Upload File

Ágil + devsecops = la seguridad como código · estándar del ci/cd. en devsecops hay seguridad en...

  • Home
  • Documents
  • Ágil + DevSecOps = la seguridad como código · estándar del CI/CD. En DevSecOps hay seguridad en cada paso, un control de versiones y una correcta configuración del ambiente CI/CD
3
FOROSISIS >> NÚMERO 7 40 >> 10.° FORO DE CLOUD COMPUTING E l mayor beneficio de la nube es que se puede innovar con se- guridad. En un ambiente tradi- cional debía sacrificarse la pri- mera para obtener la segunda o arriesgar la seguridad para ser innovador. El cloud computing les permite a las em- presas despreocuparse de cómo se imple- mentará o cómo se usará una aplicación y enfocarse en el cumplimiento de la misión de sus negocios, en agregar valor a sus pro- ductos y ser competitivos en el mercado. Camil Samaha, en su conferencia, com- paró la forma de desarrollo tradicional con las ventajas que les proporciona la nube a las empresas de hoy, sean nuevas o lleven tiempo en el mercado. Explicó que en un ambiente tradicional había que enfrentarse a dos fuerzas adver- sas: moverse rápido o proveer un entorno seguro, pues era muy difícil proteger el ambiente o “perímetro” de una aplicación. Lo usual ha sido colocar dispositivos de seguridad en los bordes de la red, en un acercamiento server-centered, con una ar- quitectura muy estática y rígida. En la arquitectura del ambiente de cloud computing se construye con microservicios y la seguridad está incluida en cada uno de sus componentes y en cada capa de su es- tructura, pues se trabaja la seguridad como código. “Lo mejor es el acceso a los servi- cios por un ‘control plan API’ (Application Programming Interface), lo que significa que en el desarrollo de una infraestructura programable se le puede aplicar los mismos principios de ágil y de DevOps”. En efecto, el desarrollo rápido y seguro implica apro- vechar la metodología ágil e incorporar la Ágil + DevSecOps = la seguridad como código Camil Samaha, —Senior Manager Solutions Architecture en Amazon Web Services (AWS), fue el invitado especial de este foro. Su charla destacó las posibilidades y beneficios del cloud computing en cuanto a innovación y rápido desarrollo del negocio con un alto nivel de seguridad, comparado con los entornos tradicionales. seguridad en cada etapa y en cada capa de la estructura del desarrollo, lo que le per- mite hacerla operativa casi en el momento en que se produce. Además, por extensión, la infraestructura “sensible” se considera infraestructura como código, de tal forma que en la aplicación se integran las funcio- nes de seguridad del sistema como código y de la infraestructura. Es lo que se conoce como DevOps, que Samaha y su equipo po- nen en práctica y ofrecen en Amazon Web Services (AWS). AWS opera en doce regiones del mun- do y ha anunciado cinco nuevas, que se desplegarán en el primer trimestre del 2017. Una región es un clúster de centros Camil Samaha, Senior Manager Solutions Architecture en Amazon Web Services (AWS). de datos, ubicados en una zona geográfica determinada; cada una se divide en “zonas de disponibilidad” conformadas por uno o más centros de datos físicos. Cloud Computing es una oferta de ser- vicios de TI en internet, bajo el modelo ‘paga por lo que usas’, que otorga un alto nivel de flexibilidad, rompe con muchas barreras impuestas en el desarrollo tradi- cional y facilita la entrada al mercado. DevOps funciona con base en unos prin- cipios que hacen posible la seguridad en la nube, en donde son pieza clave la máxima automatización, el autoescalamiento y una acción proactiva y no reactiva frente a las amenazas. Estas deben detectarse en las pruebas frecuentes e implementar los co- rrectivos en las iteraciones. Pero también es una cultura organizacional mediante la cual la empresa entiende que la seguridad depende de todos si se adueñan de ella. Esto implica, además, disponer de los servicios de la nube para protegerla: hay más de 200 programas para la seguridad de las aplicaciones públicas. Por otra parte, la seguridad de la infraestructura no debe romper principios del cloud computing como el autoescalamiento, sino aprove- charlo para alcanzar las metas del negocio. En DevOps, el desarrollo de la aplicación y su operación van juntas. En los entornos tradicionales de TI, los desarrolladores en- cargados de la programación y del código de la aplicación van por un lado y la operación de TI encargada de mantener el ambiente estable va por el otro; esto no permite que las organizaciones iteren rápido. Pero cuan- do se trabaja la seguridad como código, este concepto cobra mayor importancia, Foto: Natalia Fernanda Madrid Vidales

