SlideShare uma empresa Scribd logo
1 de 46
Baixar para ler offline
Стачка 2017 ptsecurity.com
Валерий Боронин
SecDevOps.
Разработка,
DevOps и
Безопасность.
Регламент 35 мин
Вопросы и ответы –
в конце
Герои справа нам
встретятся позже
• В разработке и R&D более 20 лет, помню Windows 3.1
• Достиг определенных высот разработчиком режима ядра
под Windows (до 2009)
• В безопасности с прошлого тысячелетия ;-)
• Работал CTO небольшой компании (30+ человек)
• Директором по исследованиям большой (Лаборатория
Касперского, 2500+ человек, 2009-2014)
• Сейчас отвечаю за направление безопасной
разработки (SDL / SSDL) в Позитиве.
• Мы с командой создаем новый продукт по
автоматизации безопасной разработки.
Валерий Боронин, linkedin.com/in/boronin
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 3
Time to Value
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 4
“Все, чем мы занимаемся, – это следим за временем между
размещением заказа потребителем и получением денег за
выполненную работу. Мы сокращаем этот промежуток
времени, устраняя потери, которые не добавляют ценности“
- Тайити Óно, основатель Toyota Production System, 1988
Что такое DevOps? Wiki
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 5
Source: https://en.wikipedia.org/wiki/DevOps
Что такое DevOps? Gartner
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 6
DevSecOps: How to Seamlessly Integrate Security Into DevOps
Что такое DevOps? AWS
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 7
Source: https://aws.amazon.com/ru/devops/what-is-devops/
«DevOps – это сочетание культурных принципов, подходов и средств, которое
повышает способность компаний создавать приложения и сервисы на высокой
скорости.
Благодаря такой скорости компании могут повысить уровень обслуживания
клиентов и более эффективно конкурировать на рынке.»
Что такое DevOps?
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 8
DevOps
“I guess in a nutshell the way we use DevOps
would be the intersection of development, IT
operations, and QA. One of the things we do
is we have rapid release cycles. There is just
this constant movement of things through
the whole SDLC from conception to release.”
– App manager
Source: HP study App Sec and DevOps
Качество – не то, что можно поправить в конце
Безопасность – это как качество
Особенно AppSec (защищенный код и т.п.)
Попутно заметим: можем использовать
Безопасность для измерения Качества
•Потому что хотя
• Не все вопросы качества связаны с безопасностью
• Все проблемы безопасности связаны с качеством
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 9
И о качестве замолвите слово
Что такое SDL / безопасная
разработка?
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 10
https://www.slideshare.net/ValeryBoronin/sdlssdl-69670799https://www.slideshare.net/ValeryBoronin/2016-61855208
SecDevOps (Securing DevOps)
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 11
Secured
DevOps
ИБ архитекторы должны интегрировать
безопасность в нескольких точках в
рабочие процессы DevOps
совместным образом, что
в значительной степени прозрачно
для разработчиков и сохраняет
коллективную работу, гибкость и скорость
DevOps и гибких сред разработки,
предоставляя SecDevOps.
• Выпуск очень частых, но небольших инкрементальных обновлений + Микросервисы =
• значительно растет число развертываний  релизов  в ответ на это
• CI и CD – позволяют доставлять обновления быстро, безопасно и надежно
• Методики автоматизации инфраструктуры – инфраструктура как код и управление
конфигурациями – помогают поддерживать гибкость вычислительных ресурсов и
адаптироваться к частым изменениям
• А мониторинг и ведение журналов позволяют инженерам отслеживать эффективность
приложений и инфраструктуры, чтобы быстро реагировать на проблемы
• Вместе дает более быстрые и более надежные обновления для клиентов.
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 12
Задачи DevOps
Задача 2: более важная и сложная, через три слайда.
Задача 1: быстрее внедрять инновации путем автоматизации и оптимизации
процессов разработки ПО и управления инфраструктурой.
Изучай оффлайн
1. Основное внимание
уделяется всей экосистеме
2. все, что используется для
получения кода 
приложений в руки
пользователей, находится
в сфере действия
Сфера действия DevOps
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 13
• Обещания DevOps повысить безопасность
приложений основаны на убеждении, что
безопасность должна быть частью
DevOps, а не отдельной функцией. Т.е.
быть встроенной.
• HP: 99% согласны, что внедрение культуры
DevOps дает возможность повысить
безопасность приложений. Кроме того,
ожидается, что приложения будут
выпущены с уровнем безопасности,
который соответствует целям организации,
чтобы обеспечить защиту не только ПО и
клиентов, но и самой организации.
Source: HP study App Sec and DevOps
1. DevOps - это операционная среда, которая
способствует обеспечению согласованности и
стандартизации ПО с помощью
автоматизации.
2. Основное внимание уделяется использованию
автоматизации для значительного улучшения
сборки, тестирования и развертывания.
3. Скрипты создают организационную память в
автоматизированные процессы, чтобы
уменьшить человеческую ошибку и обеспечить
согласованность.
Автоматизация и DevOps
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 14
Автоматизация - это ключ к решению повторяющихся задач - сокращение ошибок
человека и предоставление людям возможности решать более сложные задачи.
• Скорость
• Быстрая доставка
• Надежность
• Масштабирование
• Оптимизированная
совместная работа
• Безопасность*
* Только если SecDevOps
Companies that practice DevOps have
reported significant benefits, including:
•significantly shorter time to market
•improved customer satisfaction
•better product quality
•more reliable releases, improved
productivity and efficiency,
•and the increased ability to build the
right product by fast experimentation.
Преимущества DevOps
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 15
Задача 2: сделать процесс разработки и поставки ПО
согласованным с эксплуатацией при поддержке
автоматических средств.
Согласованная работа этих групп — главный вызов
(и главный приз) от внедрения (adoption) DevOps на
уровне Предприятия.
Эффективная совместная работа становится
приоритетом.
И о культуре – Лебедь, Рак,
Щука
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 16
Эксплуатация — нацелены на общую стабильность
Разработчики — нацелены на изменения, новый код
QA — нацелены на снижение риска
Лебедь, Рак, Щука как их
видит HP
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 17
“We found that the key factor hindering security adoption within DevOps is organizational barriers. ” – HP study
1. DevOps обещает взаимодействие Разработки, Операций и QA, но
нередко команды по безопасности даже не упоминаются в
разговорах
2. Dev & IT Ops заботятся о безопасности, но им кажется, что тут
1) или все под контролем
2) или это чья-то еще тема
3. Security чувствуют себя изолированными от Dev & Ops, где многие
даже не знают своих специалистов по ИБ
4. Практически всегда development, operations и security группы имеют
совершенно раздельную отчетность (reporting line)
5. Это все приводит к разделению между безопасностью и разработкой,
с различными метриками и несогласованными приоритетами
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 18
Идентифицируем барьеры
• Меньше ошибаемся
• Скорость и эффективность
• Узкие места (через 2 слайда) +
• Взаимодействие и общение (тоже)
• Техдолг и «fix-it-first»
• Метрики и измерения
• Безопасность*
* Только если SecDevOps
Какие проблемы решаем
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 19
Сначала дорога, потом вождение;
Cначала инструменты, потом ими
строим дом;
Сначала планируем и пишем
тесты, потом код;
Сначала тех долг и все, что
замедляет работу или снижает
качество, потом добавляем новые
возможности – философия DevOps
Сначала думаем – потом делаем*
