Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Security Compliance & DevOps

DevOps Moscow
August 22, 2018
Education
0
320

Security Compliance & DevOps

Митап на тему "Безопасность", 22-08-2018
Степан Носов, IPONWEB

Рано или поздно уютную тишину вашего оупенспейса нарушит человек, которого в компании кратко именуют "безопасник".
Он будет говорить что-то про Комплаенс, ISO 27001, assurance, риски и то, что вы должны чему-то соответствовать через пол года, и нет, он не ошибся, вы входите в scope.
В своем выступлении Степан поделился опытом сертификации инженерной компании, по требованиям ISO 27001, а так же тем, как DevOps и "безопасники" могут в этом помочь друг другу.

DevOps Moscow

August 22, 2018
Tweet

More Decks by DevOps Moscow

See All by DevOps Moscow
DORA State of DevOps как подход к технологической DevOps-трансформации
devopsmoscow
0
56
Командные топологии. Открытый разговор
devopsmoscow
0
58
Зачем айтишнику личный бренд
devopsmoscow
0
130
Публичные выступления: классно, с удовольствием и пользой
devopsmoscow
2
68
Люди и конфликты в DevOps
devopsmoscow
2
130
DevOps в ESforce: все пути ведут в Kubernetes?
devopsmoscow
1
63
Манная Кафка и микросервисы
devopsmoscow
0
370
Data as a service
devopsmoscow
0
180
Что нужно, чтобы DevOps работал в enterprise компаниях
devopsmoscow
0
110

Other Decks in Education

See All in Education
Educació digital en l'adolescència
gonz1ale1
0
130
Pen-based Interaction - Lecture 4 - Next Generation User Interfaces (4018166FNR)
signer
PRO
0
1.3k
「最初の本」の紹介
eltociear
1
110
SDGsをアシスト! 現地調査データをアーカイブする技術2024|麻布大学デジタルマッピングワークショップ
fullfull
1
190
TCA Practice in 5 min
d_date
1
670
墓までもっていくはずだった話
takuro_nakajima
PRO
0
1.6k
Educación digital en la adolescencia
gonz1ale1
0
130
Analysis and Validation - Lecture 4 - Information Visualisation (4019538FNR)
signer
PRO
0
1.4k
20240319AJG
tosseto
0
330
情報Iの「縦糸」と「横糸」を意識したプログラム教育の実践
asial_edu
0
220
世界の子音探訪記
jamashita
0
120
WordPressを教える人のための視点と考え方
crebowinfo
1
260

Featured

See All Featured
Being A Developer After 40
akosma
67
580k
StorybookのUI Testing Handbookを読んだ
zakiyama
13
4.7k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
226
51k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
0
120
Art, The Web, and Tiny UX
lynnandtonic
290
19k
How STYLIGHT went responsive
nonsquared
92
4.8k
What's in a price? How to price your products and services
michaelherold
238
11k
Statistics for Hackers
jakevdp
790
220k
The Brand Is Dead. Long Live the Brand.
mthomps
49
30k
Into the Great Unknown - MozCon
thekraken
15
1.1k
Building Effective Engineering Teams - LeadDev
addyosmani
33
1.9k
Web Components: a chance to create the future
zenorocha
306
41k

Transcript

  1. Security Compliance & DevOps Август 22, 2018

  2. Вместо вступления Когда я начинал делать эту презентацию , в

    голове часто всплывали формулировки вида “ скрестить ежа с ужом ”, “ натянуть сову на глобус ” и “ посмотрите и никогда так не делайте ”. Но , чем больше я пытался воскресить в памяти какие - то негативные моменты , тем отчетливее понимал , что ничего особо страшного или сложного в процессе приведения процессов DevOps в соответствие со стандартами ИБ на самом деле нет . На самом деле , DevOps сертифицировать в чем - то даже легче . Сегодня я расскажу вам о маленьких хитростях и подводных камнях на пути к сертификации ISO 27001 . 2

  3. ISO/IEC 27001:2013 (2017) - Ваша компания работает с иностранными клиентами

    , а ее Engineering Center находится в России ? - Добро пожаловать на сертификацию . Information technology — Security techniques — Information security management systems — Requirements 3

  4. Источники риска в DevOps Технологии OPS Python/Ruby/bash/Go whatever Glue Автоматизация

    и ботоводство DEVs Extremely fast paced development 4 Расшаренные бакеты , API и remote command line, ключи и пароли выложенные на Github и т . д .

  5. DevOps - “Комплаенс по умолчанию” SaaS, PaaS or IaaS A.8

    Asset management A.11 Physical and environmental security A.12.3 Backup A.12.5 Control of operational software A.13 Communications security A.15 Supplier relationships A.16 Information security incident management Infrastructure as Code A.8 Asset management A.12.3 Backup A.12.5 Control of operational software A.12.6 Technical vulnerability management A.12.7 Information systems audit considerations A.13 Communications security A.14.2 Security in development and support processes Зрелые DevOps практики A.6.1.2 Segregation of Duties A.6.2 Mobile devices and Teleworking A.8.1.2 Ownership of Assets A.9.2 User Access Management A.12.1 Operational procedures and responsibilities A.12.3 Backup A.12.4 Logging and monitoring A.12.5 Control of operational software A.12.7 Information systems audit considerations A.14.2 Security in development and support processes 5

  6. Но кое-что сделать все же придется.

  7. A.8 Asset Management 7 Docker Bench for Security https://github.com/docker/docker-ben ch-security

    CIS Kubernetes Benchmark - InSpec Profile https://github.com/dev-sec/cis-kubern etes-benchmark

  8. A.9 Access Control Password leakage. Управление “ секретами ”: •

    доставка • хранение • ротация Hiera + EYAML, HashiCorpVault 8

  9. Version Control System Python Bandit SonarCube A.14.2 Security in Development

    and Support Process 9

  10. Автоматизируем “ Охоту ” и реагирование на инциденты : •

    GRR Rapid Response • LimaCharlie A.16 Information Security Incident Management 10

  11. Автоматизируем проверки : • InSpec • Lynis A.18 Compliance 11

  12. ИБ-шник, который сделал первые шаги в DevOps