SlideShare ist ein Scribd-Unternehmen logo

DevSecOps .pptx

Als PPTX, PDF herunterladen
C
ChristianBauer61

Presentation about DevSecOps and AppSecPipelines

Technologie
1 von 28
DevSecOps: Was, Warum, Wie? By Christian Bauer 10/2020
Agenda ► Was ist DevSecOps? ► Warum benötigen wir DevSecOps? ► Wie setzen wir DevSecOps um ► Integration der Security in die DevOps Pipeline ► Tools of Trade ► Kultur ► Und wie sieht es bei der Synaxon aus? By Christian Bauer 10/2020
Was ist DevSecOps ► Die Bemühung „Secure by Default“ zu erreichen ► Sicherheit durch Werkzeuge integrieren ► Sicherheit als Code-Kultur schaffen ► Förderung von Cross-Skilling By Christian Bauer 10/2020
Warum brauchen wir DevSecOps ► DevOps entwickelt sich in einem schnellen Tempo, so dass die traditionelle Sicherheit / Manuelle Gewährleistung von Sicherheit nicht Schritt halten kann ► DevSecOps macht es einfacher, das schnelle Entwicklungstempo und die größere Menge der Deployments zu berücksichtigen ► DevSecOps ermöglicht eine reibungslose Skalierung der Prozesse ► Security als Teil der Prozesse ist der einzige Weg zur Gewährleistung der Sicherheit By Christian Bauer 10/2020
Eine Verschiebung nach Links spart Kosten und Zeit By Christian Bauer 10/2020
Eine Verschiebung nach Links spart Kosten und Zeit By Christian Bauer 10/2020
Wie setzen wir DevSecOps um? ► DevSecOps bedeutet Automatisierung und kultureller Wandel ► Integration von Security Tools in die DevOps Pipeline ► Kultureller Wandel hin zur Akzeptanz/Verständnis von DevSecOps By Christian Bauer 10/2020
Integration von Sec in DevOps By Christian Bauer 10/2020
DevOps 🡪 DevSecOps By Christian Bauer 10/2020
Security Tools ► Pre-Commit Hooks ► IDE Security Plugin ► Secrets Management ► Software Composition Analysis ► Static Analysis Security Testing ► Dynamic Analysis Security Testing ► Security in Infrastructure as Code ► Compliance as Code ► Vulnerability Management ► Alerting and Monitoring By Christian Bauer 10/2020
Pre-Commit Hooks ► Sensible Informationen wie Access Keys, Tokens, SSH Keys usw. werden häufig auf Grund von versehentlichen Git Commits geleaked ► Pre-commit Hooks können auf den Workstations der Entwickler eingerichtet werden, um solche Commits zu verhindern ► Dabei werden Commits Regex basierend gefiltert, wodurch sensible Informationen nicht aktiv commited werden ► Die Entwickler können diesen Schritt weiterhin umgehen, er dient also nur als Hilfsmittel By Christian Bauer 10/2020
IDE Security Plugin ► IDE Plugins geben Hinweise bezüglich der Security direkt an die Entwickler ► Nützlich um unbedachte Fehler zu verhindern ► Arbeiten ebenfalls Regex-based ► Die Entwickler können diesen Schritt weiterhin umgehen, er dient also nur als Hilfsmittel By Christian Bauer 10/2020
Secrets Management ► Häufig werden Credentials in Config Files abgespeichert ► Ein Leak kann zu einem Missbrauchsszenario führen ► Ein Secret Management erlaubt es Tokenbasiert zu verfahren By Christian Bauer 10/2020
Software Composition Analysis ► Wir schreiben keine Software, wir verwenden Frameworks ► Größter Teil der Software sind heute Libraries von Drittanbietern ► Die wichtigsten Sprachen bieten Modulverwaltungen ► PIP, NPM, Gems, go get, perl cpan, php packager usw. ► Die Software Composition Analysis führt Prüfungen durch um veraltete Libraries zu identifizieren By Christian Bauer 10/2020
Static Analysis Security Testing ► White-Box Security Test mit automatisierten Tools ► Quellcodeanalyse / Analyse der von innen sichtbaren Projektstruktur ► Nützlich um leicht auffindbare Issues wie z.B. SQL Injection, XSS und unsichere Libraries aussortieren zu können ► Eine Manuelle Verwaltung der False-Positives ist notwendig By Christian Bauer 10/2020