*из золотых правил моего подразделения ;-)
Устройте вечером мытье посуды так:
1.Один моет
2.Второй протирает
3.Третий расставляет
Ясная коммуникация и
четкая цель – рулят
Координация и мытье посуды
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 20
DevOps – A new mode of intense
collaboration between dev and ops (team)
for the same goals.
1. Developer commits change to Git or merges ‘feature branch’ into master
2. Build server, detects commit and:
i) Clones repo, checks out branch
ii) Builds app
iii) Run Unit Tests and Quality/SAST tools (Static Application Security Tests)
iv) Deploy app
v) Run Integration tests and Performance/DAST tools (Dynamic Application Security Tests)
3. Pre-live servers (and QA container’s host)
i) Deploy app to pre-live environment
ii) Run more Integration and security Tests
4. Live servers (and live container’s host)
i) Deploy app to an live container
ii) Run and schedule smoke tests (with updated tests from original commit)
iii) Deploy (in regular intervals) to multiple audiences
a) only developers and business owners
b) 1% low impact users, then 10%, 25%, 50% and 100% of low impact users
c) 1% high profile users, then 10%, 25%, 50% and 100% of high impact users
(this workflow applies for all ‘push to prod changes’, ideally the smaller the better)
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 21
DevOps workflow – моем
посуду
Source: Dinis Cruz
Изучай оффлайн
• …
• Узкие места
• Взаимодействие и общение
• …
Расшиваем узкие места
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 22
Time To
Value
Степень автоматизации.
Автоматизируй это!
В каждой шутке – доля шутки!
КВН НГУ, 1989
ptsecurity.com
DevOps -> SecDevOps
1. ИБ тормоз перестройки Соответствие DevOps – главная забота
ИТ-лидеров, но информационная безопасность рассматривается
как ингибитор гибкости DevOps
2. Не все общаются через API Инфраструктура безопасности
отстает в своей способности стать software-defined и
программируемой, что затрудняет автоматическую и прозрачную
интеграцию элементов управления безопасностью в рабочие
процессы в стиле DevOps
3. Не тащите в рот каку Современные приложения в основном
«собраны», а не разработаны, и разработчики часто загружают и
используют известные уязвимые компоненты и фреймворки с
открытым исходным кодом
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 24
Key Challenges – Gartner
Gartner: DevSecOps: How to Seamlessly Integrate Security Into DevOps, 30 Sep 2016
Изучай оффлайн
1. К 2019 году более 70% инициатив DevOps будут включать в себя
automated security vulnerability and configuration scanning для oss-
компонентов и коммерческих пакетов, по сравнению с менее чем
10% в 2016 году.
2. К 2019 году более 50% инициатив DevOps будут включать
тестирование безопасности приложений (AST) для
пользовательского кода, по сравнению с менее чем 10% в 2016
году.
3. К 2019 году более 60% инициатив DevOps будут использовать
более продвинутое управление версиями и средствами
автоматизации инфраструктуры, по сравнению с менее чем 5% в
2016 году.
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 25
Gartner – К чему готовиться в
2019?
Gartner: DevSecOps: How to Seamlessly Integrate Security Into DevOps, 30 Sep 2016
1) All teams will henceforth expose their data and
functionality through service interfaces.
2) Teams must communicate with each other through these
interfaces.
3) There will be no other form of interprocess communication
allowed: no direct linking, no direct reads of another team’s
data store, no shared-memory model, no back-doors
whatsoever. The only communication allowed is via service
interface calls over the network.
4) It doesn’t matter what technology they use. HTTP, Corba,
Pubsub, custom protocols — doesn’t matter.
5) All service interfaces, without exception, must be designed
from the ground up to be externalizable. That is to say, the
team must plan and design to be able to expose the interface to
developers in the outside world. No exceptions.
Anyone who doesn’t do this will be fired. Thank you;
have a nice day! Source
Bezos’s (Amazon) 2002 decree
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 26
Изучай оффлайн
Контроли безопасности должны быть программируемыми и
автоматизированными
•Требуйте 100% функциональности через API
•Поддержка инструментальных средств DevOps, Chef, Puppet и
аналогичные средства автоматизации
•Поддержка контейнеров и систем управления ими (которые не
являются необходимыми для SecDevOps, но помогают упростить
доставку услуг из разработки в производство)
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 27
1 API
Контроль доступа и RBAC обеспечивают Разделение обязанностей
•AD & LDAP – человек в ед. числе, учетка должна быть тоже везде одна
•Все инструменты должны быть интегрированы с AD & LDAP. Политики
безопасности применяются в инструментах. Весь доступ к
инструментам и их действия контролируются
•Определите и назначьте различные требуемые роли для разработки и
производства. В идеале, ни один человек напрямую не касается живого
окружения, кроме как через скрипты и API
•Обяжите команду разработки отвечать и контролировать изменения
своего продукта на основе «доверяй, но проверяй». Проверка с
помощью журналов аудита и репозиториев, таких как Git – назначайте
ответственных периодически отсматривать активность, меняйте их
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 28
2 IAM + RBAC для SoD
• Обучайте разработчиков навыкам безопасного кодирования и написанию
resilent кода, который проверяет и обеззараживает ввод, и блокирует общие
типовые атаки, такие как переполнение буфера, SQL-инъекция и XSS
• Требования безопасности должны быть. И должны быть неотъемлемой
частью планирования как самого приложения, так и процесса разработки
• Разработайте простой инструмент оценки рисков и моделирования угроз,
внедряйте его как часть процесса планирования и проектирования
• Отталкивайтесь в моделировании угроз от рисков приложения
• Приложения, обрабатывающие конфиденциальные данные или
непосредственно обращающиеся в Интернет, должны требовать более
глубокого моделирования угроз совместно с ИБшниками
• Данные, используемые в разработке для тестирования – маскируйте,
деперсонализируйте или синтезируйте. Не используйте конфиденциальные
производственные данные!
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 29
3 Оценка рисков и
моделирование угроз
• Планируйте автоматизацию всех статических и динамических инструментов. Не
заставляйте разработчиков покидать их любимое окружение и инструменты
• Статанализаторы и динамические анализаторы с инкрементальным анализом
предпочтительнее
• Примите нереальность отсутствия уязвимостей. Лучше использовать анализаторы от
которых меньше поток ложных срабатываний и т.п., разработчиков фокусируйте на
исправлении сначала с наивысшей степенью серьезности и наивысшей степенью
уязвимости
• Сделайте правило не пропускать код с известными критическими уязвимостями в
продакшн. Уязвимости, которые представляют более низкие уровни риска, могут быть
или не быть устранены в будущих итерациях. Нужны подходы, которые позволяют
выявлять и принимать управляемый риск
• Работа с менеджерами DevOps для измерения и мотивации команд разработчиков для
создания кода с меньшим количеством уязвимостей. Сделать метрики безопасности
частью показателей качества кода и привлечь разработчиков к ответственности
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 30
4 Анализируй свой код, Apps,
API, все
• Приоритет выявлению OSS компонент и сканированию на
уязвимости в разработке
• Сканируйте все приложения, образы, виртуальные машины и
контейнеры, используемые в разработке на предмет неизвестных,
встроенных или уязвимых компонентов OSS в ОС, платформе и в
самом приложении
• "OSS firewall", чтобы заранее, проактивно предотвращать загрузку
разработчиками известного уязвимого кода из Maven, GitHub и
других репозиториев кода OSS, по правилам
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 31