Upload: others

Post on 04-Jul-2020

3 views

Category:

Documents


0 download

Report

TRANSCRIPT

Page 1: Ágil + DevSecOps = la seguridad como código · estándar del CI/CD. En DevSecOps hay seguridad en cada paso, un control de versiones y una correcta configuración del ambiente CI/CD

FOROSISIS >> NÚMERO 7

40 >> 10.° FORO DE CLOUD COMPUTING

El mayor beneficio de la nube es que se puede innovar con se-guridad. En un ambiente tradi-cional debía sacrificarse la pri-mera para obtener la segunda o

arriesgar la seguridad para ser innovador. El cloud computing les permite a las em-presas despreocuparse de cómo se imple-mentará o cómo se usará una aplicación y enfocarse en el cumplimiento de la misión de sus negocios, en agregar valor a sus pro-ductos y ser competitivos en el mercado.

Camil Samaha, en su conferencia, com-paró la forma de desarrollo tradicional con las ventajas que les proporciona la nube a las empresas de hoy, sean nuevas o lleven tiempo en el mercado.

Explicó que en un ambiente tradicional había que enfrentarse a dos fuerzas adver-sas: moverse rápido o proveer un entornoseguro, pues era muy difícil proteger el ambiente o “perímetro” de una aplicación. Lo usual ha sido colocar dispositivos de seguridad en los bordes de la red, en un acercamiento server-centered, con una ar-quitectura muy estática y rígida.

En la arquitectura del ambiente de cloud computing se construye con microservicios y la seguridad está incluida en cada uno de sus componentes y en cada capa de su es-tructura, pues se trabaja la seguridad como código. “Lo mejor es el acceso a los servi-cios por un ‘control plan API’ (Application Programming Interface), lo que significa que en el desarrollo de una infraestructura programable se le puede aplicar los mismos principios de ágil y de DevOps”. En efecto, el desarrollo rápido y seguro implica apro-vechar la metodología ágil e incorporar la

Ágil + DevSecOps = la seguridad como códigoCamil Samaha, —Senior Manager Solutions Architecture en Amazon Web Services (AWS), fue el invitado especial de este foro. Su charla destacó las posibilidades y beneficios del cloud computing en cuanto a innovación y rápido desarrollo del negocio con un alto nivel de seguridad, comparado con los entornos tradicionales.

seguridad en cada etapa y en cada capa de la estructura del desarrollo, lo que le per-mite hacerla operativa casi en el momento en que se produce. Además, por extensión, la infraestructura “sensible” se considera infraestructura como código, de tal forma que en la aplicación se integran las funcio-nes de seguridad del sistema como código y de la infraestructura. Es lo que se conoce como DevOps, que Samaha y su equipo po-nen en práctica y ofrecen en Amazon Web Services (AWS).

AWS opera en doce regiones del mun-do y ha anunciado cinco nuevas, que se desplegarán en el primer trimestre del 2017. Una región es un clúster de centros

Camil Samaha, Senior Manager Solutions Architecture en Amazon Web Services (AWS).

de datos, ubicados en una zona geográfica determinada; cada una se divide en “zonas de disponibilidad” conformadas por uno o más centros de datos físicos.

Cloud Computing es una oferta de ser-vicios de TI en internet, bajo el modelo ‘paga por lo que usas’, que otorga un alto nivel de flexibilidad, rompe con muchas barreras impuestas en el desarrollo tradi-cional y facilita la entrada al mercado.

