Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Jan Dittberner - Continuous Delivery - Aber Sic...

Software Architektur Entwickler Community Dresden
April 12, 2016
Technology
0
71

Jan Dittberner - Continuous Delivery - Aber Sicher?! - DevDay 2016

Software Architektur Entwickler Community Dresden

April 12, 2016
Tweet

More Decks by Software Architektur Entwickler Community Dresden

See All by Software Architektur Entwickler Community Dresden
Kevlin Henney - Architecture as Knowledge
saec
0
63
Martin Schurz - Linux Performance
saec
0
180
Adam Bien - Microservices A Platform Neutral Discussion - DevDay 2016
saec
0
120
Dave Farley - Acceptance Testing for Continuous Delivery - DevDay 2016
saec
0
140
Dave Farley - The Rationale of Continuous Delivery - DevDay 2016
saec
0
130
Hendrik Lösch - Lose gekoppelt wie nie, DI vs. IOC - DevDay 2016
saec
0
140
Peter Lehmann - Testautomatisierungsframework XETA - DevDay 2016
saec
0
130
Sascha Askani - Cloud-Umgebungen mit Terraform verwalten - DevDay 2016
saec
0
66
Artur Speth - Microsoft Developer Divisions Weg ins nächste Agile Zeitalter - DevDay 2016
saec
0
100

Other Decks in Technology

See All in Technology
Making your applications cross-environment - OSCG 2024 NA
salaboy
0
200
AWS Lambda のトラブルシュートをしていて思うこと
kazzpapa3
2
190
複雑なState管理からの脱却
sansantech
PRO
1
160
Shopifyアプリ開発における Shopifyの機能活用
sonatard
4
260
OCI Network Firewall 概要
oracle4engineer
PRO
0
4.2k
開発生産性を上げながらビジネスも30倍成長させてきたチームの姿
kamina_zzz
2
1.7k
IBC 2024 動画技術関連レポート / IBC 2024 Report
cyberagentdevelopers
PRO
1
120
あなたの知らない Function.prototype.toString() の世界
mizdra
PRO
1
270
アジャイルチームがらしさを発揮するための目標づくり / Making the goal and enabling the team
kakehashi
3
150
飲食店データの分析事例とそれを支えるデータ基盤
kimujun
0
190
LINEヤフーにおけるPrerender技術の導入とその効果
narirou
1
110
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
3.9k

Featured

See All Featured
How to train your dragon (web standard)
notwaldorf
88
5.7k
YesSQL, Process and Tooling at Scale
rocio
169
14k
The Power of CSS Pseudo Elements
geoffreycrofte
73
5.3k
Keith and Marios Guide to Fast Websites
keithpitt
409
22k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.1k
Reflections from 52 weeks, 52 projects
jeffersonlam
346
20k
Put a Button on it: Removing Barriers to Going Fast.
kastner
59
3.5k
Product Roadmaps are Hard
iamctodd
PRO
49
11k
A Tale of Four Properties
chriscoyier
156
23k
Teambox: Starting and Learning
jrom
133
8.8k
Large-scale JavaScript Application Architecture
addyosmani
510
110k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
6
430

Transcript

  1. CONTINOUS DELIVERY Aber sicher?! DevDay 2016 -- Dresden, 12.04.2016 Jan

    Dittberner DevDay 2016 – Dresden, 12.04.2016 1

  2. Jan Dittberner T-Systems Multimedia Solutions GmbH ▶ Softwarearchitekt ▶ Themen:

    Linux, PKI, Automatisierung, … ▶ Debian Developer Jan Dittberner DevDay 2016 – Dresden, 12.04.2016 2

  3. Continous Delivery Entwicklungsumgebungen Nachvollziehbare Deployments Security-Aspekte Fazit Jan Dittberner DevDay

    2016 – Dresden, 12.04.2016 3

  4. CONTINOUS DELIVERY Jan Dittberner DevDay 2016 – Dresden, 12.04.2016 4

  5. CONTINOUS DELIVERY WARUM? ▶ Features schneller beim Anwender ▶ schnelles

    Feedback ▶ Qualitätssteigerung ▶ mehr ” Denkarbeit“ statt langweiliger Routine Jan Dittberner DevDay 2016 – Dresden, 12.04.2016 5