Tools of The Trade By Christian Bauer 10/2020
Dynamic Analysis Security Testing ► Black/Grey-Box Security Test mit automatisierten Tools ► SAST liefert nur ein unvollständiges Bild, da SAST die Applikation nur vor dem Deployment behandelt ► DAST führt einen dynamischen Test auf eine deployte Testumgebung durch ► DAST hilft dabei Deploymentspezifische Issues zu finden ► Die Ergebnisse der SAST und DAST Tests können verglichen und um automatischen aussortieren von false-positives verwendet werden ► DAST Tools müssen auf die Umgebung zugeschnitten / konfiguriert werden, um gute Ergebnisse zu liefern By Christian Bauer 10/2020
Security in Infrastructure as Code ► IaC ermöglicht die Dokumentation und Versionskontrolle der Infrastruktur ► IaC ermöglicht die Durchführung von Audits der Infrastruktur ► Docker und Kubernetes Infrastrukturen basieren auf Base Images ► Die Umgebung ist so sicher wie das Base Image ► Base Images sollten möglichst klein sein und müssen untersucht werden, um vererbte Schwachstellen zu identifizieren By Christian Bauer 10/2020
Compliance as Code ► Die Compliance kann einem Industriestandard oder einer eigenen Definition folgen ► Die Compliance ist ein Regelwerk, welches in geschriebene Testfälle umgewandelt werden kann ► Compliance as Code kann Versioniert, Deployed, getestet und in ein Monitoring aufgenommen werden By Christian Bauer 10/2020
Vulnerability Management ► Alle oben genannten Tools führen zu einer Alert Müdigkeit ► Jedes dieser Tools hat eine eigene Form der Präsentation, daher wird ein zentrales Dashboard für die einheitliche Auswertung der Daten benötigt ► Das Vulnerability Management System kann in ein Bug Tracking integriert werden, um Ergebnisse direkt in die Entwicklung einzubinden By Christian Bauer 10/2020
Alerting and Monitoring ► Monitoring wird für zwei Ziele benötigt: ► Effektivität/Wirksamkeit der Security Kontrollen ► Was und Wo Verbesserungen notwendig sind ► Beurteilung der Effektivität von Security Kontrollen ► Wann ist der Angriff / Issue erfolgt? ► Wurde der Angriff / Issue blockiert / behoben? ► Wie tief ging der Angriff / Issue (Level of Access)? ► Welche Daten wurden raus oder rein gebracht? By Christian Bauer 10/2020
Tools of The Trade By Christian Bauer 10/2020
Beispiel Implementierung - Java By Christian Bauer 10/2020
Sprachenspezifische Tools By Christian Bauer 10/2020
DevSecOps Tools in der Cloud
DevSecOps Kultur ► Automatisierung alleine löst das Problem nicht ► Förderung des Security Gedankens insbesondere außerhalt des Security Teams ► Gemeinsame Ziele von Entwicklung, Operation und Security müssen identifiziert werden ► Einzelne Personen müssen als Vermittler fungieren ► Zusammenarbeit und Integration aller Instanzen in die Entwicklung der DevSecOps Kultur ► Kein Blame Game By Christian Bauer 10/2020
DevSecOps Skillset ► Skills sollten über alle Instanzen verteilt werden 🡪 Skills nicht bei einer Person, sondern an eine Stellte koordiniert (Security Team) und dann an die passenden oder interessierten Stellen verteilt ► Skills müssen regelmäßig aufgebaut und erweitert werden By Christian Bauer 10/2020
Schlusspunkt ► IT Sicherheit liegt in der Verantwortung von jedem Mitarbeiter ► Sicherheit ist ein integraler Bestandteil der DevOps Prozesse und Feedbacks sollten hier zur Optimierung genutzt werden ► DevSecOps ist keine fertige Lösung, die tatsächliche Umsetzung (Tools und Kultur) muss sich entwickeln ► Auch wir bei der SYNAXON können DevSecOps, da sich dieses Vorgehen anpassen und individuell zuschneiden lässt ☺ By Christian Bauer 10/2020

