Security Compliance & DevOps Август 22, 2018 

Вместо вступления Когда я начинал делать эту презентацию , в голове часто всплывали формулировки вида “ скрестить ежа с ужом ”, “ натянуть сову на глобус ” и “ посмотрите и никогда так не делайте ”. Но , чем больше я пытался воскресить в памяти какие - то негативные моменты , тем отчетливее понимал , что ничего особо страшного или сложного в процессе приведения процессов DevOps в соответствие со стандартами ИБ на самом деле нет . На самом деле , DevOps сертифицировать в чем - то даже легче . Сегодня я расскажу вам о маленьких хитростях и подводных камнях на пути к сертификации ISO 27001 . 2 

ISO/IEC 27001:2013 (2017) - Ваша компания работает с иностранными клиентами , а ее Engineering Center находится в России ? - Добро пожаловать на сертификацию . Information technology — Security techniques — Information security management systems — Requirements 3 

Источники риска в DevOps Технологии OPS Python/Ruby/bash/Go whatever Glue Автоматизация и ботоводство DEVs Extremely fast paced development 4 Расшаренные бакеты , API и remote command line, ключи и пароли выложенные на Github и т . д . 

DevOps - “Комплаенс по умолчанию” SaaS, PaaS or IaaS A.8 Asset management A.11 Physical and environmental security A.12.3 Backup A.12.5 Control of operational software A.13 Communications security A.15 Supplier relationships A.16 Information security incident management Infrastructure as Code A.8 Asset management A.12.3 Backup A.12.5 Control of operational software A.12.6 Technical vulnerability management A.12.7 Information systems audit considerations A.13 Communications security A.14.2 Security in development and support processes Зрелые DevOps практики A.6.1.2 Segregation of Duties A.6.2 Mobile devices and Teleworking A.8.1.2 Ownership of Assets A.9.2 User Access Management A.12.1 Operational procedures and responsibilities A.12.3 Backup A.12.4 Logging and monitoring A.12.5 Control of operational software A.12.7 Information systems audit considerations A.14.2 Security in development and support processes 5 

Но кое-что сделать все же придется. 

A.8 Asset Management 7 Docker Bench for Security https://github.com/docker/docker-ben ch-security CIS Kubernetes Benchmark - InSpec Profile https://github.com/dev-sec/cis-kubern etes-benchmark 

A.9 Access Control Password leakage. Управление “ секретами ”: ● доставка ● хранение ● ротация Hiera + EYAML, HashiCorpVault 8 

Version Control System Python Bandit SonarCube A.14.2 Security in Development and Support Process 9 

Автоматизируем “ Охоту ” и реагирование на инциденты : ● GRR Rapid Response ● LimaCharlie A.16 Information Security Incident Management 10 

Автоматизируем проверки : ● InSpec ● Lynis A.18 Compliance 11 

ИБ-шник, который сделал первые шаги в DevOps