SlideShare ist ein Scribd-Unternehmen logo
1 von 28
DevSecOps:
Was, Warum,
Wie?
By Christian Bauer 10/2020
Agenda
► Was ist DevSecOps?
► Warum benötigen wir DevSecOps?
► Wie setzen wir DevSecOps um
► Integration der Security in die DevOps Pipeline
► Tools of Trade
► Kultur
► Und wie sieht es bei der Synaxon aus?
By Christian Bauer 10/2020
Was ist
DevSecOps
► Die Bemühung „Secure by
Default“ zu erreichen
► Sicherheit durch Werkzeuge
integrieren
► Sicherheit als Code-Kultur
schaffen
► Förderung von Cross-Skilling
By Christian Bauer 10/2020
Warum brauchen wir DevSecOps
► DevOps entwickelt sich in einem schnellen Tempo, so dass die
traditionelle Sicherheit / Manuelle Gewährleistung von Sicherheit
nicht Schritt halten kann
► DevSecOps macht es einfacher, das schnelle Entwicklungstempo
und die größere Menge der Deployments zu berücksichtigen
► DevSecOps ermöglicht eine reibungslose Skalierung der Prozesse
► Security als Teil der Prozesse ist der einzige Weg zur Gewährleistung
der Sicherheit
By Christian Bauer 10/2020
Eine Verschiebung nach Links
spart Kosten und Zeit
By Christian Bauer 10/2020
Eine Verschiebung nach Links
spart Kosten und Zeit
By Christian Bauer 10/2020
Wie setzen wir DevSecOps um?
► DevSecOps bedeutet Automatisierung und kultureller Wandel
► Integration von Security Tools in die DevOps Pipeline
► Kultureller Wandel hin zur Akzeptanz/Verständnis von DevSecOps
By Christian Bauer 10/2020
Integration von Sec in DevOps
By Christian Bauer 10/2020
DevOps 🡪 DevSecOps
By Christian Bauer 10/2020
Security
Tools
► Pre-Commit Hooks
► IDE Security Plugin
► Secrets Management
► Software Composition Analysis
► Static Analysis Security Testing
► Dynamic Analysis Security Testing
► Security in Infrastructure as Code
► Compliance as Code
► Vulnerability Management
► Alerting and Monitoring
By Christian Bauer 10/2020
Pre-Commit Hooks
► Sensible Informationen wie Access Keys, Tokens, SSH Keys usw.
werden häufig auf Grund von versehentlichen Git Commits
geleaked
► Pre-commit Hooks können auf den Workstations der Entwickler
eingerichtet werden, um solche Commits zu verhindern
► Dabei werden Commits Regex basierend gefiltert, wodurch sensible
Informationen nicht aktiv commited werden
► Die Entwickler können diesen Schritt weiterhin umgehen, er dient
also nur als Hilfsmittel
By Christian Bauer 10/2020
IDE Security Plugin
► IDE Plugins geben Hinweise bezüglich der Security direkt an die
Entwickler
► Nützlich um unbedachte Fehler zu verhindern
► Arbeiten ebenfalls Regex-based
► Die Entwickler können diesen Schritt weiterhin umgehen, er dient
also nur als Hilfsmittel
By Christian Bauer 10/2020
Secrets
Management
► Häufig werden Credentials in
Config Files abgespeichert
► Ein Leak kann zu einem
Missbrauchsszenario führen
► Ein Secret Management
erlaubt es Tokenbasiert zu
verfahren
By Christian Bauer 10/2020
Software Composition Analysis
► Wir schreiben keine Software, wir verwenden Frameworks
► Größter Teil der Software sind heute Libraries von Drittanbietern
► Die wichtigsten Sprachen bieten Modulverwaltungen
► PIP, NPM, Gems, go get, perl cpan, php packager usw.
► Die Software Composition Analysis führt Prüfungen durch um
veraltete Libraries zu identifizieren
By Christian Bauer 10/2020
Static Analysis Security Testing
► White-Box Security Test mit automatisierten Tools
► Quellcodeanalyse / Analyse der von innen sichtbaren Projektstruktur
► Nützlich um leicht auffindbare Issues wie z.B. SQL Injection, XSS und
unsichere Libraries aussortieren zu können
► Eine Manuelle Verwaltung der False-Positives ist notwendig
By Christian Bauer 10/2020