Empfohlen

DevSecOps What Why and How
DevSecOps What Why and HowDevSecOps What Why and How
DevSecOps What Why and HowNotSoSecure Global Services
 
DevSecOps : an Introduction
DevSecOps : an IntroductionDevSecOps : an Introduction
DevSecOps : an IntroductionPrashanth B. P.
 
DevSecOps reference architectures 2018
DevSecOps reference architectures 2018DevSecOps reference architectures 2018
DevSecOps reference architectures 2018Sonatype
 
DevOps on AWS
DevOps on AWSDevOps on AWS
DevOps on AWSAmazon Web Services
 
Practical DevSecOps Course - Part 1
Practical DevSecOps Course - Part 1Practical DevSecOps Course - Part 1
Practical DevSecOps Course - Part 1Mohammed A. Imran
 
(SEC318) AWS CloudTrail Deep Dive
(SEC318) AWS CloudTrail Deep Dive(SEC318) AWS CloudTrail Deep Dive
(SEC318) AWS CloudTrail Deep DiveAmazon Web Services
 
DevSecOps and the CI/CD Pipeline
DevSecOps and the CI/CD Pipeline DevSecOps and the CI/CD Pipeline
DevSecOps and the CI/CD PipelineJames Wickett
 
DevSecOps Implementation Journey
DevSecOps Implementation JourneyDevSecOps Implementation Journey
DevSecOps Implementation JourneyDevOps Indonesia
 

Empfohlen

DevSecOps What Why and How
DevSecOps What Why and HowDevSecOps What Why and How
DevSecOps What Why and HowNotSoSecure Global Services
 
DevSecOps : an Introduction
DevSecOps : an IntroductionDevSecOps : an Introduction
DevSecOps : an IntroductionPrashanth B. P.
 
DevSecOps reference architectures 2018
DevSecOps reference architectures 2018DevSecOps reference architectures 2018
DevSecOps reference architectures 2018Sonatype
 
DevOps on AWS
DevOps on AWSDevOps on AWS
DevOps on AWSAmazon Web Services
 
Practical DevSecOps Course - Part 1
Practical DevSecOps Course - Part 1Practical DevSecOps Course - Part 1
Practical DevSecOps Course - Part 1Mohammed A. Imran
 
(SEC318) AWS CloudTrail Deep Dive
(SEC318) AWS CloudTrail Deep Dive(SEC318) AWS CloudTrail Deep Dive
(SEC318) AWS CloudTrail Deep DiveAmazon Web Services
 
DevSecOps and the CI/CD Pipeline
DevSecOps and the CI/CD Pipeline DevSecOps and the CI/CD Pipeline
DevSecOps and the CI/CD PipelineJames Wickett
 
DevSecOps Implementation Journey
DevSecOps Implementation JourneyDevSecOps Implementation Journey
DevSecOps Implementation JourneyDevOps Indonesia
 
Slide DevSecOps Microservices
Slide DevSecOps Microservices Slide DevSecOps Microservices
Slide DevSecOps Microservices Hendri Karisma
 
DevOps to DevSecOps Journey..
DevOps to DevSecOps Journey..DevOps to DevSecOps Journey..
DevOps to DevSecOps Journey..Siddharth Joshi
 
DevSecOps Jenkins Pipeline -Security
DevSecOps Jenkins Pipeline -SecurityDevSecOps Jenkins Pipeline -Security
DevSecOps Jenkins Pipeline -Securityn|u - The Open Security Community
 
DevSecOps 101
DevSecOps 101DevSecOps 101
DevSecOps 101Narudom Roongsiriwong, CISSP
 
How to Get Started with DevSecOps
How to Get Started with DevSecOpsHow to Get Started with DevSecOps
How to Get Started with DevSecOpsCYBRIC
 
DevSecOps in Baby Steps
DevSecOps in Baby StepsDevSecOps in Baby Steps
DevSecOps in Baby StepsPriyanka Aash
 
DevSecOps Basics with Azure Pipelines
DevSecOps Basics with Azure Pipelines DevSecOps Basics with Azure Pipelines
DevSecOps Basics with Azure Pipelines Abdul_Mujeeb
 
Introduction to DevSecOps
Introduction to DevSecOpsIntroduction to DevSecOps
Introduction to DevSecOpsabhimanyubhogwan
 
Implementing DevSecOps
Implementing DevSecOpsImplementing DevSecOps
Implementing DevSecOpsAmazon Web Services
 
DevSecOps: What Why and How : Blackhat 2019
DevSecOps: What Why and How : Blackhat 2019DevSecOps: What Why and How : Blackhat 2019
DevSecOps: What Why and How : Blackhat 2019NotSoSecure Global Services
 
Dos and Don'ts of DevSecOps
Dos and Don'ts of DevSecOpsDos and Don'ts of DevSecOps
Dos and Don'ts of DevSecOpsPriyanka Aash
 
Introduction to DevSecOps
Introduction to DevSecOpsIntroduction to DevSecOps
Introduction to DevSecOpsAmazon Web Services
 
DEVSECOPS.pptx
DEVSECOPS.pptxDEVSECOPS.pptx
DEVSECOPS.pptxMohammadSaif904342
 
[DevSecOps Live] DevSecOps: Challenges and Opportunities
[DevSecOps Live] DevSecOps: Challenges and Opportunities[DevSecOps Live] DevSecOps: Challenges and Opportunities
[DevSecOps Live] DevSecOps: Challenges and OpportunitiesMohammed A. Imran
 
