Transición a DevSecOps (2020)

Slide 1

Slide 1 text

Webinar series: por Agustin Celano Martes 2020.05.12 19hs UTC-3 @ar_devsecops

Slide 2

Slide 2 text

• Proyecto creado con el objetivo de difundir contenido de interés para la comunidad DevSecOps en Argentina (y por qué no en la región? ☺) • 100% comunitario y vendorless. No participa, ni financia, ni se recomienda algún vendor en particular. El mantenimiento es en base al esfuerzo de todos ☺ • Contenido: • Información general • Noticias • Webinars • Tutoriales • Lecturas • Cursos • Certificaciones disponibles • Tools • Etc… Proyecto DSOC-Hub

Slide 3

Slide 3 text

Acerca del Ponente • Baite C& S (baite.com.ar) • 10 años de experiencia en Ciberseguridad • Últimos 3 años enfocado en Security-as-Code • 5 años de experiencia dictando capacitaciones • Instructor Cisco • Instructor DevOps Institute • Cursos propios • DevOps Institute Ambassador & REP /agustincelano @agustincelano /celagus [email protected] AGUSTIN CELANO CISSP | DSOE | DOL | CCNP

Slide 4

Slide 4 text

- Decisiones ágiles - Descentralización - Riesgo compartido - Eficiencia - MVP - Desarrollo iterativo - IT Operations - Developers

Slide 5

Slide 5 text

CULTURA CENTRALIZACIÓN DE LAS DECISIONES MVP ENTREGA ÚNICA

Slide 6

Slide 6 text

El CBK (Common Body of Knowledge) tradicional de la Ciberseguridad no se lleva del todo bien con DevOps… El desafío sobre algunos prácticas básicas inmediatamente pone en conflicto intereses de la disciplina.

Slide 7

Slide 7 text

Segregación de funciones 4-eye principle Testing fuera de producción Dueños del Riesgo Burocracia

Slide 8

Slide 8 text

No content

Slide 9

Slide 9 text

No content

Slide 10

Slide 10 text

Security as Code { { Shift Left

Slide 11

Slide 11 text

CI/CD Pipeline Ejemplo de pipeline DevOps Etapa de definiciones Etapa de precompilación Etapa de poscompilación Integración Continua

Slide 12

Slide 12 text

CI/CD Pipeline Seguridad integrada en el pipeline DevOps SCA SAST IAST DAST RASP VULN SCAN HARDENING + PATCH PENTEST

Slide 13

Slide 13 text

No content

Slide 14

Slide 14 text

CI/CD Pipeline Pipeline DevSecOps paralelo DAST VULN SCAN HARDENING + PATCH PENTEST Security Orquestrator Posibles escenarios: • Adopción de DevOps pero con funcionamiento en silos • DevOps como servicio oscuro • Control parcial sobre sistemas legacy “Blackbox”

Slide 1

Slide 1 text

Slide 2

Slide 2 text

Slide 3

Slide 3 text

Slide 4

Slide 4 text

Slide 5

Slide 5 text

Slide 6

Slide 6 text

Slide 7

Slide 7 text

Slide 8

Slide 8 text

Slide 9

Slide 9 text

Slide 10

Slide 10 text

Slide 11

Slide 11 text

Slide 12

Slide 12 text

Slide 13

Slide 13 text

Slide 14

Slide 14 text

Slide 15

Slide 15 text

Slide 16

Slide 16 text

Slide 17

Slide 17 text

Slide 18

Slide 18 text

Slide 19

Slide 19 text

Slide 20

Slide 20 text

Slide 21

Slide 21 text