Tools of The Trade
By Christian Bauer 10/2020
Dynamic Analysis Security Testing
► Black/Grey-Box Security Test mit automatisierten Tools
► SAST liefert nur ein unvollständiges Bild, da SAST die Applikation nur
vor dem Deployment behandelt
► DAST führt einen dynamischen Test auf eine deployte
Testumgebung durch
► DAST hilft dabei Deploymentspezifische Issues zu finden
► Die Ergebnisse der SAST und DAST Tests können verglichen und um
automatischen aussortieren von false-positives verwendet werden
► DAST Tools müssen auf die Umgebung zugeschnitten / konfiguriert
werden, um gute Ergebnisse zu liefern
By Christian Bauer 10/2020
Security in Infrastructure as Code
► IaC ermöglicht die Dokumentation und Versionskontrolle der
Infrastruktur
► IaC ermöglicht die Durchführung von Audits der Infrastruktur
► Docker und Kubernetes Infrastrukturen basieren auf Base Images
► Die Umgebung ist so sicher wie das Base Image
► Base Images sollten möglichst klein sein und müssen untersucht
werden, um vererbte Schwachstellen zu identifizieren
By Christian Bauer 10/2020
Compliance as Code
► Die Compliance kann einem Industriestandard oder einer eigenen
Definition folgen
► Die Compliance ist ein Regelwerk, welches in geschriebene Testfälle
umgewandelt werden kann
► Compliance as Code kann Versioniert, Deployed, getestet und in
ein Monitoring aufgenommen werden
By Christian Bauer 10/2020
Vulnerability Management
► Alle oben genannten Tools führen zu einer Alert Müdigkeit
► Jedes dieser Tools hat eine eigene Form der Präsentation, daher
wird ein zentrales Dashboard für die einheitliche Auswertung der
Daten benötigt
► Das Vulnerability Management System kann in ein Bug Tracking
integriert werden, um Ergebnisse direkt in die Entwicklung
einzubinden
By Christian Bauer 10/2020
Alerting and Monitoring
► Monitoring wird für zwei Ziele benötigt:
► Effektivität/Wirksamkeit der Security Kontrollen
► Was und Wo Verbesserungen notwendig sind
► Beurteilung der Effektivität von Security Kontrollen
► Wann ist der Angriff / Issue erfolgt?
► Wurde der Angriff / Issue blockiert / behoben?
► Wie tief ging der Angriff / Issue (Level of Access)?
► Welche Daten wurden raus oder rein gebracht?
By Christian Bauer 10/2020
Tools of The Trade
By Christian Bauer 10/2020
Beispiel Implementierung - Java
By Christian Bauer 10/2020
Sprachenspezifische Tools
By Christian Bauer 10/2020
DevSecOps Tools in der Cloud
DevSecOps Kultur
► Automatisierung alleine löst das Problem nicht
► Förderung des Security Gedankens insbesondere außerhalt des
Security Teams
► Gemeinsame Ziele von Entwicklung, Operation und Security müssen
identifiziert werden
► Einzelne Personen müssen als Vermittler fungieren
► Zusammenarbeit und Integration aller Instanzen in die Entwicklung
der DevSecOps Kultur
► Kein Blame Game
By Christian Bauer 10/2020
DevSecOps Skillset
► Skills sollten über alle Instanzen verteilt werden 🡪 Skills nicht bei einer
Person, sondern an eine Stellte koordiniert (Security Team) und dann
an die passenden oder interessierten Stellen verteilt
► Skills müssen regelmäßig aufgebaut und erweitert werden
By Christian Bauer 10/2020
Schlusspunkt
► IT Sicherheit liegt in der Verantwortung von jedem Mitarbeiter
► Sicherheit ist ein integraler Bestandteil der DevOps Prozesse und
Feedbacks sollten hier zur Optimierung genutzt werden
► DevSecOps ist keine fertige Lösung, die tatsächliche Umsetzung
(Tools und Kultur) muss sich entwickeln
► Auch wir bei der SYNAXON können DevSecOps, da sich dieses
Vorgehen anpassen und individuell zuschneiden lässt ☺
By Christian Bauer 10/2020