Introduction to DevSecOps
Introduction to DevSecOpsIntroduction to DevSecOps
Introduction to DevSecOpsSetu Parimi
 
Secure Code review - Veracode SaaS Platform - Saudi Green Method
Secure Code review - Veracode SaaS Platform - Saudi Green MethodSecure Code review - Veracode SaaS Platform - Saudi Green Method
Secure Code review - Veracode SaaS Platform - Saudi Green MethodSalil Kumar Subramony
 
Integrating Security into DevOps and CI / CD Environments - Pop-up Loft TLV 2017
Integrating Security into DevOps and CI / CD Environments - Pop-up Loft TLV 2017Integrating Security into DevOps and CI / CD Environments - Pop-up Loft TLV 2017
Integrating Security into DevOps and CI / CD Environments - Pop-up Loft TLV 2017Amazon Web Services
 
DevSecOps | DevOps Sec
DevSecOps | DevOps SecDevSecOps | DevOps Sec
DevSecOps | DevOps SecRubal Jain
 
Practical DevSecOps - Arief Karfianto
Practical DevSecOps - Arief KarfiantoPractical DevSecOps - Arief Karfianto
Practical DevSecOps - Arief Karfiantoidsecconf
 
DevSecOps
DevSecOpsDevSecOps
DevSecOpsJoel Divekar
 
Continuous Delivery - Aber Sicher?!
Continuous Delivery - Aber Sicher?!Continuous Delivery - Aber Sicher?!
Continuous Delivery - Aber Sicher?!Jan Dittberner
 
DevDay 2016 - Jan Dittberner - Continous Delivery - Aber sicher?!
DevDay 2016 - Jan Dittberner - Continous Delivery - Aber sicher?!DevDay 2016 - Jan Dittberner - Continous Delivery - Aber sicher?!
DevDay 2016 - Jan Dittberner - Continous Delivery - Aber sicher?!DevDay Dresden
 

Weitere ähnliche Inhalte

Was ist angesagt?

Slide DevSecOps Microservices
Slide DevSecOps Microservices Slide DevSecOps Microservices
Slide DevSecOps Microservices Hendri Karisma
 
DevOps to DevSecOps Journey..
DevOps to DevSecOps Journey..DevOps to DevSecOps Journey..
DevOps to DevSecOps Journey..Siddharth Joshi
 
How to Get Started with DevSecOps
How to Get Started with DevSecOpsHow to Get Started with DevSecOps
How to Get Started with DevSecOpsCYBRIC
 
DevSecOps in Baby Steps
DevSecOps in Baby StepsDevSecOps in Baby Steps
DevSecOps in Baby StepsPriyanka Aash
 
DevSecOps Basics with Azure Pipelines
DevSecOps Basics with Azure Pipelines DevSecOps Basics with Azure Pipelines
DevSecOps Basics with Azure Pipelines Abdul_Mujeeb
 
Dos and Don'ts of DevSecOps
Dos and Don'ts of DevSecOpsDos and Don'ts of DevSecOps
Dos and Don'ts of DevSecOpsPriyanka Aash
 
[DevSecOps Live] DevSecOps: Challenges and Opportunities
[DevSecOps Live] DevSecOps: Challenges and Opportunities[DevSecOps Live] DevSecOps: Challenges and Opportunities
[DevSecOps Live] DevSecOps: Challenges and OpportunitiesMohammed A. Imran
 
Introduction to DevSecOps
Introduction to DevSecOpsIntroduction to DevSecOps
Introduction to DevSecOpsSetu Parimi
 
Secure Code review - Veracode SaaS Platform - Saudi Green Method
Secure Code review - Veracode SaaS Platform - Saudi Green MethodSecure Code review - Veracode SaaS Platform - Saudi Green Method
Secure Code review - Veracode SaaS Platform - Saudi Green MethodSalil Kumar Subramony
 
Integrating Security into DevOps and CI / CD Environments - Pop-up Loft TLV 2017
Integrating Security into DevOps and CI / CD Environments - Pop-up Loft TLV 2017Integrating Security into DevOps and CI / CD Environments - Pop-up Loft TLV 2017
Integrating Security into DevOps and CI / CD Environments - Pop-up Loft TLV 2017Amazon Web Services
 
DevSecOps | DevOps Sec
DevSecOps | DevOps SecDevSecOps | DevOps Sec
DevSecOps | DevOps SecRubal Jain
 
Practical DevSecOps - Arief Karfianto
Practical DevSecOps - Arief KarfiantoPractical DevSecOps - Arief Karfianto
Practical DevSecOps - Arief Karfiantoidsecconf
 

Was ist angesagt? (20)

Slide DevSecOps Microservices
Slide DevSecOps Microservices Slide DevSecOps Microservices
Slide DevSecOps Microservices
 
DevOps to DevSecOps Journey..
DevOps to DevSecOps Journey..DevOps to DevSecOps Journey..
DevOps to DevSecOps Journey..
 