5 Важно! OSS и конфигурации в
Dev
• В процессы DevOps вносите автоматическое сканирование
содержимого всех образов системы, включая базовую ОС,
платформу приложений и все контейнеры на известные
уязвимости и проблемы конфигурации в рамках CI
• Определите политику не позволять выпускать из разработки что-
либо с известными критическими уязвимостями
• Требуйте от разработчиков удаления ненужных модулей и
доведения всех систем до лучших отраслевых стандартов
• Интегрируйтесь с антивирусными сканерами и антималварью,
чтобы не заносить чего-нибудь в процессе разработки
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 32
6 Выявляем уязвимое и
ненужное
• Убедитесь, что команды DevOps внедрили правильные методы
контроля версий и инструменты, поддерживают четкую подотчетность
(accountability) и отслеживаемость (traceability) для всего, что
развернуто в живой среде
• Расширяйте возможности средств контроля версий и
автоматизированных средств развертывания до конфигурирования
конфигураций, конфигурирования инфраструктуры и мониторинга
• Используйте сценарии автоматизации для развертывания в
промежуточной среде для финальных тестов (может быть
автоматизированным тестом в продвинутых DevOps)
• Сканируйте на предмет ошибок и забывчивости – речь про
встроенные учетные данные, забытые ключи шифрования, ключи API
и т. д., представляющее значительный и предотвращаемый риск
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 33
7 Что еще очень ценного в
хозяйстве
• Включайте везде контроль целостности при загрузке, в т.ч. с
аппаратной поддержкой, в т.ч. гипервизора и ОС
• Храните виртуальные машины в покое, в зашифрованном виде, со
съемом контрольной суммы, если виртуальные машины
используются в рабочем процессе DevSecOps. Убедитесь в
отсутствии подделки при загрузке
• Используйте систему управления контейнерами (если
используются контейнеры), которая поддерживает хэширование
или другие методы для измерения и проверки целостности
системы при загрузке
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 34
8 Целостность и контроль
загрузки
• Отключайте антивирусную проверку на основе сигнатур времени
выполнения и внедряйте модель белого списка на серверах, т.к.
антивирусное сканирование практически не влияет на хорошо
управляемые серверы и является пустой тратой ресурсов в среде
SecDevOps
• Автоматическая настройка белых списков из декларативных
источников цепочки инструментов и контейнеров DevOps
• если используются контейнеры, используйте те, что с поддержкой
белых списков
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 35
9 Белые списки в продакшне
• Chaos Monkey
• Chaos Gorilla
• Chaos Kon
• Latency Monkey
NETFLIX SIMIAN ARMY
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 36
https://github.com/Netflix/SimianArmy
Outage 2014:
Out of our 2700+ production Cassandra nodes, 218 were
rebooted. 22 Cassandra nodes did not reboot successfully.
• Conformity Monkey
• Security Monkey
• Doctor Monkey
• Janitor Monkey
• Повсеместный мониторинг критически важных приложений –
отслеживайте вход / выход пользователей, транзакции,
взаимодействия, сетевую и системную активность и т.п.
• Используйте данные мониторинга для определения базовых линий
нормального поведения для приложения с целью выявления
значимых отклонений. Делитесь данными мониторинга в DevOps
или продуктовых группах, командах платформ и командах центров
безопасности (SOC), поскольку необычная активность может быть
вызвана сбоем оборудования, сбоем программного обеспечения,
ошибкой, угрозой изнутри или атакой
• Используйте автоматическое развертывание обманных служб для
приманки и более легкой идентификации злоумышленников
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 37
10 Предполагай худшее. Оживай
резво.
ИБ Архитекторы должны сотрудничать с командами DevOps для:
•Ограничить изменения только автоматическими средствами и
сценариями. Отключить удаленное администрирование с помощью
SSH и RDP – для принудительного доступа через API и скрипты
•Принять зафиксированную инфраструктуру (где это возможно) и
автоматизировать все изменения в среде с использованием рабочих
процессов в стиле SecDevOps. Устаревшее добро должно постепенно
заменяться более новым. Автоматизированным и системным образом
•Использовать системы управления привилегированным доступом в
редких случаях, когда необходим прямой административный доступ
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 38
11 Lock Down инфраструктуры
• Контейнеры имеют общую ОС, поэтому ОС обеспечивает
изоляцию, а не Гипервизор
• Без использования дополнительных инструментов сетевой трафик
виден всем размещенным контейнерам, совместно использующим
одну и ту же ОС
• Успешная атака на уровне ядра ОС компрометирует все
контейнеры
• Именно поэтому рекомендуют использовать контейнеры с учетом
уровней доверия – не смешивайте разработку, тестирование и
продакшн
• Используйте гипервизоры или физическое разделение, когда
требуется более сильная изоляция
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 39
12 Контейнеры и
Безопасность
ptsecurity.com
Хозяйке на заметку
От лучших собаководов
▸ Тестирование, управление зависимостями и визуализация вебсервисов – особое внимание
▸ берем одну известную уязвимость и рефакторим весь код в отдельный модуль (микросервис)
▸ включалкивыключалки фич, чтобы можно было использовать на живых системах
▸ полностью независимый стек для разработки, тестирования и продакшна
▸ контейнеры для разработки, тестирования и продакшна
▸ добавить активностей связанных с безопасностью (SDL)
▸ Моделирование угроз
▸ ревью на безопасность и соблюдение стандартов защищенного кодирования
▸ Автоматические тесты на безопасность в QA (от юнит до интеграционных)
100% покрытие
▸ Автоматическое отображение (mapping) поверхности атаки и документирование
▸ помощь независимых экспертов по ИБ снаружи
▸ Мониторинг и визуализация происходящего в продакшне
▸ Готовиться к инцидентам и отражению атак надо заранее
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 41
Source: Dinis Cruz
SecDevOps рекомендуют
▸ Автоматизируйте CI и CD
▸ Быстро разворачивайте и восстанавливайте
▸ Отслеживайте и визуализируйте все
▸ Используйте контейнеры в продакшне
▸ Ежедневные множественные деплои
▸ Kanban workflow
▸ Low WIP (work-in-progress) count и андоны
▸ Улучшайте покрытие тестирования и качество тестовых API
▸ Реалтаймовые юнит тесты и покрытие в IDE
▸ SecDevOps Pipeline
▸ определяйте изменения sensitive кода (trigger secure code review)
▸ автоматическое развертывание of air-gapped QA sites
(with surrogate dependencies for external components)
▸ автоматический запуск статического анализа и динамического анализа
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 42
Source: Dinis Cruz
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 43
Отличная цитата под финал
«Принятие процесса DevOps может помочь сделать приложения более безопасными,
поскольку среда разработки и производства построена таким же образом и с теми же
стандартами безопасности и тестирования.
Однако для этого требуется обязательство по всей организации установить
приоритет безопасности и включать в себя более автоматизированные решения для
тестирования, которые упрощают сбор информации в режиме реального времени и
устранение уязвимостей на протяжении всего процесса разработки»
John Meakin—Burberry, Group Information Security Officer
Партизанским методом - не взлетит
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 44
Обязательное условие успеха
SecDevOps, как и SDL – не бесплатен – нужны время, бюджет, твердое
обязательство руководства гарантировать приоритет безопасности.
Нужна поддержка первых лиц
АРХИВАЖНО: Без SDL – не
взлетит!
15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 45
Secured
DevOps
…if they weren’t very good at securing the SDLC before, the move to DevOps alone
is not going to solve the problem.
https://www.slideshare.net/ValeryBoronin/2016-61855208
ptsecurity.com