Weitere ähnliche Inhalte

Was ist angesagt?

Kks sre book_ch1,2
Kks sre book_ch1,2Kks sre book_ch1,2
Kks sre book_ch1,2Chris Huang
 
Dataday Texas 2016 - Datadog
Dataday Texas 2016 - DatadogDataday Texas 2016 - Datadog
Dataday Texas 2016 - DatadogDatadog
 
Infrastructure-as-Code (IaC) Using Terraform (Intermediate Edition)
Infrastructure-as-Code (IaC) Using Terraform (Intermediate Edition)Infrastructure-as-Code (IaC) Using Terraform (Intermediate Edition)
Infrastructure-as-Code (IaC) Using Terraform (Intermediate Edition)Adin Ermie
 
Evolution of containers to kubernetes
Evolution of containers to kubernetesEvolution of containers to kubernetes
Evolution of containers to kubernetesKrishna-Kumar
 
Introduction to Kubernetes and Google Container Engine (GKE)
Introduction to Kubernetes and Google Container Engine (GKE)Introduction to Kubernetes and Google Container Engine (GKE)
Introduction to Kubernetes and Google Container Engine (GKE)Opsta
 
Docker Registry V2
Docker Registry V2Docker Registry V2
Docker Registry V2Docker, Inc.
 
Getting started with kubernetes
Getting started with kubernetesGetting started with kubernetes
Getting started with kubernetesJanakiram MSV
 
Elastic Observability
Elastic Observability Elastic Observability
Elastic Observability FaithWestdorp
 
Kubernetes at Datadog the very hard way
Kubernetes at Datadog the very hard wayKubernetes at Datadog the very hard way
Kubernetes at Datadog the very hard wayLaurent Bernaille
 
Make Developers Fly: Principles for Platform Engineering
Make Developers Fly: Principles for Platform EngineeringMake Developers Fly: Principles for Platform Engineering
Make Developers Fly: Principles for Platform EngineeringQAware GmbH
 
CI/CD Pipeline with Kubernetes
CI/CD Pipeline with KubernetesCI/CD Pipeline with Kubernetes
CI/CD Pipeline with KubernetesMukesh Singh
 
Microservices Architecture & Testing Strategies
Microservices Architecture & Testing StrategiesMicroservices Architecture & Testing Strategies
Microservices Architecture & Testing StrategiesAraf Karsh Hamid
 
Getting Started with Infrastructure as Code
Getting Started with Infrastructure as CodeGetting Started with Infrastructure as Code
Getting Started with Infrastructure as CodeWinWire Technologies Inc
 
Infrastructure as Code
Infrastructure as CodeInfrastructure as Code
Infrastructure as CodeRobert Greiner
 
Introduction to Kubernetes Workshop
Introduction to Kubernetes WorkshopIntroduction to Kubernetes Workshop
Introduction to Kubernetes WorkshopBob Killen
 

Was ist angesagt? (20)

Kks sre book_ch1,2
Kks sre book_ch1,2Kks sre book_ch1,2
Kks sre book_ch1,2
 
Advanced Terraform
Advanced TerraformAdvanced Terraform
Advanced Terraform
 
Dataday Texas 2016 - Datadog
Dataday Texas 2016 - DatadogDataday Texas 2016 - Datadog
Dataday Texas 2016 - Datadog
 
Grafana vs Kibana
Grafana vs KibanaGrafana vs Kibana
Grafana vs Kibana
 
Infrastructure-as-Code (IaC) Using Terraform (Intermediate Edition)
Infrastructure-as-Code (IaC) Using Terraform (Intermediate Edition)Infrastructure-as-Code (IaC) Using Terraform (Intermediate Edition)
Infrastructure-as-Code (IaC) Using Terraform (Intermediate Edition)
 
infrastructure as code
infrastructure as codeinfrastructure as code
infrastructure as code
 
Evolution of containers to kubernetes
Evolution of containers to kubernetesEvolution of containers to kubernetes
Evolution of containers to kubernetes
 
Introduction to Kubernetes and Google Container Engine (GKE)
Introduction to Kubernetes and Google Container Engine (GKE)Introduction to Kubernetes and Google Container Engine (GKE)
Introduction to Kubernetes and Google Container Engine (GKE)
 