DevSecOps Jenkins Pipeline -Security
DevSecOps Jenkins Pipeline -SecurityDevSecOps Jenkins Pipeline -Security
DevSecOps Jenkins Pipeline -Security
 
DevSecOps 101
DevSecOps 101DevSecOps 101
DevSecOps 101
 
How to Get Started with DevSecOps
How to Get Started with DevSecOpsHow to Get Started with DevSecOps
How to Get Started with DevSecOps
 
DevSecOps in Baby Steps
DevSecOps in Baby StepsDevSecOps in Baby Steps
DevSecOps in Baby Steps
 
DevSecOps Basics with Azure Pipelines
DevSecOps Basics with Azure Pipelines DevSecOps Basics with Azure Pipelines
DevSecOps Basics with Azure Pipelines
 
Introduction to DevSecOps
Introduction to DevSecOpsIntroduction to DevSecOps
Introduction to DevSecOps
 
Implementing DevSecOps
Implementing DevSecOpsImplementing DevSecOps
Implementing DevSecOps
 
DevSecOps: What Why and How : Blackhat 2019
DevSecOps: What Why and How : Blackhat 2019DevSecOps: What Why and How : Blackhat 2019
DevSecOps: What Why and How : Blackhat 2019
 
Dos and Don'ts of DevSecOps
Dos and Don'ts of DevSecOpsDos and Don'ts of DevSecOps
Dos and Don'ts of DevSecOps
 
Introduction to DevSecOps
Introduction to DevSecOpsIntroduction to DevSecOps
Introduction to DevSecOps
 
DEVSECOPS.pptx
DEVSECOPS.pptxDEVSECOPS.pptx
DEVSECOPS.pptx
 
[DevSecOps Live] DevSecOps: Challenges and Opportunities
[DevSecOps Live] DevSecOps: Challenges and Opportunities[DevSecOps Live] DevSecOps: Challenges and Opportunities
[DevSecOps Live] DevSecOps: Challenges and Opportunities
 
Introduction to DevSecOps
Introduction to DevSecOpsIntroduction to DevSecOps
Introduction to DevSecOps
 
Secure Code review - Veracode SaaS Platform - Saudi Green Method
Secure Code review - Veracode SaaS Platform - Saudi Green MethodSecure Code review - Veracode SaaS Platform - Saudi Green Method
Secure Code review - Veracode SaaS Platform - Saudi Green Method
 
Integrating Security into DevOps and CI / CD Environments - Pop-up Loft TLV 2017
Integrating Security into DevOps and CI / CD Environments - Pop-up Loft TLV 2017Integrating Security into DevOps and CI / CD Environments - Pop-up Loft TLV 2017
Integrating Security into DevOps and CI / CD Environments - Pop-up Loft TLV 2017
 
DevSecOps | DevOps Sec
DevSecOps | DevOps SecDevSecOps | DevOps Sec
DevSecOps | DevOps Sec
 
Practical DevSecOps - Arief Karfianto
Practical DevSecOps - Arief KarfiantoPractical DevSecOps - Arief Karfianto
Practical DevSecOps - Arief Karfianto
 
DevSecOps
DevSecOpsDevSecOps
DevSecOps
 

Ähnlich wie DevSecOps .pptx

Continuous Delivery - Aber Sicher?!
Continuous Delivery - Aber Sicher?!Continuous Delivery - Aber Sicher?!
Continuous Delivery - Aber Sicher?!Jan Dittberner
 
DevDay 2016 - Jan Dittberner - Continous Delivery - Aber sicher?!
DevDay 2016 - Jan Dittberner - Continous Delivery - Aber sicher?!DevDay 2016 - Jan Dittberner - Continous Delivery - Aber sicher?!
DevDay 2016 - Jan Dittberner - Continous Delivery - Aber sicher?!DevDay Dresden
 
Software Entwicklung im Team
Software Entwicklung im TeamSoftware Entwicklung im Team
Software Entwicklung im Teambrandts
 
Kaps - Continuous Deployment Roadmap
Kaps - Continuous Deployment RoadmapKaps - Continuous Deployment Roadmap
Kaps - Continuous Deployment RoadmapStephan Kaps
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!Carsten Cordes
 
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen....NET User Group Rhein-Neckar
 
