.es/reader030/viewer/2022020301/5859616a1a28ab6e328f6f65/html5/thumbnails/4.jpg)
Motivación
• Escasa documentación existente. • Mostrar un nuevo modelo de seguridad en el ciclo de
vida del desarrollo de software.
• Cambio de paradigma que suponen las metodologías ágiles de desarrollo y el despliegue continuo.
• Servir como guía para organizaciones que están pensando en adoptar SecDevOps
4
![Page 5: SecDevOps Modelo de seguridad para entornos ágiles y continuos](https://reader030.fdocuments.es/reader030/viewer/2022020301/5859616a1a28ab6e328f6f65/html5/thumbnails/5.jpg)
¿Qué es SecDevOps?
![Page 6: SecDevOps Modelo de seguridad para entornos ágiles y continuos](https://reader030.fdocuments.es/reader030/viewer/2022020301/5859616a1a28ab6e328f6f65/html5/thumbnails/6.jpg)
¿Qué es SecDevOps?
• Conjunto de metodologías, prácticas y técnicas que permiten la administración ágil y segura de todos los sistemas de una organización .
• Desarrollo, sigue el “manifiesto ágil”.
6
![Page 7: SecDevOps Modelo de seguridad para entornos ágiles y continuos](https://reader030.fdocuments.es/reader030/viewer/2022020301/5859616a1a28ab6e328f6f65/html5/thumbnails/7.jpg)
¿Qué es SecDevOps?
• Prácticas asociadas: Integración, entrega, despliegue continuo. Desarrollo guiado por pruebas o por test.
• Infraestructura definida por código. Arquitecturas Cloud.
7
![Page 8: SecDevOps Modelo de seguridad para entornos ágiles y continuos](https://reader030.fdocuments.es/reader030/viewer/2022020301/5859616a1a28ab6e328f6f65/html5/thumbnails/8.jpg)
Proceso de desarrollo
![Page 9: SecDevOps Modelo de seguridad para entornos ágiles y continuos](https://reader030.fdocuments.es/reader030/viewer/2022020301/5859616a1a28ab6e328f6f65/html5/thumbnails/9.jpg)
Proceso de desarrollo
• Tradicionalmente desarrollo en cascada (waterfall).
• Alto coste en recursos y tiempo.
9
![Page 10: SecDevOps Modelo de seguridad para entornos ágiles y continuos](https://reader030.fdocuments.es/reader030/viewer/2022020301/5859616a1a28ab6e328f6f65/html5/thumbnails/10.jpg)
Proceso de desarrollo
• Proceso continuo, metodologías ágiles, Scrum. SAFe.
• Iterativo, incremental. • Integrados seguridad, desarrollo y operaciones.
10
![Page 11: SecDevOps Modelo de seguridad para entornos ágiles y continuos](https://reader030.fdocuments.es/reader030/viewer/2022020301/5859616a1a28ab6e328f6f65/html5/thumbnails/11.jpg)
Seguridad en el Proceso de desarrollo
• Análisis de riesgos en backlog.
• Evil User Stories, Abuse Cases. • Desarrollo guiado por comportamiento (BDD). Escenarios de
seguridad. • Desarrollo guiado por pruebas (TDD). Pruebas de seguridad.
11
![Page 12: SecDevOps Modelo de seguridad para entornos ágiles y continuos](https://reader030.fdocuments.es/reader030/viewer/2022020301/5859616a1a28ab6e328f6f65/html5/thumbnails/12.jpg)
Escenarios de seguridad
12
![Page 13: SecDevOps Modelo de seguridad para entornos ágiles y continuos](https://reader030.fdocuments.es/reader030/viewer/2022020301/5859616a1a28ab6e328f6f65/html5/thumbnails/13.jpg)
Integración, despliegue y entrega continua
![Page 14: SecDevOps Modelo de seguridad para entornos ágiles y continuos](https://reader030.fdocuments.es/reader030/viewer/2022020301/5859616a1a28ab6e328f6f65/html5/thumbnails/14.jpg)
Integración, despliegue y entrega continua
• Nuevas técnicas como el pipeline, objetivo automatizar la creación de nuevas versiones de los productos, ejecutar test y generar informes.
• Integración continua: se centra principalmente en el camino que
recorre el código desde el desarrollador hasta un determinado repositorio.