Docker Registry V2
Docker Registry V2Docker Registry V2
Docker Registry V2
 
Getting started with kubernetes
Getting started with kubernetesGetting started with kubernetes
Getting started with kubernetes
 
Elastic Observability
Elastic Observability Elastic Observability
Elastic Observability
 
Gitops Hands On
Gitops Hands OnGitops Hands On
Gitops Hands On
 
Kubernetes at Datadog the very hard way
Kubernetes at Datadog the very hard wayKubernetes at Datadog the very hard way
Kubernetes at Datadog the very hard way
 
Make Developers Fly: Principles for Platform Engineering
Make Developers Fly: Principles for Platform EngineeringMake Developers Fly: Principles for Platform Engineering
Make Developers Fly: Principles for Platform Engineering
 
CI/CD Pipeline with Kubernetes
CI/CD Pipeline with KubernetesCI/CD Pipeline with Kubernetes
CI/CD Pipeline with Kubernetes
 
Microservices Architecture & Testing Strategies
Microservices Architecture & Testing StrategiesMicroservices Architecture & Testing Strategies
Microservices Architecture & Testing Strategies
 
Getting Started with Infrastructure as Code
Getting Started with Infrastructure as CodeGetting Started with Infrastructure as Code
Getting Started with Infrastructure as Code
 
Infrastructure as Code
Infrastructure as CodeInfrastructure as Code
Infrastructure as Code
 
Serving models using KFServing
Serving models using KFServingServing models using KFServing
Serving models using KFServing
 
Introduction to Kubernetes Workshop
Introduction to Kubernetes WorkshopIntroduction to Kubernetes Workshop
Introduction to Kubernetes Workshop
 

Ähnlich wie DevSecOps .pptx

Continuous Delivery - Aber Sicher?!
Continuous Delivery - Aber Sicher?!Continuous Delivery - Aber Sicher?!
Continuous Delivery - Aber Sicher?!Jan Dittberner
 
DevDay 2016 - Jan Dittberner - Continous Delivery - Aber sicher?!
DevDay 2016 - Jan Dittberner - Continous Delivery - Aber sicher?!DevDay 2016 - Jan Dittberner - Continous Delivery - Aber sicher?!
DevDay 2016 - Jan Dittberner - Continous Delivery - Aber sicher?!DevDay Dresden
 
Software Entwicklung im Team
Software Entwicklung im TeamSoftware Entwicklung im Team
Software Entwicklung im Teambrandts
 
Kaps - Continuous Deployment Roadmap
Kaps - Continuous Deployment RoadmapKaps - Continuous Deployment Roadmap
Kaps - Continuous Deployment RoadmapStephan Kaps
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!Carsten Cordes
 
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen....NET User Group Rhein-Neckar
 
Windows 7 - Preview & Roadmap
Windows 7 - Preview & RoadmapWindows 7 - Preview & Roadmap
Windows 7 - Preview & RoadmapGeorg Binder
 
Node.js - Von der Entwicklugn bis zum produktiven Einsatz
Node.js - Von der Entwicklugn bis zum produktiven EinsatzNode.js - Von der Entwicklugn bis zum produktiven Einsatz
Node.js - Von der Entwicklugn bis zum produktiven EinsatzKai Donato
 
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!Carsten Cordes
 
Das kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturDas kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturQAware GmbH
 
Das kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecDas kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecMario-Leander Reimer
 
Desktop Containers 12: Next Generation of ZENworks Application Virtualization
Desktop Containers 12: Next Generation of ZENworks Application VirtualizationDesktop Containers 12: Next Generation of ZENworks Application Virtualization
Desktop Containers 12: Next Generation of ZENworks Application VirtualizationGWAVA
 
Config as Code: Der Weg zu Configuration as Code
Config as Code: Der Weg zu Configuration as CodeConfig as Code: Der Weg zu Configuration as Code
Config as Code: Der Weg zu Configuration as CodeDevOps Meetup Bern
 
Quo vadis DevOps
Quo vadis DevOpsQuo vadis DevOps
Quo vadis DevOpscusy GmbH
 
Vortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development EnvironmentsVortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development EnvironmentsThorsten Kamann
 