Windows 7 - Preview & Roadmap
Windows 7 - Preview & RoadmapWindows 7 - Preview & Roadmap
Windows 7 - Preview & RoadmapGeorg Binder
 
Node.js - Von der Entwicklugn bis zum produktiven Einsatz
Node.js - Von der Entwicklugn bis zum produktiven EinsatzNode.js - Von der Entwicklugn bis zum produktiven Einsatz
Node.js - Von der Entwicklugn bis zum produktiven EinsatzKai Donato
 
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!Carsten Cordes
 
Das kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturDas kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturQAware GmbH
 
Das kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecDas kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecMario-Leander Reimer
 
Desktop Containers 12: Next Generation of ZENworks Application Virtualization
Desktop Containers 12: Next Generation of ZENworks Application VirtualizationDesktop Containers 12: Next Generation of ZENworks Application Virtualization
Desktop Containers 12: Next Generation of ZENworks Application VirtualizationGWAVA
 
Config as Code: Der Weg zu Configuration as Code
Config as Code: Der Weg zu Configuration as CodeConfig as Code: Der Weg zu Configuration as Code
Config as Code: Der Weg zu Configuration as CodeDevOps Meetup Bern
 
Quo vadis DevOps
Quo vadis DevOpsQuo vadis DevOps
Quo vadis DevOpscusy GmbH
 
Vortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development EnvironmentsVortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development EnvironmentsThorsten Kamann
 
Applikationsmodernisierung: Der Weg von Legacy in die Cloud
Applikationsmodernisierung: Der Weg von Legacy in die CloudApplikationsmodernisierung: Der Weg von Legacy in die Cloud
Applikationsmodernisierung: Der Weg von Legacy in die CloudAarno Aukia
 
Windows as a Service - Herausforderungen ohne Windows Desktop Analytics
Windows as a Service - Herausforderungen ohne Windows Desktop AnalyticsWindows as a Service - Herausforderungen ohne Windows Desktop Analytics
Windows as a Service - Herausforderungen ohne Windows Desktop AnalyticsFabian Niesen
 
Holistische Sicherheit für Microservice-basierte Systeme
Holistische Sicherheit für Microservice-basierte SystemeHolistische Sicherheit für Microservice-basierte Systeme
Holistische Sicherheit für Microservice-basierte SystemeQAware GmbH
 
DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsDevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsStephan Kaps
 
Enterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalEnterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalQAware GmbH
 

Ähnlich wie DevSecOps .pptx (20)

Continuous Delivery - Aber Sicher?!
Continuous Delivery - Aber Sicher?!Continuous Delivery - Aber Sicher?!
Continuous Delivery - Aber Sicher?!
 
DevDay 2016 - Jan Dittberner - Continous Delivery - Aber sicher?!
DevDay 2016 - Jan Dittberner - Continous Delivery - Aber sicher?!DevDay 2016 - Jan Dittberner - Continous Delivery - Aber sicher?!
DevDay 2016 - Jan Dittberner - Continous Delivery - Aber sicher?!
 
Software Entwicklung im Team
Software Entwicklung im TeamSoftware Entwicklung im Team
Software Entwicklung im Team
 
Kaps - Continuous Deployment Roadmap
Kaps - Continuous Deployment RoadmapKaps - Continuous Deployment Roadmap
Kaps - Continuous Deployment Roadmap
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
 
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...
 
Windows 7 - Preview & Roadmap
Windows 7 - Preview & RoadmapWindows 7 - Preview & Roadmap
Windows 7 - Preview & Roadmap
 
Node.js - Von der Entwicklugn bis zum produktiven Einsatz
Node.js - Von der Entwicklugn bis zum produktiven EinsatzNode.js - Von der Entwicklugn bis zum produktiven Einsatz
Node.js - Von der Entwicklugn bis zum produktiven Einsatz
 
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
 
Das kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturDas kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren Architektur
 
Das kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecDas kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSec
 
Desktop Containers 12: Next Generation of ZENworks Application Virtualization
Desktop Containers 12: Next Generation of ZENworks Application VirtualizationDesktop Containers 12: Next Generation of ZENworks Application Virtualization
Desktop Containers 12: Next Generation of ZENworks Application Virtualization
 
Config as Code: Der Weg zu Configuration as Code
Config as Code: Der Weg zu Configuration as CodeConfig as Code: Der Weg zu Configuration as Code
Config as Code: Der Weg zu Configuration as Code
 
Quo vadis DevOps
Quo vadis DevOpsQuo vadis DevOps
Quo vadis DevOps
 
Vortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development EnvironmentsVortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development Environments
 
