Juliana Gaioso: CI/CD/CS - Segurança no Github Actions

Transcript

1. CI/CD/CS @juligaioso

2. Juliana Gaioso Engenharia de Computação / Engenharia Elétrica @ UFG;

   Análise e Desenvolvimento de Sistemas @ Puc-GO; Automação industrial, IoT, Hardware development; Front end, Back end; + 20 anos programando; AppSec Sr.

3. Juliana Gaioso Engenharia de Computação / Engenharia Elétrica @ UFG;

   Análise e Desenvolvimento de Sistemas @ Puc-GO; Automação industrial, IoT, Hardware development; Front end, Back end; + 20 anos programando; AppSec Sr. Mãe de pet; Fã de SciFi e terror / horror; Enóloga; Autista.

4. Contato [email protected] @juligaioso Juliana Gaioso @juligaiosoa

5. TL,DR Entendendo segurança 1 Entendendo o SDLC 2 Garantindo a

   segurança do processo 3 Análise forence e resposta a incidente 4

6. Segurança na esteira de entrega CI/CD/CS

7. Continuous integration

8. Lembrando que continuous delivery e continuous deployment são coisas diferentes

   Continuous delivery / continuous deployment

9. Continuous Security O seu ambiente está seguro?

10. Disponibilidade O sistema estará disponível sempre que for demandado Integridade

    Dados não são alterados de forma não autorizada Confidencialidade As pessoas certas possuem os acessos certos Segurança

11. Provavelmente não, nem nunca estará. O meu ambiente está seguro?

12. Meu ambiente está seguro? A cada nova camada, nova infra,

    nova linha de código adicionado temos um possível novo risco adicionado ao projeto. DDoS, ?-injections, scalations...

13. Meu ambiente está seguro? Velocidade x Segurança - realmente é

    uma escolha?

14. Como fazer a segurança Ambientes segregados Dev x QA x

    Prod Less Access Policy Rastreabilidade Com logs úteis e bem escritos Camadas de proteção e defesa

15. DevSecOps Ágil e rápido como um DevOps Cuidando da segurança

    como um time de segurança

16. DevSecOps Modificar processos para trazer segurança com agilidade SaC Security

    as Code Segurança do processo Issues relacionadas a sec Quebra de processos

17. DevSecOps Modificar processos para trazer segurança com agilidade SaC Security

    as Code Segurança do processo Issues relacionadas a sec Quebra de processos Pipeline de Segurança Build Deploy Run time

18. Build Deploy Run Time Pipeline de Segurança

19. Análise de código Container build Container scan Build

20. CI : cria a imagem Realiza os scans Cria os

    registros Build
21. None

22. Build Deploy Run Time Pipeline de Segurança

23. Trust Restrições Deploy

24. None

25. Build Deploy Run Time Pipeline de Segurança

26. Run time host security docker security k8s security Configurações de

    segurança

27. Run time host security docker security k8s security Configurações de

    segurança Docker CIS benchmark: docker-bench Kubernetes CIS benchmark: kube-bench https://github.com/juligaioso/ci-cd-cs- devopsdayflorianopolis-2023

28. Build Deploy Run Time Pipeline de Segurança

29. E agora, meu ambiente está seguro?

30. Não! E agora, meu ambiente está seguro?

31. Resposta a incidentes

32. Resposta a incidente Post mortem Análise forense Análise de logs

    e de requisitos

33. Postmortem what? O que aconteceu? Where? Onde aconteceu? Who? Como

    aconteceu? Why? Porque aconteceu?

34. CI/CD/CS BUILD DEPLOY RUNTIME RESPOSTA A INCIDENTES

35. DÚVIDAS?

36. Obrigada! [email protected] @juligaioso Juliana Gaioso @juligaiosoa