Mais conteúdo relacionado

Mais procurados

Основы оценки размера проекта методом функциональных точек
Основы оценки размера проекта методом функциональных точекОсновы оценки размера проекта методом функциональных точек
Основы оценки размера проекта методом функциональных точекSvetlana Mukhina ICP, -ATF, -BVA, - ACC, PSM I, CSPO
 
Agile Days 2015 Управление рисками как инструмент PO
Agile Days 2015 Управление рисками как инструмент POAgile Days 2015 Управление рисками как инструмент PO
Agile Days 2015 Управление рисками как инструмент PORiskGap
 
You are hacked? How contact with press?
You are hacked? How contact with press?You are hacked? How contact with press?
You are hacked? How contact with press?Aleksey Lukatskiy
 
Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Alexey Evmenkov
 
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...UISGCON
 
Полугодовой отчет по безопасности Cisco, 2015
 Полугодовой отчет по безопасности Cisco, 2015 Полугодовой отчет по безопасности Cisco, 2015
Полугодовой отчет по безопасности Cisco, 2015Cisco Russia
 
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасностиАльтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасностиAleksey Lukatskiy
 
Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаAleksey Lukatskiy
 
Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБAleksey Lukatskiy
 
Киберучения по ИБ для топ-менеджмента
Киберучения по ИБ для топ-менеджментаКиберучения по ИБ для топ-менеджмента
Киберучения по ИБ для топ-менеджментаAleksey Lukatskiy
 
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...Aleksey Lukatskiy
 
Agile. Эвридики
Agile. Эвридики Agile. Эвридики
Agile. Эвридики Valery Khvatov
 
Анализ тенденций рынка информационной безопасности
Анализ тенденций рынка информационной безопасностиАнализ тенденций рынка информационной безопасности
Анализ тенденций рынка информационной безопасностиAleksey Lukatskiy
 
Информационная безопасность на базе open source: есть ли смысл?
Информационная безопасность на базе open source: есть ли смысл?Информационная безопасность на базе open source: есть ли смысл?
Информационная безопасность на базе open source: есть ли смысл?Aleksey Lukatskiy
 
Дискуссионная панель по SIEM на PHDays VI
Дискуссионная панель по SIEM на PHDays VIДискуссионная панель по SIEM на PHDays VI
Дискуссионная панель по SIEM на PHDays VIAleksey Lukatskiy
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБAlexey Evmenkov
 
ИБ-игрища "А что если..."
ИБ-игрища "А что если..."ИБ-игрища "А что если..."
ИБ-игрища "А что если..."Aleksey Lukatskiy
 
Эволюция управления зависимостями в коде
Эволюция управления зависимостями в кодеЭволюция управления зависимостями в коде
Эволюция управления зависимостями в кодеAlexander Byndyu
 
Agile Talks: Scrum Cookbook. Применение вне ИТ-сферы
Agile Talks: Scrum Cookbook. Применение вне ИТ-сферыAgile Talks: Scrum Cookbook. Применение вне ИТ-сферы
Agile Talks: Scrum Cookbook. Применение вне ИТ-сферыLuxoftAgilePractice
 

Mais procurados (20)

Основы оценки размера проекта методом функциональных точек
Основы оценки размера проекта методом функциональных точекОсновы оценки размера проекта методом функциональных точек
Основы оценки размера проекта методом функциональных точек
 
Agile Days 2015 Управление рисками как инструмент PO
Agile Days 2015 Управление рисками как инструмент POAgile Days 2015 Управление рисками как инструмент PO
Agile Days 2015 Управление рисками как инструмент PO
 
You are hacked? How contact with press?
You are hacked? How contact with press?You are hacked? How contact with press?
You are hacked? How contact with press?
 
Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.
 
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
 
пр Лучшие практики SOC
пр Лучшие практики SOCпр Лучшие практики SOC
пр Лучшие практики SOC
 
Полугодовой отчет по безопасности Cisco, 2015
 Полугодовой отчет по безопасности Cisco, 2015 Полугодовой отчет по безопасности Cisco, 2015
Полугодовой отчет по безопасности Cisco, 2015
 
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасностиАльтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
 
Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасника
 
Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБ
 
Киберучения по ИБ для топ-менеджмента
Киберучения по ИБ для топ-менеджментаКиберучения по ИБ для топ-менеджмента
Киберучения по ИБ для топ-менеджмента
 
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
 
Agile. Эвридики
Agile. Эвридики Agile. Эвридики
Agile. Эвридики
 
Анализ тенденций рынка информационной безопасности
Анализ тенденций рынка информационной безопасностиАнализ тенденций рынка информационной безопасности
Анализ тенденций рынка информационной безопасности
 
Информационная безопасность на базе open source: есть ли смысл?
Информационная безопасность на базе open source: есть ли смысл?Информационная безопасность на базе open source: есть ли смысл?
Информационная безопасность на базе open source: есть ли смысл?
 
Дискуссионная панель по SIEM на PHDays VI
Дискуссионная панель по SIEM на PHDays VIДискуссионная панель по SIEM на PHDays VI
Дискуссионная панель по SIEM на PHDays VI
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБ
 
ИБ-игрища "А что если..."
ИБ-игрища "А что если..."ИБ-игрища "А что если..."
ИБ-игрища "А что если..."
 
Эволюция управления зависимостями в коде
Эволюция управления зависимостями в кодеЭволюция управления зависимостями в коде
Эволюция управления зависимостями в коде
 
Agile Talks: Scrum Cookbook. Применение вне ИТ-сферы
Agile Talks: Scrum Cookbook. Применение вне ИТ-сферыAgile Talks: Scrum Cookbook. Применение вне ИТ-сферы
Agile Talks: Scrum Cookbook. Применение вне ИТ-сферы
 

Semelhante a SecDevOps. Разработка, DevOps и безопасность.

Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...
Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...
Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...KazHackStan
 
Игорь Леонтьев, Lead Architect on all Blockchain projects of Viseo group
Игорь Леонтьев, Lead Architect on all Blockchain projects of Viseo groupИгорь Леонтьев, Lead Architect on all Blockchain projects of Viseo group
Игорь Леонтьев, Lead Architect on all Blockchain projects of Viseo groupAlina Vilk
 
Организация процессов разработки – введение в Microsoft alm final
Организация процессов разработки – введение в Microsoft alm finalОрганизация процессов разработки – введение в Microsoft alm final
Организация процессов разработки – введение в Microsoft alm finalMicrosoft
 
ALM Roadshow Организация процессов разработки – введение в Microsoft ALM/DevOps
ALM Roadshow Организация процессов разработки – введение в Microsoft ALM/DevOpsALM Roadshow Организация процессов разработки – введение в Microsoft ALM/DevOps
ALM Roadshow Организация процессов разработки – введение в Microsoft ALM/DevOpsMicrosoft
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityPositive Hack Days
 
Devops: от заката до рассвета
Devops: от заката до рассветаDevops: от заката до рассвета
Devops: от заката до рассветаAlexander Titov
 
Ответственность за качество в разных ИТ-проектах
Ответственность за качество в разных ИТ-проектахОтветственность за качество в разных ИТ-проектах
Ответственность за качество в разных ИТ-проектахMaxim Tsepkov
 
Ответственность за качество в разных ИТ-проектах: в чем она и как ее разделять
Ответственность за качество в разных ИТ-проектах: в чем она и как ее разделятьОтветственность за качество в разных ИТ-проектах: в чем она и как ее разделять
Ответственность за качество в разных ИТ-проектах: в чем она и как ее разделятьCUSTIS
 
Ответственность за качество в разных ИТ-проектах
Ответственность за качество в разных ИТ-проектахОтветственность за качество в разных ИТ-проектах
Ответственность за качество в разных ИТ-проектахSQALab
 
DevOps от и до - что, зачем и почему
DevOps от и до - что, зачем и почемуDevOps от и до - что, зачем и почему
DevOps от и до - что, зачем и почемуAndrey Rebrov
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Maxim Avdyunin
 
гибкая методология разработки по
гибкая методология разработки погибкая методология разработки по
гибкая методология разработки поpoverhnost
 
Sdlc by Anatoliy Anthony Cox
Sdlc by  Anatoliy Anthony CoxSdlc by  Anatoliy Anthony Cox
Sdlc by Anatoliy Anthony CoxAlex Tumanoff
 
Проект "Нихол"
Проект "Нихол"Проект "Нихол"
Проект "Нихол"E-Journal ICT4D
 
Практика DevOps в крупных организациях
Практика DevOps в крупных организацияхПрактика DevOps в крупных организациях
Практика DevOps в крупных организацияхSoftmart
 
Юлия Викторова; Александр Тарасов. DevOps без булшита.
Юлия Викторова; Александр Тарасов. DevOps без булшита.Юлия Викторова; Александр Тарасов. DevOps без булшита.
Юлия Викторова; Александр Тарасов. DevOps без булшита.ScrumTrek
 
DevOps Fest 2020. Сергей Погорелов. Локально распределенное окружение разрабо...
DevOps Fest 2020. Сергей Погорелов. Локально распределенное окружение разрабо...DevOps Fest 2020. Сергей Погорелов. Локально распределенное окружение разрабо...
DevOps Fest 2020. Сергей Погорелов. Локально распределенное окружение разрабо...DevOps_Fest
 

Semelhante a SecDevOps. Разработка, DevOps и безопасность. (20)

Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...
Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...
Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...
 