14
![Page 15: SecDevOps Modelo de seguridad para entornos ágiles y continuos](https://reader030.fdocuments.es/reader030/viewer/2022020301/5859616a1a28ab6e328f6f65/html5/thumbnails/15.jpg)
Integración, despliegue y entrega continua
• Despliegue continuo: tiene como objetivo el que en caso de aparecer una nueva característica del producto o tener lugar un cambio y, a continuación, se consiga pasar de forma satisfactoria la batería de pruebas, entre ellas las de seguridad, se pueda desplegar directamente en un determinado entorno de ejecución.
• Entrega continua: se pasa a producción de forma manual una
vez que todas las pruebas y test han sido correctos.
15
![Page 16: SecDevOps Modelo de seguridad para entornos ágiles y continuos](https://reader030.fdocuments.es/reader030/viewer/2022020301/5859616a1a28ab6e328f6f65/html5/thumbnails/16.jpg)
Pipeline la cadena de seguridad
![Page 17: SecDevOps Modelo de seguridad para entornos ágiles y continuos](https://reader030.fdocuments.es/reader030/viewer/2022020301/5859616a1a28ab6e328f6f65/html5/thumbnails/17.jpg)
Pipeline, la cadena de seguridad
• El punto de partida de dicha cadena es el repositorio de código, que enlaza el desarrollo ágil con la integración continua y se nutre del código desarrollado por el equipo de trabajo.
17
![Page 18: SecDevOps Modelo de seguridad para entornos ágiles y continuos](https://reader030.fdocuments.es/reader030/viewer/2022020301/5859616a1a28ab6e328f6f65/html5/thumbnails/18.jpg)
Seguridad sobre el repositorio
• Aunque el repositorio ayuda a mantener el control de todas las versiones, SecDevOps va más allá al plantear la existencia de elementos de seguridad extra que garanticen la confidencialidad y la integridad.
18
![Page 19: SecDevOps Modelo de seguridad para entornos ágiles y continuos](https://reader030.fdocuments.es/reader030/viewer/2022020301/5859616a1a28ab6e328f6f65/html5/thumbnails/19.jpg)
Inicio flujo pipeline
19
![Page 20: SecDevOps Modelo de seguridad para entornos ágiles y continuos](https://reader030.fdocuments.es/reader030/viewer/2022020301/5859616a1a28ab6e328f6f65/html5/thumbnails/20.jpg)
Pruebas de seguridad dentro del Pipeline
20
![Page 21: SecDevOps Modelo de seguridad para entornos ágiles y continuos](https://reader030.fdocuments.es/reader030/viewer/2022020301/5859616a1a28ab6e328f6f65/html5/thumbnails/21.jpg)
Despliegue en diferentes entornos
21
![Page 22: SecDevOps Modelo de seguridad para entornos ágiles y continuos](https://reader030.fdocuments.es/reader030/viewer/2022020301/5859616a1a28ab6e328f6f65/html5/thumbnails/22.jpg)
Varios Pipelines
22
![Page 23: SecDevOps Modelo de seguridad para entornos ágiles y continuos](https://reader030.fdocuments.es/reader030/viewer/2022020301/5859616a1a28ab6e328f6f65/html5/thumbnails/23.jpg)
Administración seguridad desde un SOC
23
![Page 24: SecDevOps Modelo de seguridad para entornos ágiles y continuos](https://reader030.fdocuments.es/reader030/viewer/2022020301/5859616a1a28ab6e328f6f65/html5/thumbnails/24.jpg)
Próximos Pasos
![Page 25: SecDevOps Modelo de seguridad para entornos ágiles y continuos](https://reader030.fdocuments.es/reader030/viewer/2022020301/5859616a1a28ab6e328f6f65/html5/thumbnails/25.jpg)
Próximos pasos
• Herramientas: especificas de seguridad que se integren en Pipelines para realizar ciertos test de seguridad.
• Control: marco de control específico para SecDevOps,
especialmente si se adopta por organizaciones fuertemente reguladas, que requieren la supervisión todos sus procesos.
• SecDevOps en COBIT: modelo para alinear SecDevOps con los
objetivos de control para tecnologías de la información que plantea COBIT, asegurando su correcta implementación.
25
![Page 26: SecDevOps Modelo de seguridad para entornos ágiles y continuos](https://reader030.fdocuments.es/reader030/viewer/2022020301/5859616a1a28ab6e328f6f65/html5/thumbnails/26.jpg)
SecDevOps
Modelo de seguridad en entornos ágiles y continuos