Applikationsmodernisierung: Der Weg von Legacy in die Cloud
Applikationsmodernisierung: Der Weg von Legacy in die CloudApplikationsmodernisierung: Der Weg von Legacy in die Cloud
Applikationsmodernisierung: Der Weg von Legacy in die CloudAarno Aukia
 
Windows as a Service - Herausforderungen ohne Windows Desktop Analytics
Windows as a Service - Herausforderungen ohne Windows Desktop AnalyticsWindows as a Service - Herausforderungen ohne Windows Desktop Analytics
Windows as a Service - Herausforderungen ohne Windows Desktop AnalyticsFabian Niesen
 
Holistische Sicherheit für Microservice-basierte Systeme
Holistische Sicherheit für Microservice-basierte SystemeHolistische Sicherheit für Microservice-basierte Systeme
Holistische Sicherheit für Microservice-basierte SystemeQAware GmbH
 
DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsDevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsStephan Kaps
 
Enterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalEnterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalQAware GmbH
 

Ähnlich wie DevSecOps .pptx (20)

Continuous Delivery - Aber Sicher?!
Continuous Delivery - Aber Sicher?!Continuous Delivery - Aber Sicher?!
Continuous Delivery - Aber Sicher?!
 
DevDay 2016 - Jan Dittberner - Continous Delivery - Aber sicher?!
DevDay 2016 - Jan Dittberner - Continous Delivery - Aber sicher?!DevDay 2016 - Jan Dittberner - Continous Delivery - Aber sicher?!
DevDay 2016 - Jan Dittberner - Continous Delivery - Aber sicher?!
 
Software Entwicklung im Team
Software Entwicklung im TeamSoftware Entwicklung im Team
Software Entwicklung im Team
 
Kaps - Continuous Deployment Roadmap
Kaps - Continuous Deployment RoadmapKaps - Continuous Deployment Roadmap
Kaps - Continuous Deployment Roadmap
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
 
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...
 
Windows 7 - Preview & Roadmap
Windows 7 - Preview & RoadmapWindows 7 - Preview & Roadmap
Windows 7 - Preview & Roadmap
 
Node.js - Von der Entwicklugn bis zum produktiven Einsatz
Node.js - Von der Entwicklugn bis zum produktiven EinsatzNode.js - Von der Entwicklugn bis zum produktiven Einsatz
Node.js - Von der Entwicklugn bis zum produktiven Einsatz
 
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
 
Das kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturDas kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren Architektur
 
Das kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecDas kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSec
 
Desktop Containers 12: Next Generation of ZENworks Application Virtualization
Desktop Containers 12: Next Generation of ZENworks Application VirtualizationDesktop Containers 12: Next Generation of ZENworks Application Virtualization
Desktop Containers 12: Next Generation of ZENworks Application Virtualization
 
Config as Code: Der Weg zu Configuration as Code
Config as Code: Der Weg zu Configuration as CodeConfig as Code: Der Weg zu Configuration as Code
Config as Code: Der Weg zu Configuration as Code
 
Quo vadis DevOps
Quo vadis DevOpsQuo vadis DevOps
Quo vadis DevOps
 
Vortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development EnvironmentsVortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development Environments
 
Applikationsmodernisierung: Der Weg von Legacy in die Cloud
Applikationsmodernisierung: Der Weg von Legacy in die CloudApplikationsmodernisierung: Der Weg von Legacy in die Cloud
Applikationsmodernisierung: Der Weg von Legacy in die Cloud
 
Windows as a Service - Herausforderungen ohne Windows Desktop Analytics
Windows as a Service - Herausforderungen ohne Windows Desktop AnalyticsWindows as a Service - Herausforderungen ohne Windows Desktop Analytics
Windows as a Service - Herausforderungen ohne Windows Desktop Analytics
 
Holistische Sicherheit für Microservice-basierte Systeme
Holistische Sicherheit für Microservice-basierte SystemeHolistische Sicherheit für Microservice-basierte Systeme
Holistische Sicherheit für Microservice-basierte Systeme
 
DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsDevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
 
Enterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalEnterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue Normal
 