Игорь Леонтьев, Lead Architect on all Blockchain projects of Viseo group
Игорь Леонтьев, Lead Architect on all Blockchain projects of Viseo groupИгорь Леонтьев, Lead Architect on all Blockchain projects of Viseo group
Игорь Леонтьев, Lead Architect on all Blockchain projects of Viseo group
 
Организация процессов разработки – введение в Microsoft alm final
Организация процессов разработки – введение в Microsoft alm finalОрганизация процессов разработки – введение в Microsoft alm final
Организация процессов разработки – введение в Microsoft alm final
 
ALM Roadshow Организация процессов разработки – введение в Microsoft ALM/DevOps
ALM Roadshow Организация процессов разработки – введение в Microsoft ALM/DevOpsALM Roadshow Организация процессов разработки – введение в Microsoft ALM/DevOps
ALM Roadshow Организация процессов разработки – введение в Microsoft ALM/DevOps
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps Community
 
Devops: от заката до рассвета
Devops: от заката до рассветаDevops: от заката до рассвета
Devops: от заката до рассвета
 
We're all DevOps [RU]
We're all DevOps [RU]We're all DevOps [RU]
We're all DevOps [RU]
 
Ответственность за качество в разных ИТ-проектах
Ответственность за качество в разных ИТ-проектахОтветственность за качество в разных ИТ-проектах
Ответственность за качество в разных ИТ-проектах
 
Ответственность за качество в разных ИТ-проектах: в чем она и как ее разделять
Ответственность за качество в разных ИТ-проектах: в чем она и как ее разделятьОтветственность за качество в разных ИТ-проектах: в чем она и как ее разделять
Ответственность за качество в разных ИТ-проектах: в чем она и как ее разделять
 
Ответственность за качество в разных ИТ-проектах
Ответственность за качество в разных ИТ-проектахОтветственность за качество в разных ИТ-проектах
Ответственность за качество в разных ИТ-проектах
 
DevOps от и до - что, зачем и почему
DevOps от и до - что, зачем и почемуDevOps от и до - что, зачем и почему
DevOps от и до - что, зачем и почему
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
 
гибкая методология разработки по
гибкая методология разработки погибкая методология разработки по
гибкая методология разработки по
 
Sdlc by Anatoliy Anthony Cox
Sdlc by  Anatoliy Anthony CoxSdlc by  Anatoliy Anthony Cox
Sdlc by Anatoliy Anthony Cox
 
DevOps and Azure
DevOps and AzureDevOps and Azure
DevOps and Azure
 
Проект "Нихол"
Проект "Нихол"Проект "Нихол"
Проект "Нихол"
 
Практика DevOps в крупных организациях
Практика DevOps в крупных организацияхПрактика DevOps в крупных организациях
Практика DevOps в крупных организациях
 
Юлия Викторова; Александр Тарасов. DevOps без булшита.
Юлия Викторова; Александр Тарасов. DevOps без булшита.Юлия Викторова; Александр Тарасов. DevOps без булшита.
Юлия Викторова; Александр Тарасов. DevOps без булшита.
 
DevOps Fest 2020. Сергей Погорелов. Локально распределенное окружение разрабо...
DevOps Fest 2020. Сергей Погорелов. Локально распределенное окружение разрабо...DevOps Fest 2020. Сергей Погорелов. Локально распределенное окружение разрабо...
DevOps Fest 2020. Сергей Погорелов. Локально распределенное окружение разрабо...
 
ImproveIT
ImproveITImproveIT
ImproveIT
 

Mais de Valery Boronin

Тренды кибербезопасности, угрозы и вызовы в 2018 году
Тренды кибербезопасности, угрозы и вызовы в 2018 годуТренды кибербезопасности, угрозы и вызовы в 2018 году
Тренды кибербезопасности, угрозы и вызовы в 2018 годуValery Boronin
 
Практика оформления проекта и презентаций
Практика оформления проекта и презентацийПрактика оформления проекта и презентаций
Практика оформления проекта и презентацийValery Boronin
 
PT Application Inspector SSDL Edition product brief
PT Application Inspector SSDL Edition product briefPT Application Inspector SSDL Edition product brief
PT Application Inspector SSDL Edition product briefValery Boronin
 
Application Inspector SSDL Edition product
Application Inspector SSDL Edition productApplication Inspector SSDL Edition product
Application Inspector SSDL Edition productValery Boronin
 
Valery Boronin on DLP Russia 2010
Valery Boronin on DLP Russia 2010Valery Boronin on DLP Russia 2010
Valery Boronin on DLP Russia 2010Valery Boronin
 
Humans Are The Weakest Link – How DLP Can Help
Humans Are The Weakest Link – How DLP Can HelpHumans Are The Weakest Link – How DLP Can Help
Humans Are The Weakest Link – How DLP Can HelpValery Boronin
 
Data Luxury Protection - защита данных с удовольствием!
Data Luxury Protection - защита данных с удовольствием!Data Luxury Protection - защита данных с удовольствием!
Data Luxury Protection - защита данных с удовольствием!Valery Boronin
 

Mais de Valery Boronin (7)

Тренды кибербезопасности, угрозы и вызовы в 2018 году
Тренды кибербезопасности, угрозы и вызовы в 2018 годуТренды кибербезопасности, угрозы и вызовы в 2018 году
Тренды кибербезопасности, угрозы и вызовы в 2018 году
 
Практика оформления проекта и презентаций
Практика оформления проекта и презентацийПрактика оформления проекта и презентаций
Практика оформления проекта и презентаций
 
PT Application Inspector SSDL Edition product brief
PT Application Inspector SSDL Edition product briefPT Application Inspector SSDL Edition product brief
PT Application Inspector SSDL Edition product brief
 
Application Inspector SSDL Edition product
Application Inspector SSDL Edition productApplication Inspector SSDL Edition product
Application Inspector SSDL Edition product
 
Valery Boronin on DLP Russia 2010
Valery Boronin on DLP Russia 2010Valery Boronin on DLP Russia 2010
Valery Boronin on DLP Russia 2010
 
Humans Are The Weakest Link – How DLP Can Help
Humans Are The Weakest Link – How DLP Can HelpHumans Are The Weakest Link – How DLP Can Help
Humans Are The Weakest Link – How DLP Can Help
 
Data Luxury Protection - защита данных с удовольствием!
Data Luxury Protection - защита данных с удовольствием!Data Luxury Protection - защита данных с удовольствием!
Data Luxury Protection - защита данных с удовольствием!
 

SecDevOps. Разработка, DevOps и безопасность.