  6. CONTINOUS DELIVERY AUTOMATISIERUNG ▶ Softwarebuild ▶ Unit-, Acceptance-, Integration-, Performance-,

    …-Test ▶ Umgebungsbereitstellung (Provisionierung) ▶ Deployment ▶ Lieferprozesse ▶ Dokumentation ▶ Monitoring/Reporting ▶ …alles was sonst noch Routine sein sollte Jan Dittberner DevDay 2016 – Dresden, 12.04.2016 6

  7. ENTWICKLUNGSUMGEBUNGEN SYSTEMKONTEXT Datenbank Filesystem Scheduler Webservice Webapp HTTP-Proxy Load-Balancer Spooler

    SMTP-MTA SMTP-Proxy DNS-Server Abbildung: vereinfachtes Architekturbild Jan Dittberner DevDay 2016 – Dresden, 12.04.2016 7

  8. ENTWICKLUNGSUMGEBUNGEN PUPPET https://puppetlabs.com ▶ Tool für Configuration Management ▶ Infrastruktur

    wird als Code beschrieben (Puppet DSL, YAML, Ruby) ▶ neue Maschinen können innerhalb weniger Minuten nachvollziehbar eingerichtet werden ▶ kann auch mit anderen Tools realisiert werden (Beispiel cfengine, Saltstack, Ansible, …) Jan Dittberner DevDay 2016 – Dresden, 12.04.2016 8

  9. ENTWICKLUNGSUMGEBUNGEN PACKER UND VAGRANT https://www.packer.io https://www.vagrantup.com ▶ Mit Packer kann

    man sauber definierte Basisimages erstellen ▶ Vagrant steuert (lokale) VMs über eine textuelle Beschreibung ▶ dadurch können Entwickler mit einem produktionsnahen OS arbeiten ▶ gleicher Puppet-Code für lokale und andere Umgebungen ▶ lokaler Test von Deployments möglich Jan Dittberner DevDay 2016 – Dresden, 12.04.2016 9

  10. ENTWICKLUNGSUMGEBUNGEN SECURITY Auch Sicherheitsfunktionalität sollte produktionsnah umgesetzt sein: möglichst gleiche

    Einstellungen, Schlüssellängen, Algorithmen, …auch in Entwicklungs- und Testumgebungen so nicht Quelle: starecat.com so auch nicht …sondern so Jan Dittberner DevDay 2016 – Dresden, 12.04.2016 10

  11. NACHVOLLZIEHBARE DEPLOYMENTS DEPLOYMENTS ▶ … müssen nachvollziehbar sein und zur

    Software passen ▶ … müssen getestet werden ▶ auch Änderungen an der Persistenzschicht (z.B. Datenbankänderungen) gehören dazu ▶ … und natürlich Konfigurationsdaten Jan Dittberner DevDay 2016 – Dresden, 12.04.2016 11

  12. NACHVOLLZIEHBARE DEPLOYMENTS JENKINS ▶ Software übersetzen, paketieren, automatisch testen mit

    Maven oder anderem Build-Tool ▶ Konfiguration der Software vor dem Deployment ▶ Ausführen von Datenbankmigrationen (bei uns mit Liquibase) ▶ Deployment auf Entwicklungs- und Testumgebungen Jan Dittberner DevDay 2016 – Dresden, 12.04.2016 12

  13. NACHVOLLZIEHBARE DEPLOYMENTS METADATEN Information welcher Softwarestand, in welcher Konfiguration, wo

    deployt ist ▶ benötigt für Testaussagen ▶ benötigt für Monitoring ▶ beim Build werden Versionen in definierte Dateien geschrieben ▶ beim Deployment werden daraus Custom Facts für Puppet und Wiki-Seiten ▶ von Puppet in PuppetDB übertragen Jan Dittberner DevDay 2016 – Dresden, 12.04.2016 13