DevSecOps .pptx

  • 2. Agenda ► Was ist DevSecOps? ► Warum benötigen wir DevSecOps? ► Wie setzen wir DevSecOps um ► Integration der Security in die DevOps Pipeline ► Tools of Trade ► Kultur ► Und wie sieht es bei der Synaxon aus? By Christian Bauer 10/2020
  • 3. Was ist DevSecOps ► Die Bemühung „Secure by Default“ zu erreichen ► Sicherheit durch Werkzeuge integrieren ► Sicherheit als Code-Kultur schaffen ► Förderung von Cross-Skilling By Christian Bauer 10/2020
  • 4. Warum brauchen wir DevSecOps ► DevOps entwickelt sich in einem schnellen Tempo, so dass die traditionelle Sicherheit / Manuelle Gewährleistung von Sicherheit nicht Schritt halten kann ► DevSecOps macht es einfacher, das schnelle Entwicklungstempo und die größere Menge der Deployments zu berücksichtigen ► DevSecOps ermöglicht eine reibungslose Skalierung der Prozesse ► Security als Teil der Prozesse ist der einzige Weg zur Gewährleistung der Sicherheit By Christian Bauer 10/2020
  • 5. Eine Verschiebung nach Links spart Kosten und Zeit By Christian Bauer 10/2020
  • 6. Eine Verschiebung nach Links spart Kosten und Zeit By Christian Bauer 10/2020
  • 7. Wie setzen wir DevSecOps um? ► DevSecOps bedeutet Automatisierung und kultureller Wandel ► Integration von Security Tools in die DevOps Pipeline ► Kultureller Wandel hin zur Akzeptanz/Verständnis von DevSecOps By Christian Bauer 10/2020
  • 8. Integration von Sec in DevOps By Christian Bauer 10/2020
  • 9. DevOps 🡪 DevSecOps By Christian Bauer 10/2020
  • 10. Security Tools ► Pre-Commit Hooks ► IDE Security Plugin ► Secrets Management ► Software Composition Analysis ► Static Analysis Security Testing ► Dynamic Analysis Security Testing ► Security in Infrastructure as Code ► Compliance as Code ► Vulnerability Management ► Alerting and Monitoring By Christian Bauer 10/2020
  • 11. Pre-Commit Hooks ► Sensible Informationen wie Access Keys, Tokens, SSH Keys usw. werden häufig auf Grund von versehentlichen Git Commits geleaked ► Pre-commit Hooks können auf den Workstations der Entwickler eingerichtet werden, um solche Commits zu verhindern ► Dabei werden Commits Regex basierend gefiltert, wodurch sensible Informationen nicht aktiv commited werden ► Die Entwickler können diesen Schritt weiterhin umgehen, er dient also nur als Hilfsmittel By Christian Bauer 10/2020
  • 12. IDE Security Plugin ► IDE Plugins geben Hinweise bezüglich der Security direkt an die Entwickler ► Nützlich um unbedachte Fehler zu verhindern ► Arbeiten ebenfalls Regex-based ► Die Entwickler können diesen Schritt weiterhin umgehen, er dient also nur als Hilfsmittel By Christian Bauer 10/2020
  • 13. Secrets Management ► Häufig werden Credentials in Config Files abgespeichert ► Ein Leak kann zu einem Missbrauchsszenario führen ► Ein Secret Management erlaubt es Tokenbasiert zu verfahren By Christian Bauer 10/2020
  • 14. Software Composition Analysis ► Wir schreiben keine Software, wir verwenden Frameworks ► Größter Teil der Software sind heute Libraries von Drittanbietern ► Die wichtigsten Sprachen bieten Modulverwaltungen ► PIP, NPM, Gems, go get, perl cpan, php packager usw. ► Die Software Composition Analysis führt Prüfungen durch um veraltete Libraries zu identifizieren By Christian Bauer 10/2020
  • 15. Static Analysis Security Testing ► White-Box Security Test mit automatisierten Tools ► Quellcodeanalyse / Analyse der von innen sichtbaren Projektstruktur ► Nützlich um leicht auffindbare Issues wie z.B. SQL Injection, XSS und unsichere Libraries aussortieren zu können ► Eine Manuelle Verwaltung der False-Positives ist notwendig By Christian Bauer 10/2020