  • 1. Стачка 2017 ptsecurity.com Валерий Боронин SecDevOps. Разработка, DevOps и Безопасность.
  • 2. Регламент 35 мин Вопросы и ответы – в конце Герои справа нам встретятся позже
  • 3. • В разработке и R&D более 20 лет, помню Windows 3.1 • Достиг определенных высот разработчиком режима ядра под Windows (до 2009) • В безопасности с прошлого тысячелетия ;-) • Работал CTO небольшой компании (30+ человек) • Директором по исследованиям большой (Лаборатория Касперского, 2500+ человек, 2009-2014) • Сейчас отвечаю за направление безопасной разработки (SDL / SSDL) в Позитиве. • Мы с командой создаем новый продукт по автоматизации безопасной разработки. Валерий Боронин, linkedin.com/in/boronin 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 3
  • 4. Time to Value 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 4 “Все, чем мы занимаемся, – это следим за временем между размещением заказа потребителем и получением денег за выполненную работу. Мы сокращаем этот промежуток времени, устраняя потери, которые не добавляют ценности“ - Тайити Óно, основатель Toyota Production System, 1988
  • 5. Что такое DevOps? Wiki 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 5 Source: https://en.wikipedia.org/wiki/DevOps
  • 6. Что такое DevOps? Gartner 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 6 DevSecOps: How to Seamlessly Integrate Security Into DevOps
  • 7. Что такое DevOps? AWS 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 7 Source: https://aws.amazon.com/ru/devops/what-is-devops/ «DevOps – это сочетание культурных принципов, подходов и средств, которое повышает способность компаний создавать приложения и сервисы на высокой скорости. Благодаря такой скорости компании могут повысить уровень обслуживания клиентов и более эффективно конкурировать на рынке.»
  • 8. Что такое DevOps? 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 8 DevOps “I guess in a nutshell the way we use DevOps would be the intersection of development, IT operations, and QA. One of the things we do is we have rapid release cycles. There is just this constant movement of things through the whole SDLC from conception to release.” – App manager Source: HP study App Sec and DevOps
  • 9. Качество – не то, что можно поправить в конце Безопасность – это как качество Особенно AppSec (защищенный код и т.п.) Попутно заметим: можем использовать Безопасность для измерения Качества •Потому что хотя • Не все вопросы качества связаны с безопасностью • Все проблемы безопасности связаны с качеством 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 9 И о качестве замолвите слово
  • 10. Что такое SDL / безопасная разработка? 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 10 https://www.slideshare.net/ValeryBoronin/sdlssdl-69670799https://www.slideshare.net/ValeryBoronin/2016-61855208
  • 11. SecDevOps (Securing DevOps) 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 11 Secured DevOps ИБ архитекторы должны интегрировать безопасность в нескольких точках в рабочие процессы DevOps совместным образом, что в значительной степени прозрачно для разработчиков и сохраняет коллективную работу, гибкость и скорость DevOps и гибких сред разработки, предоставляя SecDevOps.
  • 12. • Выпуск очень частых, но небольших инкрементальных обновлений + Микросервисы = • значительно растет число развертываний релизов  в ответ на это • CI и CD – позволяют доставлять обновления быстро, безопасно и надежно • Методики автоматизации инфраструктуры – инфраструктура как код и управление конфигурациями – помогают поддерживать гибкость вычислительных ресурсов и адаптироваться к частым изменениям • А мониторинг и ведение журналов позволяют инженерам отслеживать эффективность приложений и инфраструктуры, чтобы быстро реагировать на проблемы • Вместе дает более быстрые и более надежные обновления для клиентов. 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 12 Задачи DevOps Задача 2: более важная и сложная, через три слайда. Задача 1: быстрее внедрять инновации путем автоматизации и оптимизации процессов разработки ПО и управления инфраструктурой. Изучай оффлайн
  • 13. 1. Основное внимание уделяется всей экосистеме 2. все, что используется для получения кода приложений в руки пользователей, находится в сфере действия Сфера действия DevOps 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 13 • Обещания DevOps повысить безопасность приложений основаны на убеждении, что безопасность должна быть частью DevOps, а не отдельной функцией. Т.е. быть встроенной. • HP: 99% согласны, что внедрение культуры DevOps дает возможность повысить безопасность приложений. Кроме того, ожидается, что приложения будут выпущены с уровнем безопасности, который соответствует целям организации, чтобы обеспечить защиту не только ПО и клиентов, но и самой организации. Source: HP study App Sec and DevOps
  • 14. 1. DevOps - это операционная среда, которая способствует обеспечению согласованности и стандартизации ПО с помощью автоматизации. 2. Основное внимание уделяется использованию автоматизации для значительного улучшения сборки, тестирования и развертывания. 3. Скрипты создают организационную память в автоматизированные процессы, чтобы уменьшить человеческую ошибку и обеспечить согласованность. Автоматизация и DevOps 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 14 Автоматизация - это ключ к решению повторяющихся задач - сокращение ошибок человека и предоставление людям возможности решать более сложные задачи.
  • 15. • Скорость • Быстрая доставка • Надежность • Масштабирование • Оптимизированная совместная работа • Безопасность* * Только если SecDevOps Companies that practice DevOps have reported significant benefits, including: •significantly shorter time to market •improved customer satisfaction •better product quality •more reliable releases, improved productivity and efficiency, •and the increased ability to build the right product by fast experimentation. Преимущества DevOps 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 15
  • 16. Задача 2: сделать процесс разработки и поставки ПО согласованным с эксплуатацией при поддержке автоматических средств. Согласованная работа этих групп — главный вызов (и главный приз) от внедрения (adoption) DevOps на уровне Предприятия. Эффективная совместная работа становится приоритетом. И о культуре – Лебедь, Рак, Щука 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 16 Эксплуатация — нацелены на общую стабильность Разработчики — нацелены на изменения, новый код QA — нацелены на снижение риска
  • 17. Лебедь, Рак, Щука как их видит HP 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 17 “We found that the key factor hindering security adoption within DevOps is organizational barriers. ” – HP study
  • 18. 1. DevOps обещает взаимодействие Разработки, Операций и QA, но нередко команды по безопасности даже не упоминаются в разговорах 2. Dev & IT Ops заботятся о безопасности, но им кажется, что тут 1) или все под контролем 2) или это чья-то еще тема 3. Security чувствуют себя изолированными от Dev & Ops, где многие даже не знают своих специалистов по ИБ 4. Практически всегда development, operations и security группы имеют совершенно раздельную отчетность (reporting line) 5. Это все приводит к разделению между безопасностью и разработкой, с различными метриками и несогласованными приоритетами 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 18 Идентифицируем барьеры
  • 19. • Меньше ошибаемся • Скорость и эффективность • Узкие места (через 2 слайда) + • Взаимодействие и общение (тоже) • Техдолг и «fix-it-first» • Метрики и измерения • Безопасность* * Только если SecDevOps Какие проблемы решаем 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 19 Сначала дорога, потом вождение; Cначала инструменты, потом ими строим дом; Сначала планируем и пишем тесты, потом код; Сначала тех долг и все, что замедляет работу или снижает качество, потом добавляем новые возможности – философия DevOps Сначала думаем – потом делаем* *из золотых правил моего подразделения ;-)
  • 20. Устройте вечером мытье посуды так: 1.Один моет 2.Второй протирает 3.Третий расставляет Ясная коммуникация и четкая цель – рулят Координация и мытье посуды 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 20 DevOps – A new mode of intense collaboration between dev and ops (team) for the same goals.
  • 21. 1. Developer commits change to Git or merges ‘feature branch’ into master 2. Build server, detects commit and: i) Clones repo, checks out branch ii) Builds app iii) Run Unit Tests and Quality/SAST tools (Static Application Security Tests) iv) Deploy app v) Run Integration tests and Performance/DAST tools (Dynamic Application Security Tests) 3. Pre-live servers (and QA container’s host) i) Deploy app to pre-live environment ii) Run more Integration and security Tests 4. Live servers (and live container’s host) i) Deploy app to an live container ii) Run and schedule smoke tests (with updated tests from original commit) iii) Deploy (in regular intervals) to multiple audiences a) only developers and business owners b) 1% low impact users, then 10%, 25%, 50% and 100% of low impact users c) 1% high profile users, then 10%, 25%, 50% and 100% of high impact users (this workflow applies for all ‘push to prod changes’, ideally the smaller the better) 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 21 DevOps workflow – моем посуду Source: Dinis Cruz Изучай оффлайн
  • 22. • … • Узкие места • Взаимодействие и общение • … Расшиваем узкие места 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 22 Time To Value Степень автоматизации. Автоматизируй это! В каждой шутке – доля шутки! КВН НГУ, 1989
  • 24. 1. ИБ тормоз перестройки Соответствие DevOps – главная забота ИТ-лидеров, но информационная безопасность рассматривается как ингибитор гибкости DevOps 2. Не все общаются через API Инфраструктура безопасности отстает в своей способности стать software-defined и программируемой, что затрудняет автоматическую и прозрачную интеграцию элементов управления безопасностью в рабочие процессы в стиле DevOps 3. Не тащите в рот каку Современные приложения в основном «собраны», а не разработаны, и разработчики часто загружают и используют известные уязвимые компоненты и фреймворки с открытым исходным кодом 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 24 Key Challenges – Gartner Gartner: DevSecOps: How to Seamlessly Integrate Security Into DevOps, 30 Sep 2016 Изучай оффлайн
  • 25. 1. К 2019 году более 70% инициатив DevOps будут включать в себя automated security vulnerability and configuration scanning для oss- компонентов и коммерческих пакетов, по сравнению с менее чем 10% в 2016 году. 2. К 2019 году более 50% инициатив DevOps будут включать тестирование безопасности приложений (AST) для пользовательского кода, по сравнению с менее чем 10% в 2016 году. 3. К 2019 году более 60% инициатив DevOps будут использовать более продвинутое управление версиями и средствами автоматизации инфраструктуры, по сравнению с менее чем 5% в 2016 году. 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 25 Gartner – К чему готовиться в 2019? Gartner: DevSecOps: How to Seamlessly Integrate Security Into DevOps, 30 Sep 2016
  • 26. 1) All teams will henceforth expose their data and functionality through service interfaces. 2) Teams must communicate with each other through these interfaces. 3) There will be no other form of interprocess communication allowed: no direct linking, no direct reads of another team’s data store, no shared-memory model, no back-doors whatsoever. The only communication allowed is via service interface calls over the network. 4) It doesn’t matter what technology they use. HTTP, Corba, Pubsub, custom protocols — doesn’t matter. 5) All service interfaces, without exception, must be designed from the ground up to be externalizable. That is to say, the team must plan and design to be able to expose the interface to developers in the outside world. No exceptions. Anyone who doesn’t do this will be fired. Thank you; have a nice day! Source Bezos’s (Amazon) 2002 decree 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 26 Изучай оффлайн