DevOps funciona con base en unos prin-cipios que hacen posible la seguridad en la nube, en donde son pieza clave la máxima automatización, el autoescalamiento y una acción proactiva y no reactiva frente a las amenazas. Estas deben detectarse en las pruebas frecuentes e implementar los co-rrectivos en las iteraciones. Pero también es una cultura organizacional mediante la cual la empresa entiende que la seguridad depende de todos si se adueñan de ella.

Esto implica, además, disponer de los servicios de la nube para protegerla: hay más de 200 programas para la seguridad de las aplicaciones públicas. Por otra parte, la seguridad de la infraestructura no debe romper principios del cloud computingcomo el autoescalamiento, sino aprove-charlo para alcanzar las metas del negocio.

En DevOps, el desarrollo de la aplicación y su operación van juntas. En los entornos tradicionales de TI, los desarrolladores en-cargados de la programación y del código de la aplicación van por un lado y la operación de TI encargada de mantener el ambiente estable va por el otro; esto no permite que las organizaciones iteren rápido. Pero cuan-do se trabaja la seguridad como código, este concepto cobra mayor importancia,

Foto

: Nat

alia

Fer

nan

da M

adri

d V

idal

es

Page 2: Ágil + DevSecOps = la seguridad como código · estándar del CI/CD. En DevSecOps hay seguridad en cada paso, un control de versiones y una correcta configuración del ambiente CI/CD

FOROSISIS >> NÚMERO 7

10.° FORO DE CLOUD COMPUTING >> 41

pues significa que está presente en todas las etapas del proceso de la aplicación. Los releases frecuentes en un entorno ágil mini-mizan el riesgo, ya que los procesos de roll-back y los cambios veloces son sencillos y se facilita identificar cualquier amenaza. El entorno DevOps permite el cambio, la toma de decisiones, las iteraciones rápidas y la innovación, uno de los principales motores de un negocio exitoso.

En el ciclo de desarrollo tradicional ágil se construyen el código y los scripts adi-cionales de prueba, todo lo cual se testea antes de liberar la versión en producción. Con el feedback de los usuarios se iden-tifican las mejoras y se itera: si este ciclo termina rápido la innovación es veloz. Sin embargo, en este modelo no hay seguri-dad en cada paso, pues va en contra del ritmo de desarrollo y del cambio de los ciclos de iteración. Se implementa la segu-ridad en cada etapa con CI/CD (Continuos Integration, Continuos Development), que funciona con base en que:• Todos los miembros del equipo son

dueños de la seguridad.• Va dirigida al cliente (customer-driven),

es transparente (claro para todos) y hace parte de la cultura organizacional.

• Security at scale. El primer día no todo sale perfecto, se requiere de un acerca-miento iterativo, en el que se mejora y se ajusta.

• No se es reactivo sino proactivo: se bus-can las amenazas del sistema.

• DevOps brinda visibilidad de la infraes-tructura.El servidor de CI y el servidor de des-

pliegue se conectan con los diferentes ambientes DevOps en el flujo de trabajo estándar del CI/CD. En DevSecOps hay

seguridad en cada paso, un control de versiones y una correcta configuración del ambiente CI/CD que mantiene la integra-ción y la habilidad de iterar rápido revisan-do la seguridad en cada paso.

Para que esto funcione, se deben respetar unos principios de CI/CD para DevSecOps:1. Gran manejo de herramientas como

Python, que permitan la configuración del sistema y, en última instancia, su in-tegridad. Los releases nuevos se deben validar para que, por ejemplo, lo secre-to se mantenga secreto.

2. Validar el código desarrollado y el có-digo de seguridad en cada release. Las herramientas de trabajo y las pruebas deben garantizar un despliegue seguro.

3. La seguridad se debe tratar como si fue-ra el producto ofrecido al cliente. Confir-mar que el esquema de seguridad está disponible para toda la organización.Estas reglas impulsan el cambio en el flu-

jo tradicional y el manejo del flujo de entrega continua (Continuous Delivery) se transfor-ma en despliegue continuo. Los diferencia la

posibilidad de automatizar el paso a produc-ción, corroborando el código y la aplicaciónen cada release y etapa: desarrollo, pruebas y producción. Si las validaciones son bue-nas, se puede automatizar el proceso de modo que se desarrolle de manera rápida, con validaciones en línea.