  • 16. Tools of The Trade By Christian Bauer 10/2020
  • 17. Dynamic Analysis Security Testing ► Black/Grey-Box Security Test mit automatisierten Tools ► SAST liefert nur ein unvollständiges Bild, da SAST die Applikation nur vor dem Deployment behandelt ► DAST führt einen dynamischen Test auf eine deployte Testumgebung durch ► DAST hilft dabei Deploymentspezifische Issues zu finden ► Die Ergebnisse der SAST und DAST Tests können verglichen und um automatischen aussortieren von false-positives verwendet werden ► DAST Tools müssen auf die Umgebung zugeschnitten / konfiguriert werden, um gute Ergebnisse zu liefern By Christian Bauer 10/2020
  • 18. Security in Infrastructure as Code ► IaC ermöglicht die Dokumentation und Versionskontrolle der Infrastruktur ► IaC ermöglicht die Durchführung von Audits der Infrastruktur ► Docker und Kubernetes Infrastrukturen basieren auf Base Images ► Die Umgebung ist so sicher wie das Base Image ► Base Images sollten möglichst klein sein und müssen untersucht werden, um vererbte Schwachstellen zu identifizieren By Christian Bauer 10/2020
  • 19. Compliance as Code ► Die Compliance kann einem Industriestandard oder einer eigenen Definition folgen ► Die Compliance ist ein Regelwerk, welches in geschriebene Testfälle umgewandelt werden kann ► Compliance as Code kann Versioniert, Deployed, getestet und in ein Monitoring aufgenommen werden By Christian Bauer 10/2020
  • 20. Vulnerability Management ► Alle oben genannten Tools führen zu einer Alert Müdigkeit ► Jedes dieser Tools hat eine eigene Form der Präsentation, daher wird ein zentrales Dashboard für die einheitliche Auswertung der Daten benötigt ► Das Vulnerability Management System kann in ein Bug Tracking integriert werden, um Ergebnisse direkt in die Entwicklung einzubinden By Christian Bauer 10/2020
  • 21. Alerting and Monitoring ► Monitoring wird für zwei Ziele benötigt: ► Effektivität/Wirksamkeit der Security Kontrollen ► Was und Wo Verbesserungen notwendig sind ► Beurteilung der Effektivität von Security Kontrollen ► Wann ist der Angriff / Issue erfolgt? ► Wurde der Angriff / Issue blockiert / behoben? ► Wie tief ging der Angriff / Issue (Level of Access)? ► Welche Daten wurden raus oder rein gebracht? By Christian Bauer 10/2020
  • 22. Tools of The Trade By Christian Bauer 10/2020
  • 23. Beispiel Implementierung - Java By Christian Bauer 10/2020
  • 25. DevSecOps Tools in der Cloud
  • 26. DevSecOps Kultur ► Automatisierung alleine löst das Problem nicht ► Förderung des Security Gedankens insbesondere außerhalt des Security Teams ► Gemeinsame Ziele von Entwicklung, Operation und Security müssen identifiziert werden ► Einzelne Personen müssen als Vermittler fungieren ► Zusammenarbeit und Integration aller Instanzen in die Entwicklung der DevSecOps Kultur ► Kein Blame Game By Christian Bauer 10/2020
  • 27. DevSecOps Skillset ► Skills sollten über alle Instanzen verteilt werden 🡪 Skills nicht bei einer Person, sondern an eine Stellte koordiniert (Security Team) und dann an die passenden oder interessierten Stellen verteilt ► Skills müssen regelmäßig aufgebaut und erweitert werden By Christian Bauer 10/2020
  • 28. Schlusspunkt ► IT Sicherheit liegt in der Verantwortung von jedem Mitarbeiter ► Sicherheit ist ein integraler Bestandteil der DevOps Prozesse und Feedbacks sollten hier zur Optimierung genutzt werden ► DevSecOps ist keine fertige Lösung, die tatsächliche Umsetzung (Tools und Kultur) muss sich entwickeln ► Auch wir bei der SYNAXON können DevSecOps, da sich dieses Vorgehen anpassen und individuell zuschneiden lässt ☺ By Christian Bauer 10/2020