  • 27. Контроли безопасности должны быть программируемыми и автоматизированными •Требуйте 100% функциональности через API •Поддержка инструментальных средств DevOps, Chef, Puppet и аналогичные средства автоматизации •Поддержка контейнеров и систем управления ими (которые не являются необходимыми для SecDevOps, но помогают упростить доставку услуг из разработки в производство) 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 27 1 API
  • 28. Контроль доступа и RBAC обеспечивают Разделение обязанностей •AD & LDAP – человек в ед. числе, учетка должна быть тоже везде одна •Все инструменты должны быть интегрированы с AD & LDAP. Политики безопасности применяются в инструментах. Весь доступ к инструментам и их действия контролируются •Определите и назначьте различные требуемые роли для разработки и производства. В идеале, ни один человек напрямую не касается живого окружения, кроме как через скрипты и API •Обяжите команду разработки отвечать и контролировать изменения своего продукта на основе «доверяй, но проверяй». Проверка с помощью журналов аудита и репозиториев, таких как Git – назначайте ответственных периодически отсматривать активность, меняйте их 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 28 2 IAM + RBAC для SoD
  • 29. • Обучайте разработчиков навыкам безопасного кодирования и написанию resilent кода, который проверяет и обеззараживает ввод, и блокирует общие типовые атаки, такие как переполнение буфера, SQL-инъекция и XSS • Требования безопасности должны быть. И должны быть неотъемлемой частью планирования как самого приложения, так и процесса разработки • Разработайте простой инструмент оценки рисков и моделирования угроз, внедряйте его как часть процесса планирования и проектирования • Отталкивайтесь в моделировании угроз от рисков приложения • Приложения, обрабатывающие конфиденциальные данные или непосредственно обращающиеся в Интернет, должны требовать более глубокого моделирования угроз совместно с ИБшниками • Данные, используемые в разработке для тестирования – маскируйте, деперсонализируйте или синтезируйте. Не используйте конфиденциальные производственные данные! 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 29 3 Оценка рисков и моделирование угроз
  • 30. • Планируйте автоматизацию всех статических и динамических инструментов. Не заставляйте разработчиков покидать их любимое окружение и инструменты • Статанализаторы и динамические анализаторы с инкрементальным анализом предпочтительнее • Примите нереальность отсутствия уязвимостей. Лучше использовать анализаторы от которых меньше поток ложных срабатываний и т.п., разработчиков фокусируйте на исправлении сначала с наивысшей степенью серьезности и наивысшей степенью уязвимости • Сделайте правило не пропускать код с известными критическими уязвимостями в продакшн. Уязвимости, которые представляют более низкие уровни риска, могут быть или не быть устранены в будущих итерациях. Нужны подходы, которые позволяют выявлять и принимать управляемый риск • Работа с менеджерами DevOps для измерения и мотивации команд разработчиков для создания кода с меньшим количеством уязвимостей. Сделать метрики безопасности частью показателей качества кода и привлечь разработчиков к ответственности 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 30 4 Анализируй свой код, Apps, API, все
  • 31. • Приоритет выявлению OSS компонент и сканированию на уязвимости в разработке • Сканируйте все приложения, образы, виртуальные машины и контейнеры, используемые в разработке на предмет неизвестных, встроенных или уязвимых компонентов OSS в ОС, платформе и в самом приложении • "OSS firewall", чтобы заранее, проактивно предотвращать загрузку разработчиками известного уязвимого кода из Maven, GitHub и других репозиториев кода OSS, по правилам 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 31 5 Важно! OSS и конфигурации в Dev
  • 32. • В процессы DevOps вносите автоматическое сканирование содержимого всех образов системы, включая базовую ОС, платформу приложений и все контейнеры на известные уязвимости и проблемы конфигурации в рамках CI • Определите политику не позволять выпускать из разработки что- либо с известными критическими уязвимостями • Требуйте от разработчиков удаления ненужных модулей и доведения всех систем до лучших отраслевых стандартов • Интегрируйтесь с антивирусными сканерами и антималварью, чтобы не заносить чего-нибудь в процессе разработки 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 32 6 Выявляем уязвимое и ненужное
  • 33. • Убедитесь, что команды DevOps внедрили правильные методы контроля версий и инструменты, поддерживают четкую подотчетность (accountability) и отслеживаемость (traceability) для всего, что развернуто в живой среде • Расширяйте возможности средств контроля версий и автоматизированных средств развертывания до конфигурирования конфигураций, конфигурирования инфраструктуры и мониторинга • Используйте сценарии автоматизации для развертывания в промежуточной среде для финальных тестов (может быть автоматизированным тестом в продвинутых DevOps) • Сканируйте на предмет ошибок и забывчивости – речь про встроенные учетные данные, забытые ключи шифрования, ключи API и т. д., представляющее значительный и предотвращаемый риск 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 33 7 Что еще очень ценного в хозяйстве
  • 34. • Включайте везде контроль целостности при загрузке, в т.ч. с аппаратной поддержкой, в т.ч. гипервизора и ОС • Храните виртуальные машины в покое, в зашифрованном виде, со съемом контрольной суммы, если виртуальные машины используются в рабочем процессе DevSecOps. Убедитесь в отсутствии подделки при загрузке • Используйте систему управления контейнерами (если используются контейнеры), которая поддерживает хэширование или другие методы для измерения и проверки целостности системы при загрузке 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 34 8 Целостность и контроль загрузки
  • 35. • Отключайте антивирусную проверку на основе сигнатур времени выполнения и внедряйте модель белого списка на серверах, т.к. антивирусное сканирование практически не влияет на хорошо управляемые серверы и является пустой тратой ресурсов в среде SecDevOps • Автоматическая настройка белых списков из декларативных источников цепочки инструментов и контейнеров DevOps • если используются контейнеры, используйте те, что с поддержкой белых списков 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 35 9 Белые списки в продакшне
  • 36. • Chaos Monkey • Chaos Gorilla • Chaos Kon • Latency Monkey NETFLIX SIMIAN ARMY 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 36 https://github.com/Netflix/SimianArmy Outage 2014: Out of our 2700+ production Cassandra nodes, 218 were rebooted. 22 Cassandra nodes did not reboot successfully. • Conformity Monkey • Security Monkey • Doctor Monkey • Janitor Monkey
  • 37. • Повсеместный мониторинг критически важных приложений – отслеживайте вход / выход пользователей, транзакции, взаимодействия, сетевую и системную активность и т.п. • Используйте данные мониторинга для определения базовых линий нормального поведения для приложения с целью выявления значимых отклонений. Делитесь данными мониторинга в DevOps или продуктовых группах, командах платформ и командах центров безопасности (SOC), поскольку необычная активность может быть вызвана сбоем оборудования, сбоем программного обеспечения, ошибкой, угрозой изнутри или атакой • Используйте автоматическое развертывание обманных служб для приманки и более легкой идентификации злоумышленников 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 37 10 Предполагай худшее. Оживай резво.
  • 38. ИБ Архитекторы должны сотрудничать с командами DevOps для: •Ограничить изменения только автоматическими средствами и сценариями. Отключить удаленное администрирование с помощью SSH и RDP – для принудительного доступа через API и скрипты •Принять зафиксированную инфраструктуру (где это возможно) и автоматизировать все изменения в среде с использованием рабочих процессов в стиле SecDevOps. Устаревшее добро должно постепенно заменяться более новым. Автоматизированным и системным образом •Использовать системы управления привилегированным доступом в редких случаях, когда необходим прямой административный доступ 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 38 11 Lock Down инфраструктуры
  • 39. • Контейнеры имеют общую ОС, поэтому ОС обеспечивает изоляцию, а не Гипервизор • Без использования дополнительных инструментов сетевой трафик виден всем размещенным контейнерам, совместно использующим одну и ту же ОС • Успешная атака на уровне ядра ОС компрометирует все контейнеры • Именно поэтому рекомендуют использовать контейнеры с учетом уровней доверия – не смешивайте разработку, тестирование и продакшн • Используйте гипервизоры или физическое разделение, когда требуется более сильная изоляция 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 39 12 Контейнеры и Безопасность
  • 41. От лучших собаководов ▸ Тестирование, управление зависимостями и визуализация вебсервисов – особое внимание ▸ берем одну известную уязвимость и рефакторим весь код в отдельный модуль (микросервис) ▸ включалкивыключалки фич, чтобы можно было использовать на живых системах ▸ полностью независимый стек для разработки, тестирования и продакшна ▸ контейнеры для разработки, тестирования и продакшна ▸ добавить активностей связанных с безопасностью (SDL) ▸ Моделирование угроз ▸ ревью на безопасность и соблюдение стандартов защищенного кодирования ▸ Автоматические тесты на безопасность в QA (от юнит до интеграционных) 100% покрытие ▸ Автоматическое отображение (mapping) поверхности атаки и документирование ▸ помощь независимых экспертов по ИБ снаружи ▸ Мониторинг и визуализация происходящего в продакшне ▸ Готовиться к инцидентам и отражению атак надо заранее 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 41 Source: Dinis Cruz
  • 42. SecDevOps рекомендуют ▸ Автоматизируйте CI и CD ▸ Быстро разворачивайте и восстанавливайте ▸ Отслеживайте и визуализируйте все ▸ Используйте контейнеры в продакшне ▸ Ежедневные множественные деплои ▸ Kanban workflow ▸ Low WIP (work-in-progress) count и андоны ▸ Улучшайте покрытие тестирования и качество тестовых API ▸ Реалтаймовые юнит тесты и покрытие в IDE ▸ SecDevOps Pipeline ▸ определяйте изменения sensitive кода (trigger secure code review) ▸ автоматическое развертывание of air-gapped QA sites (with surrogate dependencies for external components) ▸ автоматический запуск статического анализа и динамического анализа 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 42 Source: Dinis Cruz
  • 43. 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 43 Отличная цитата под финал «Принятие процесса DevOps может помочь сделать приложения более безопасными, поскольку среда разработки и производства построена таким же образом и с теми же стандартами безопасности и тестирования. Однако для этого требуется обязательство по всей организации установить приоритет безопасности и включать в себя более автоматизированные решения для тестирования, которые упрощают сбор информации в режиме реального времени и устранение уязвимостей на протяжении всего процесса разработки» John Meakin—Burberry, Group Information Security Officer
  • 44. Партизанским методом - не взлетит 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 44 Обязательное условие успеха SecDevOps, как и SDL – не бесплатен – нужны время, бюджет, твердое обязательство руководства гарантировать приоритет безопасности. Нужна поддержка первых лиц
  • 45. АРХИВАЖНО: Без SDL – не взлетит! 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 45 Secured DevOps …if they weren’t very good at securing the SDLC before, the move to DevOps alone is not going to solve the problem. https://www.slideshare.net/ValeryBoronin/2016-61855208

