Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Transición a DevSecOps (2020)

Transición a DevSecOps (2020)

Webinar para DevSecOps Community Hub acerca de la transición desde un enfoque de Seguridad tradicional hacia DevSecOps

Agustin Celano

May 12, 2020
Tweet

More Decks by Agustin Celano

Other Decks in Technology

Transcript

  1. • Proyecto creado con el objetivo de difundir contenido de

    interés para la comunidad DevSecOps en Argentina (y por qué no en la región? ☺) • 100% comunitario y vendorless. No participa, ni financia, ni se recomienda algún vendor en particular. El mantenimiento es en base al esfuerzo de todos ☺ • Contenido: • Información general • Noticias • Webinars • Tutoriales • Lecturas • Cursos • Certificaciones disponibles • Tools • Etc… Proyecto DSOC-Hub
  2. Acerca del Ponente • Baite C& S (baite.com.ar) • 10

    años de experiencia en Ciberseguridad • Últimos 3 años enfocado en Security-as-Code • 5 años de experiencia dictando capacitaciones • Instructor Cisco • Instructor DevOps Institute • Cursos propios • DevOps Institute Ambassador & REP /agustincelano @agustincelano /celagus [email protected] AGUSTIN CELANO CISSP | DSOE | DOL | CCNP
  3. - Decisiones ágiles - Descentralización - Riesgo compartido - Eficiencia

    - MVP - Desarrollo iterativo - IT Operations - Developers
  4. El CBK (Common Body of Knowledge) tradicional de la Ciberseguridad

    no se lleva del todo bien con DevOps… El desafío sobre algunos prácticas básicas inmediatamente pone en conflicto intereses de la disciplina.
  5. CI/CD Pipeline Ejemplo de pipeline DevOps Etapa de definiciones Etapa

    de precompilación Etapa de poscompilación Integración Continua
  6. CI/CD Pipeline Seguridad integrada en el pipeline DevOps SCA SAST

    IAST DAST RASP VULN SCAN HARDENING + PATCH PENTEST
  7. CI/CD Pipeline Pipeline DevSecOps paralelo DAST VULN SCAN HARDENING +

    PATCH PENTEST Security Orquestrator Posibles escenarios: • Adopción de DevOps pero con funcionamiento en silos • DevOps como servicio oscuro • Control parcial sobre sistemas legacy “Blackbox”