  14. NACHVOLLZIEHBARE DEPLOYMENTS MONITORING ▶ Auch für Entwicklungs- und Testsysteme nützlich

    ▶ Vermeiden von ” Blindflug“, Früherkennung von Problemen ▶ Üben für den Wirkbetrieb ▶ um manuelle Einrichtung zu vermeiden registrieren sich unsere Maschinen beim Puppetlauf selbst fürs Monitoring durch Icinga2 Jan Dittberner DevDay 2016 – Dresden, 12.04.2016 14

  15. SECURITY-ASPEKTE VERSCHLÜSSELUNG VON CREDENTIALS ▶ betriebliche Anforderung: keine Klartextpasswörter on

    Disk ▶ Lösungen: ▶ Jasypt ▶ Wildfly-Vault (Applikationsserver-spezifischer Mechanismus) ▶ Encrypted Tablespaces in Datenbank Jan Dittberner DevDay 2016 – Dresden, 12.04.2016 15

  16. SECURITY-ASPEKTE VERSCHLÜSSELUNG VON CREDENTIALS Jasypt http://www.jasypt.org/ ▶ Verschlüsselung von Properties,

    Texten oder ganzen Dateien mit Standard-Algorithmen ▶ einfach integrierbar mit Spring, Hibernate und anderen Java-Frameworks ▶ Verschlüsselung passiert bei uns während der Deploymentkonfiguration ▶ Entschlüsselung beim Applikationsstart/ zur Laufzeit Jan Dittberner DevDay 2016 – Dresden, 12.04.2016 16

  17. SECURITY-ASPEKTE ZERTIFIKATE ▶ Anforderung: Alle Netzwerkverbindungen müssen TLS-verschlüsselt sein ▶

    Herausforderung: mehrere hundert gültige Zertifikate in unterschiedlichsten Keystore-Formaten benötigt ▶ Lösung: ▶ Projekt-CA inkl. OCSP-Responder für Entwicklung und Test (aktuell auf Basis von OpenSSL) ▶ Maven-Plugins für Erzeugung von Signing-Request und Keystore-Formaten ▶ Jenkins-Jobs für Steuerung der CA, Erzeugung von umgebungsspezifischen Keystores und Checks auf Zertifikatsablauf Jan Dittberner DevDay 2016 – Dresden, 12.04.2016 17

  18. SECURITY-ASPEKTE ZUGRIFF AUF MASCHINEN ▶ dedizierte Applikationsnutzer ▶ zentrale Verwaltung

    von SSH-Keys (SKM) ▶ Verteilung des SKM-Master-Keys per Puppet ▶ kein Zugriff auf Produktionsmaschinen für Entwicklungs-/Testteam Jan Dittberner DevDay 2016 – Dresden, 12.04.2016 18

  19. SECURITY-ASPEKTE ABSICHERUNG DER (ORACLE-)DATENBANK ▶ Encrypted Tablespaces ▶ Database Vault

    ▶ ermöglicht Vier-Augen-Prinzip für Datenbankänderungen ▶ verhindert Datenzugriff auch für DBAs ▶ zu beachten bei Datenbankmigrationen Jan Dittberner DevDay 2016 – Dresden, 12.04.2016 19

  20. SECURITY-ASPEKTE ABSICHERUNG VON DEPLOYMENTS ▶ unkonfigurierte Lieferartefakte ▶ Konfigurationsdateien nur

    als Templates in der Lieferung ▶ Konfigurationsdaten liegen in getrennten Repositories ▶ Konfiguration findet auf separaten Maschinen statt ▶ Deployment per Key-Based SSH Jan Dittberner DevDay 2016 – Dresden, 12.04.2016 20

  21. FAZIT ▶ Continuos Delivery ist sinnvoll – auch für sicherheitsrelevante

    Projekte ▶ Entwicklungs- und Testumgebungen so wirkbetriebsnah wie möglich ▶ Alles automatisieren – auch Security-Aspekte Jan Dittberner DevDay 2016 – Dresden, 12.04.2016 21

  22. KONTAKT Jan Dittberner T-Systems Multimedia Solutions GmbH Mail: [email protected] Twitter:

    @jandd https://coffeestats.org/ Jan Dittberner DevDay 2016 – Dresden, 12.04.2016 22