Notas do Editor

  1. Ключевая идея – постоянно избавляться от потерь – улучшая эффективность, качество и экономию затрат.
  2. кстати говоря, безопасность является ключевой характеристикой в плане качества всего продукта, по ситуации с ней можно весьма уверенно сказать о качестве всей системы в сборе.
  3. А вот так выглядит мытье посуды в мире DevOps, куда добавили немного безопасности
  4. Речь не только про стадии с конвейера, но и про ожидание спецификаций, ревью, оценок, развертывание конфигураций для тестирования по заявкам и т.п. Даже для самого себя – в разных ролях или выполняющего разные операции.
  5. Давайте теперь посмотрим, что нужно сделать еще, чтобы безопасности стало больше:
  6. Bezos’s 2002 decree had a profound impact on how software and teams were organized. It went something like this: http://apievangelist.com/2012/01/12/the-secret-to-amazons-success-internal-apis/
  7. И осталось одно небольшое, но зато обязательное условие – поддержка с самого верха. Партизанские активности не работают с такого масштаба изменениями, как переход на DevOps. Или внедрение безопасности в DevOps – безопасность должна стать делом каждого, а это без поддержки с самого верха практически нереально.
  8. Невозможно добавить безопасность в DevOps так, что бы все стало защищенным - без вовлечения на самом раннем этапе в разработке, а этим у нас заведует SDL. Не поправив основы в консерватории, на успех дальше лучше не закладываться. Поработать надо от и до, по всей цепочке из этапов и фаз, без исключений. Фактически, классический SDL должен накрыть собой еще и Эксплуатацию, чтобы соответствовать времени. Работайте безопасно. Работайте грамотно. Работайте с удовольствием! Спасибо.