Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Juliana Gaioso: CI/CD/CS - Segurança no Github ...

DevOpsDays Floripa
November 14, 2023
0
48

Juliana Gaioso: CI/CD/CS - Segurança no Github Actions

Palestra realizada no DevOpsDays Florianópolis 2023

DevOpsDays Floripa

November 14, 2023
Tweet

More Decks by DevOpsDays Floripa

See All by DevOpsDays Floripa
Clailton Francisco: Lightning Talk - Promovendo Cultura DevOps em outros setores da TI
devopsdaysfln
0
33
Leticia Coelho: Lightning Talk - Soft-Skills que eu aprendi com a vida
devopsdaysfln
0
24
Humberto Zilio: Lightning Talk - Desvendando o poder do InnerSource
devopsdaysfln
1
38
Vinícius Fernandes: Lightning Talk - Multi-Cluster Monitoring Prometheus, Grafana & Linkerd
devopsdaysfln
0
39
Jeferson Fernando: Transformando vidas através do Kubernetes
devopsdaysfln
0
53
Arthur Sens: Um dia na vida de um mantenedor de projetos Open Source
devopsdaysfln
0
32
Camilla Martins: DevOps para o exterior: o que tem sido diferente?
devopsdaysfln
0
39
Luccas Quadros: Além do tail -f: Análise inteligente de logs para detecção de anomalias
devopsdaysfln
0
55
Paulo Henrique de Morais Santiago: Signoz.io: O APM que a comunidade open source precisava
devopsdaysfln
0
51

Featured

See All Featured
GitHub's CSS Performance
jonrohan
1030
460k
Done Done
chrislema
181
16k
The Art of Programming - Codeland 2020
erikaheidi
53
13k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
8
1.2k
The Language of Interfaces
destraynor
154
24k
Optimising Largest Contentful Paint
csswizardry
33
3k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5.1k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.1k
Embracing the Ebb and Flow
colly
84
4.5k
GraphQLとの向き合い方2022年版
quramy
44
13k
RailsConf 2023
tenderlove
29
940
Into the Great Unknown - MozCon
thekraken
33
1.5k

Transcript

  1. CI/CD/CS @juligaioso

  2. Juliana Gaioso Engenharia de Computação / Engenharia Elétrica @ UFG;

    Análise e Desenvolvimento de Sistemas @ Puc-GO; Automação industrial, IoT, Hardware development; Front end, Back end; + 20 anos programando; AppSec Sr.

  3. Juliana Gaioso Engenharia de Computação / Engenharia Elétrica @ UFG;

    Análise e Desenvolvimento de Sistemas @ Puc-GO; Automação industrial, IoT, Hardware development; Front end, Back end; + 20 anos programando; AppSec Sr. Mãe de pet; Fã de SciFi e terror / horror; Enóloga; Autista.

  4. Contato [email protected] @juligaioso Juliana Gaioso @juligaiosoa

  5. TL,DR Entendendo segurança 1 Entendendo o SDLC 2 Garantindo a

    segurança do processo 3 Análise forence e resposta a incidente 4

  6. Segurança na esteira de entrega CI/CD/CS

  7. Continuous integration

  8. Lembrando que continuous delivery e continuous deployment são coisas diferentes

    Continuous delivery / continuous deployment

  9. Continuous Security O seu ambiente está seguro?

  10. Disponibilidade O sistema estará disponível sempre que for demandado Integridade

    Dados não são alterados de forma não autorizada Confidencialidade As pessoas certas possuem os acessos certos Segurança

  11. Provavelmente não, nem nunca estará. O meu ambiente está seguro?

  12. Meu ambiente está seguro? A cada nova camada, nova infra,

    nova linha de código adicionado temos um possível novo risco adicionado ao projeto. DDoS, ?-injections, scalations...

  13. Meu ambiente está seguro? Velocidade x Segurança - realmente é

    uma escolha?

  14. Como fazer a segurança Ambientes segregados Dev x QA x

    Prod Less Access Policy Rastreabilidade Com logs úteis e bem escritos Camadas de proteção e defesa

  15. DevSecOps Ágil e rápido como um DevOps Cuidando da segurança

    como um time de segurança

  16. DevSecOps Modificar processos para trazer segurança com agilidade SaC Security

    as Code Segurança do processo Issues relacionadas a sec Quebra de processos

  17. DevSecOps Modificar processos para trazer segurança com agilidade SaC Security

    as Code Segurança do processo Issues relacionadas a sec Quebra de processos Pipeline de Segurança Build Deploy Run time

  18. Build Deploy Run Time Pipeline de Segurança

  19. Análise de código Container build Container scan Build

  20. CI : cria a imagem Realiza os scans Cria os

    registros Build
  21. None

  22. Build Deploy Run Time Pipeline de Segurança

  23. Trust Restrições Deploy

  24. None

  25. Build Deploy Run Time Pipeline de Segurança

  26. Run time host security docker security k8s security Configurações de

    segurança

  27. Run time host security docker security k8s security Configurações de

    segurança Docker CIS benchmark: docker-bench Kubernetes CIS benchmark: kube-bench https://github.com/juligaioso/ci-cd-cs- devopsdayflorianopolis-2023

  28. Build Deploy Run Time Pipeline de Segurança

  29. E agora, meu ambiente está seguro?

  30. Não! E agora, meu ambiente está seguro?

  31. Resposta a incidentes

  32. Resposta a incidente Post mortem Análise forense Análise de logs

    e de requisitos

  33. Postmortem what? O que aconteceu? Where? Onde aconteceu? Who? Como

    aconteceu? Why? Porque aconteceu?

  34. CI/CD/CS BUILD DEPLOY RUNTIME RESPOSTA A INCIDENTES

  35. DÚVIDAS?

  36. Obrigada! [email protected] @juligaioso Juliana Gaioso @juligaiosoa