Camil Samaha también habló de cloud-formation que permite representar los re-cursos de la nube a través de archivos JSON (JavaScript Object Notation). Se basa en la creación de templates para estandarizar la configuración en un sistema. Si los archivos JSON se sacan del sistema, la aplicacióndejará de correr correctamente. Se pueden gestionar diferentes versiones del archivo, mediante un controlador. Tal como en la infraestructura, se manejan como código, y se emplean los valores del desarrollo ágil.

Uno de los beneficios de cloudforma-tion es que se usan herramientas con las que se trabaja cómodamente para descri-bir y administrar el ambiente. La aplicación se vuelve escalable mediante un llamado al API que activa los servidores y bases de datos virtuales. Así se crean templatescon la configuración especificada en las políticas establecidas en el negocio y se replican en diferentes ambientes de desa-rrollo u operación. Estas configuraciones ven archivos muy grandes, que por lo ge-neral se manejan en varios más pequeños, uno por función, provenientes de distintas herramientas u orígenes; todos se deben poder leer de un mismo modo —por ejem-plo, mediante SSH (Secure SHell)—. Cada

Durante su presentación en el 10.° Foro de Cloud Computing, Camil Samaha aseguró que DevSecOps automatiza los procesos de seguridad de las aplicaciones.

En DevOps, el desarrollo de la aplicación y

su operación van juntas. Cuando se trabaja

la seguridad como código significa que está

presente en todas las etapas”. Camil Samaha

Foto

: Nat

alia

Fer

nan

da M

adri

d V

idal

es

Page 3: Ágil + DevSecOps = la seguridad como código · estándar del CI/CD. En DevSecOps hay seguridad en cada paso, un control de versiones y una correcta configuración del ambiente CI/CD

FOROSISIS >> NÚMERO 7

42 >> 10.° FORO DE CLOUD COMPUTING

SRE permite máxima disponibilidad y alcance globalEste método de trabajo, en el que el desarrollo de aplicaciones es tan importante como llevarlas a producción, ha inspirado productos como Mesosphere, Prometheus, Kubernetes, PaaS como Docker, Heroku y Deis. En su conferencia, Andrés Villarroel Acosta, de Globant, explicó en qué consiste.

Automatizar todo lo posible está en el corazón de la me-todología de trabajo SRE. La observabilidad, el autodes-cubrimiento y los servicios

permiten abstraer el concepto de servi-dor: este no es lo importante, sino los ser-vicios prestados. Para alcanzar tal estado hay que partir de una infraestructura que proporciona funciones básicas: seguri-dad, almacenamiento e instrumentación (monitoreo).

La Ingeniería de Confiabilidad de Sitio (SRE, por Site Reliability Engineering) es una cultura disruptiva de una organización, explicó Andrés Villarroel Acosta, Sysadmin Engineer, Analyst, Sr Adv., Cloud OPS en la compañía de desarrollo de software Globant.

microarchivo se valida antes de unirlo con los otros (merge), así como el resultante; cuando se despliega en el ambiente se-leccionado se verifica que todo está en or-den, por tercera vez. Este proceso es cla-ve, pues garantiza que la seguridad está integrada en cada paso. Al final, se obtie-ne un solo archivo con todas las funciones, estandarizado con las reglas del ambiente y se integra en todos los templates antes de desplegarlo, de modo que se garantiza su disponibilidad en cualquier browser.

Es importante mantener el orden de las funciones en las validaciones: la de segu-ridad siempre debe ser la última. Si falla, todo el proceso lo hará. También se debe saber, en todo momento, en qué parte de la pila se está procesando y en qué am-

biente o target y verificar que corra sobre el ambiente actual.

Por último, Camil Samaha dijo: “¿Por qué usar DevSecOps? Porque ayuda a de-terminar el nivel de cumplimiento de una aplicación. Porque es tan sencillo como

crear una librería de templates predefinidos, porque permite determinar que se rige por los estándares deseados en cada paso del desarrollo y que la seguridad se encuentra embebida en su ADN sin restringir la capaci-dad de personalizar cada desarrollo”.

