Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Transición a DevSecOps (2020)

Agustin Celano
May 12, 2020
Technology
1
96

Transición a DevSecOps (2020)

Webinar para DevSecOps Community Hub acerca de la transición desde un enfoque de Seguridad tradicional hacia DevSecOps

Agustin Celano

May 12, 2020
Tweet

More Decks by Agustin Celano

See All by Agustin Celano
Seguridad en startups: 7 cosas que tenés que saber ()
celagus
0
37
Gestión de Findings en AWS: lo que sí, lo que no y algunas perlitas! (2023)
celagus
0
67
Event-driven Security Architecture (2022)
celagus
0
19
AppSec Vulnerability Management Pipelines (2020)
celagus
0
90
Ansible para DevSecops (2020)
celagus
1
100

Other Decks in Technology

See All in Technology
Amazon_CloudWatch_ログ異常検出_導入ガイド
tsujiba
4
1.6k
VPC間の接続方法を整理してみた #自治体クラウド勉強会
non97
1
850
グローバル展開を見据えたサービスにおける機械翻訳プラクティス / dp-ai-translating
cyberagentdevelopers
PRO
1
150
とあるユーザー企業におけるリスクベースで考えるセキュリティ業務のお話し
4su_para
3
330
CAMERA-Suite: 広告文生成のための評価スイート / ai-camera-suite
cyberagentdevelopers
PRO
3
270
2024-10-30-reInventStandby_StudyGroup_Intro
shinichirokawano
1
630
新R25、乃木坂46 Mobileなどのファンビジネスを支えるマルチテナンシーなプラットフォームの全体像 / cam-multi-cloud
cyberagentdevelopers
PRO
1
130
ガチ勢によるPipeCD運用大全〜滑らかなCI/CDを添えて〜 / ai-pipecd-encyclopedia
cyberagentdevelopers
PRO
3
210
カメラを用いた店内計測におけるオプトインの仕組みの実現 / ai-optin-camera
cyberagentdevelopers
PRO
1
120
Vueで Webコンポーネントを作って Reactで使う / 20241030-cloudsign-vuefes_after_night
bengo4com
4
2.5k
なんで、私がAWS Heroに!? 〜社外の広い世界に一歩踏み出そう〜
minorun365
PRO
6
1.1k
君は隠しイベントを見つけれるか?
mujyun
0
290

Featured

See All Featured
Adopting Sorbet at Scale
ufuk
73
9k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
131
33k
The Invisible Side of Design
smashingmag
297
50k
How GitHub (no longer) Works
holman
311
140k
Making Projects Easy
brettharned
115
5.9k
Music & Morning Musume
bryan
46
6.1k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
28
7.9k
Reflections from 52 weeks, 52 projects
jeffersonlam
346
20k
Producing Creativity
orderedlist
PRO
341
39k
A Modern Web Designer's Workflow
chriscoyier
692
190k
Agile that works and the tools we love
rasmusluckow
327
21k
Code Reviewing Like a Champion
maltzj
519
39k

Transcript

  1. Webinar series: por Agustin Celano Martes 2020.05.12 19hs UTC-3 @ar_devsecops

  2. • Proyecto creado con el objetivo de difundir contenido de

    interés para la comunidad DevSecOps en Argentina (y por qué no en la región? ☺) • 100% comunitario y vendorless. No participa, ni financia, ni se recomienda algún vendor en particular. El mantenimiento es en base al esfuerzo de todos ☺ • Contenido: • Información general • Noticias • Webinars • Tutoriales • Lecturas • Cursos • Certificaciones disponibles • Tools • Etc… Proyecto DSOC-Hub

  3. Acerca del Ponente • Baite C& S (baite.com.ar) • 10

    años de experiencia en Ciberseguridad • Últimos 3 años enfocado en Security-as-Code • 5 años de experiencia dictando capacitaciones • Instructor Cisco • Instructor DevOps Institute • Cursos propios • DevOps Institute Ambassador & REP /agustincelano @agustincelano /celagus [email protected] AGUSTIN CELANO CISSP | DSOE | DOL | CCNP

  4. - Decisiones ágiles - Descentralización - Riesgo compartido - Eficiencia

    - MVP - Desarrollo iterativo - IT Operations - Developers

  5. CULTURA CENTRALIZACIÓN DE LAS DECISIONES MVP ENTREGA ÚNICA

  6. El CBK (Common Body of Knowledge) tradicional de la Ciberseguridad

    no se lleva del todo bien con DevOps… El desafío sobre algunos prácticas básicas inmediatamente pone en conflicto intereses de la disciplina.

  7. Segregación de funciones 4-eye principle Testing fuera de producción Dueños

    del Riesgo Burocracia
  8. None
  9. None

  10. Security as Code { { Shift Left

  11. CI/CD Pipeline Ejemplo de pipeline DevOps Etapa de definiciones Etapa

    de precompilación Etapa de poscompilación Integración Continua

  12. CI/CD Pipeline Seguridad integrada en el pipeline DevOps SCA SAST

    IAST DAST RASP VULN SCAN HARDENING + PATCH PENTEST
  13. None

  14. CI/CD Pipeline Pipeline DevSecOps paralelo DAST VULN SCAN HARDENING +

    PATCH PENTEST Security Orquestrator Posibles escenarios: • Adopción de DevOps pero con funcionamiento en silos • DevOps como servicio oscuro • Control parcial sobre sistemas legacy “Blackbox”
  15. None

  16. CULTURA DE LA SINERGIA

  17. None
  18. None
  19. None
  20. None
  21. None