Applikationsmodernisierung: Der Weg von Legacy in die Cloud
Applikationsmodernisierung: Der Weg von Legacy in die CloudApplikationsmodernisierung: Der Weg von Legacy in die Cloud
Applikationsmodernisierung: Der Weg von Legacy in die Cloud
 
Windows as a Service - Herausforderungen ohne Windows Desktop Analytics
Windows as a Service - Herausforderungen ohne Windows Desktop AnalyticsWindows as a Service - Herausforderungen ohne Windows Desktop Analytics
Windows as a Service - Herausforderungen ohne Windows Desktop Analytics
 
Holistische Sicherheit für Microservice-basierte Systeme
Holistische Sicherheit für Microservice-basierte SystemeHolistische Sicherheit für Microservice-basierte Systeme
Holistische Sicherheit für Microservice-basierte Systeme
 
DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsDevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
 
Enterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalEnterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue Normal
 

DevSecOps .pptx

  • 2. Agenda ► Was ist DevSecOps? ► Warum benötigen wir DevSecOps? ► Wie setzen wir DevSecOps um ► Integration der Security in die DevOps Pipeline ► Tools of Trade ► Kultur ► Und wie sieht es bei der Synaxon aus? By Christian Bauer 10/2020
  • 3. Was ist DevSecOps ► Die Bemühung „Secure by Default“ zu erreichen ► Sicherheit durch Werkzeuge integrieren ► Sicherheit als Code-Kultur schaffen ► Förderung von Cross-Skilling By Christian Bauer 10/2020
  • 4. Warum brauchen wir DevSecOps ► DevOps entwickelt sich in einem schnellen Tempo, so dass die traditionelle Sicherheit / Manuelle Gewährleistung von Sicherheit nicht Schritt halten kann ► DevSecOps macht es einfacher, das schnelle Entwicklungstempo und die größere Menge der Deployments zu berücksichtigen ► DevSecOps ermöglicht eine reibungslose Skalierung der Prozesse ► Security als Teil der Prozesse ist der einzige Weg zur Gewährleistung der Sicherheit By Christian Bauer 10/2020
  • 5. Eine Verschiebung nach Links spart Kosten und Zeit By Christian Bauer 10/2020
  • 6. Eine Verschiebung nach Links spart Kosten und Zeit By Christian Bauer 10/2020
  • 7. Wie setzen wir DevSecOps um? ► DevSecOps bedeutet Automatisierung und kultureller Wandel ► Integration von Security Tools in die DevOps Pipeline ► Kultureller Wandel hin zur Akzeptanz/Verständnis von DevSecOps By Christian Bauer 10/2020
  • 8. Integration von Sec in DevOps By Christian Bauer 10/2020
  • 9. DevOps 🡪 DevSecOps By Christian Bauer 10/2020
  • 10. Security Tools ► Pre-Commit Hooks ► IDE Security Plugin ► Secrets Management ► Software Composition Analysis ► Static Analysis Security Testing ► Dynamic Analysis Security Testing ► Security in Infrastructure as Code ► Compliance as Code ► Vulnerability Management ► Alerting and Monitoring By Christian Bauer 10/2020
  • 11. Pre-Commit Hooks ► Sensible Informationen wie Access Keys, Tokens, SSH Keys usw. werden häufig auf Grund von versehentlichen Git Commits geleaked ► Pre-commit Hooks können auf den Workstations der Entwickler eingerichtet werden, um solche Commits zu verhindern ► Dabei werden Commits Regex basierend gefiltert, wodurch sensible Informationen nicht aktiv commited werden ► Die Entwickler können diesen Schritt weiterhin umgehen, er dient also nur als Hilfsmittel By Christian Bauer 10/2020
  • 12. IDE Security Plugin ► IDE Plugins geben Hinweise bezüglich der Security direkt an die Entwickler ► Nützlich um unbedachte Fehler zu verhindern ► Arbeiten ebenfalls Regex-based ► Die Entwickler können diesen Schritt weiterhin umgehen, er dient also nur als Hilfsmittel By Christian Bauer 10/2020
  • 13. Secrets Management ► Häufig werden Credentials in Config Files abgespeichert ► Ein Leak kann zu einem Missbrauchsszenario führen ► Ein Secret Management erlaubt es Tokenbasiert zu verfahren By Christian Bauer 10/2020
  • 14. Software Composition Analysis ► Wir schreiben keine Software, wir verwenden Frameworks ► Größter Teil der Software sind heute Libraries von Drittanbietern ► Die wichtigsten Sprachen bieten Modulverwaltungen ► PIP, NPM, Gems, go get, perl cpan, php packager usw. ► Die Software Composition Analysis führt Prüfungen durch um veraltete Libraries zu identifizieren By Christian Bauer 10/2020