En el modelo tradicional ágil, la seguridad va en

contra del ritmo de desarrollo y de los ciclos de

iteración. Se puede implementar en cada etapa

del proceso con CI/CD (Continuos Integration,

Continuos Development)”. Camil Samaha

Centro de Cómputo de Alto Rendimiento de Stuttgart. La tasa de servidores por ingeniero es de miles a uno en las organizaciones que trabajan con SRE.

Foto

: Ju

lian

Her

zog,

CC

BY

4.0

, htt

p://

bit.

ly/2

gU3U

XF


AWS Lambda를 이용한 CI/CD 기법

EL PREDICADO Y SUS COMPLEMENTOS CD y CI

DevSecOps AWS Pipeline€¦ · DevSecOps AWS Pipeline Kalynn Tarpenning, Jeromy Coburn, Taka Nakamura, Matthew Warner, ... deployed on AWS. • Code Deploy Deployment service that

El predicado II CD, CI y CC

MONITOR 2/2012 - NEUES CI/CD – BEWÄHRTES ENGAGEMENT

CI oraz CD w złożonym projekcie o małym budżecie

3.5.1 1&1 Corporate Design: CD/CI-Richtlinien

CI/CD Luzern

DevSecOps in Multi Account

PRONOMS FEBLES (2) - UAB Barcelonablogs.uab.cat › ... › 07 › Remarques-pronoms-febles-2.pdf · COMBINACIÓ DE PRONOMS (2) : LI I ELS - LI CI CD CD CI CD + CI LI el la els les

Cantainer CI/ CD with Kubernetes

MS Experiences 17 - DevSecOps chez AXA France

Sintaxis (CD, CI y CC)

Pronombres pronominales cd y ci

Openshift Pipelines Modernizando CI/CD com€¦ · Cloud-Native CI/CD Projetado para trabalhar com microservices e equipes distribuídas Criado para aplicações baseadas em containers

DevSecOps: Implementación de seguridad en DevOps a través

Los pronombres personales - Sierra Pambley · Pronombres de CD ME TE LO-LA NOS OS ... CI CD. CD CI LO-LA LOS-LAS LE-LES. Posición CI CD 1 2. Posición CD Verbo CI conjugado + CD

SDLC dans le contexte Agile et DEVOPS --> Objectif: DEVSECOPS · SDLC dans le contexte Agile et DEVOPS --> Objectif: DEVSECOPS Par: Etienne T. Sadio ISACA Québec –Conférences

IT€¦ · ・実践! DevSecOps。CI/CDでセキュアに作る“仕組み”とは? ・マイクロサービス&コンテナで実現できるスピーディな改善 ・サーバレスアーキテクチャという新しい仕組み

IMPLEMENTANDO DEVSECOPS EN UNA APLICACIÓN DEL …

Complementos sintácticos: Atri, PVO, CD y CI

오픈소스로 만나보는 DevSecOps · 삼성 오픈소스 컨퍼런스 오픈소스로 만나보는 DevSecOps 우아한형제들 조민재 [email protected] 2018년 10월 18일

Introdução a CI e CD e CloudFormation (Reinaldo Pinto)

Introduccion a devops y devsecops

Cd 0077 Aponte Mayelin Ci 9692 Garcia Emiliano Tpi 2009 2

サーバーレスアプリケーションの ためのCI/CD パイプライン構築 · ためのCI/CD パイプライン ... GitHub Build JenkinsOnEC2 Jenkins Deploy JavaApp Elastic

Webinar: "DevSecOps: early, everywhere, at scale"

FuncióNs SintáCticas 2 Cd Ci Supl

3. estructura de costos, cd, ci, cv, cf

7Masters - Devops - Do legado ao ci cd em 7 minutos

CI/CD with Rancher CLI + Jenkins

Automatização de Ambientes CI & CD & DevOps

Gutenberg Museum - CI/CD Kurs

Oració simple cd ci crv

A.S.,LalKrishna CD-1.5 CI-5.4 CH-12.6 ArroyoHuidobro