  • 15. Static Analysis Security Testing ► White-Box Security Test mit automatisierten Tools ► Quellcodeanalyse / Analyse der von innen sichtbaren Projektstruktur ► Nützlich um leicht auffindbare Issues wie z.B. SQL Injection, XSS und unsichere Libraries aussortieren zu können ► Eine Manuelle Verwaltung der False-Positives ist notwendig By Christian Bauer 10/2020
  • 16. Tools of The Trade By Christian Bauer 10/2020
  • 17. Dynamic Analysis Security Testing ► Black/Grey-Box Security Test mit automatisierten Tools ► SAST liefert nur ein unvollständiges Bild, da SAST die Applikation nur vor dem Deployment behandelt ► DAST führt einen dynamischen Test auf eine deployte Testumgebung durch ► DAST hilft dabei Deploymentspezifische Issues zu finden ► Die Ergebnisse der SAST und DAST Tests können verglichen und um automatischen aussortieren von false-positives verwendet werden ► DAST Tools müssen auf die Umgebung zugeschnitten / konfiguriert werden, um gute Ergebnisse zu liefern By Christian Bauer 10/2020
  • 18. Security in Infrastructure as Code ► IaC ermöglicht die Dokumentation und Versionskontrolle der Infrastruktur ► IaC ermöglicht die Durchführung von Audits der Infrastruktur ► Docker und Kubernetes Infrastrukturen basieren auf Base Images ► Die Umgebung ist so sicher wie das Base Image ► Base Images sollten möglichst klein sein und müssen untersucht werden, um vererbte Schwachstellen zu identifizieren By Christian Bauer 10/2020
  • 19. Compliance as Code ► Die Compliance kann einem Industriestandard oder einer eigenen Definition folgen ► Die Compliance ist ein Regelwerk, welches in geschriebene Testfälle umgewandelt werden kann ► Compliance as Code kann Versioniert, Deployed, getestet und in ein Monitoring aufgenommen werden By Christian Bauer 10/2020
  • 20. Vulnerability Management ► Alle oben genannten Tools führen zu einer Alert Müdigkeit ► Jedes dieser Tools hat eine eigene Form der Präsentation, daher wird ein zentrales Dashboard für die einheitliche Auswertung der Daten benötigt ► Das Vulnerability Management System kann in ein Bug Tracking integriert werden, um Ergebnisse direkt in die Entwicklung einzubinden By Christian Bauer 10/2020
  • 21. Alerting and Monitoring ► Monitoring wird für zwei Ziele benötigt: ► Effektivität/Wirksamkeit der Security Kontrollen ► Was und Wo Verbesserungen notwendig sind ► Beurteilung der Effektivität von Security Kontrollen ► Wann ist der Angriff / Issue erfolgt? ► Wurde der Angriff / Issue blockiert / behoben? ► Wie tief ging der Angriff / Issue (Level of Access)? ► Welche Daten wurden raus oder rein gebracht? By Christian Bauer 10/2020
  • 22. Tools of The Trade By Christian Bauer 10/2020
  • 23. Beispiel Implementierung - Java By Christian Bauer 10/2020
  • 25. DevSecOps Tools in der Cloud
  • 26. DevSecOps Kultur ► Automatisierung alleine löst das Problem nicht ► Förderung des Security Gedankens insbesondere außerhalt des Security Teams ► Gemeinsame Ziele von Entwicklung, Operation und Security müssen identifiziert werden ► Einzelne Personen müssen als Vermittler fungieren ► Zusammenarbeit und Integration aller Instanzen in die Entwicklung der DevSecOps Kultur ► Kein Blame Game By Christian Bauer 10/2020
  • 27. DevSecOps Skillset ► Skills sollten über alle Instanzen verteilt werden 🡪 Skills nicht bei einer Person, sondern an eine Stellte koordiniert (Security Team) und dann an die passenden oder interessierten Stellen verteilt ► Skills müssen regelmäßig aufgebaut und erweitert werden By Christian Bauer 10/2020
  • 28. Schlusspunkt ► IT Sicherheit liegt in der Verantwortung von jedem Mitarbeiter ► Sicherheit ist ein integraler Bestandteil der DevOps Prozesse und Feedbacks sollten hier zur Optimierung genutzt werden ► DevSecOps ist keine fertige Lösung, die tatsächliche Umsetzung (Tools und Kultur) muss sich entwickeln ► Auch wir bei der SYNAXON können DevSecOps, da sich dieses Vorgehen anpassen und individuell zuschneiden lässt ☺ By Christian Bauer 10/2020