SlideShare una empresa de Scribd logo

Presentacion DevSecOps Argentina

Descargar como PPTX, PDF
CSA Argentina
CSA Argentina

Presentacion DevSecOps Argentina

Tecnología
1 de 30
“BIG BROTHER IS WATCHING YOU”“BIG BROTHER IS WATCHING
“BIG BROTHER IS WATCHING YOU” Christian Ibiri CEO Cloud Legión Leonardo Devia
“BIG BROTHER IS WATCHING YOU” ¿Motores Encendidos? ¿Preparados? ¿Listos?
“BIG BROTHER IS WATCHING YOU”
“BIG BROTHER IS WATCHING YOU” Personajes típicos DEV SYSADMIN / OPS SEC :) = BufónQA / TEST FUNCIONAL
“BIG BROTHER IS WATCHING YOU” DevOps = Nitro El termino fue creado en el 2009 en la conferencia “Velocity” de O’Reilly en donde se presento la charla 10+ Deploys Per Day. En el 2008 ya se empieza a hablar de infraestructura agil en foros de debate con foco en la metodologia Agile. En el mismo 2008 se genera un foro debate llamado “Agile Sysadmin” que empezo a abordar el tema con propiedad. Uno de los participantes fue Patrick Debois quien Luego creo el evento “DevOps Days”. 10+ Deploys Per Day: Dev and Ops Cooperation at Flickr from John Allspaw
“BIG BROTHER IS WATCHING YOU” Está claro por qué las empresas se están moviendo a DevOps ... pero ¿cómo puede la seguridad mantenerse al día con esto? DEVOPS
“BIG BROTHER IS WATCHING YOU” Seguridad Tradicional Situación habitual en el desarrollo de aplicaciones Vemos que el enfoque actual es que la seguridad se contempla fuera del ciclo de desarrollo de una aplicación. Inicialmente con pruebas que dependerán de la experiencia del equipo de desarrollo. Posteriormente mediante tests de penetración o hacking ético, tratando de detectar vulnerabilidades de manera interna o algunas veces externas Se que les encanta el KALI Pero no solo de Pentest vive la seguridad 
“BIG BROTHER IS WATCHING YOU” ¿Por qué? DevSecOps no es necesario, ¡es inevitable!
“BIG BROTHER IS WATCHING YOU” ¿Por qué?
“BIG BROTHER IS WATCHING YOU” Postura común Esto es DevOps… Normalmente los equipos de seguridad tradicional dice NO a casi todo Descubre las vulnerabilidades tarde (En Producción) Les cuesta mucho acercarse al equipo de DEV / DEVOPS
“BIG BROTHER IS WATCHING YOU” Como resolvemos eso? Un chistesito, por que seguro por el horario tienen hambre  Prueba y errores Mucho Café y errores Sudor, lagrimas y errores Mucho Dolor a los que no tengan errores
“BIG BROTHER IS WATCHING YOU” Como resolvemos eso? • SecDevOps • Agile sSDLC • Agile Security • Rugged DevOps • DevOps Security Varios nombre para lo mismo: “DevSecOps”
“BIG BROTHER IS WATCHING YOU” ¿Qué es DevSecOps? "El propósito e intención de DevSecOps es construir sobre la base de que 'todos son responsables de la seguridad' Nueva filosofía generada por la fusión de DevOps y SecOps. Integra el enfoque de la seguridad en el ciclo de desarrollo y explotación de aplicaciones de una manera sistemática. Al igual que las DevOps, operaciones de soporte al desarrollo, la seguridad se debe poder automatizar o sistematizar en gran medida. El objetivo final es poder pasar a producción de manera automática una aplicación razonablemente segura en cuestión de minutos. Considerando siempre que la seguridad total no existe, lo que se minimiza es el riesgo
“BIG BROTHER IS WATCHING YOU” Manifesto Leaning in over Always Saying “No” Data & Security Science over Fear, Uncertainty and Doubt Open Contribution & Collaboration over Security-Only Requirements Consumable Security Services with APIs over Mandated Security Controls & Paperwork Business Driven Security Scores over Rubber Stamp Security Red & Blue Team Exploit Testing over Relying on Scans & Theoretical Vulnerabilities 24x7 Proactive Security Monitoring over Reacting after being Informed of an Incident Shared Threat Intelligence over Keeping Info to Ourselves Compliance Operations over Clipboards & Checklists http://www.devsecops.org/
“BIG BROTHER IS WATCHING YOU” • No son ideas nuevas, simplemente es una reformulación de una necesidad. • Se compone de varias ideas, una de ellas es la consideración de la seguridad integrada en el proceso de desarrollo. • Elementos claves: Personas • Cultura • Roles Procesos • Tecnicas • Practicas Herramientas • SEC tools • Dev Tools
“BIG BROTHER IS WATCHING YOU” Personas
“BIG BROTHER IS WATCHING YOU” Cultura • Comunicación y transparencia • Ambiente de alta confianza "postmortem sin culpa" • Mejora continua • Todos son responsables de la seguridad • Automatice tanto como sea posible • Todo como código
“BIG BROTHER IS WATCHING YOU” Practicas y técnicas • Static/IAST analysis • Abuse case tests • Code review • Break the build code analysis • Threat modeling  backlog items • Analyze/Predict  backlog items • Design complies with policy? • Test security features • Common abuse cases • Pen testing (Vuls found  Test scripts) • Compliance validation (PCI, etc.) • Fuzzing • If we do X will it mitigate Y? • Capacity forecasting • Learning  Update playbooks and Training • Configuration validation • Feature toggles/Traffic shaping configuration • Secrets management • Log information for after-incident analysis • Intrusion detection • App attack detection • Restore/maintain service for non-attack usage • RASP auto respond • Roll-back or toggle off • Block attacker • Shut down services • Analysis  Learning • Defect/Incident 3-step • New attack surface? Plan to update threat model
“BIG BROTHER IS WATCHING YOU” DevSecOps Tools landscape Static Analysis (aka SAST) • Looks at source code • Data/control flow analysis • Prone to false positives • Rapid feedback for developers • Code fix suggestions Dynamic • Instruments app (to varying degrees) • Exercises app via UI/API • Zero? false positives • Hard to instrument? • High false negatives • Report is an exploit • Sometimes hard to find code to remediate IAST • Combine dynamic/static • Good false positives/negatives • Immature but getting there Runtime Application Security Protection (RASP) • Reports on “bad” behavior • Can abort transaction or kill process to protect Fuzzing • Instruments app (to varying degrees) • Sends unexpected input at API • Looks at response and instrumentation output • Great for testing protocols like SIP • Good for REST APIs • Potentially long run times • Hard to find code to remediate Software Composition Analysis (SCA) • Identifies dependency and version • Checks CVE/NVD + … for reported vulnerabilities • Proposes version/patch to remediate • Checks license vs policy • Runs fast • Some have firewall mode
“BIG BROTHER IS WATCHING YOU” Problemas • Procesos manuales y cultura de la reunión (Reunion de reuniones) • Fricción por el amor a la fricción • Malentendidos contextuales • Decisiones tomadas fuera de la creación de valor • Restricciones y requisitos tardíos • Grandes compromisos, grandes equipos y grandes fracasos • Miedo al fracaso, falta de aprendizaje • Falta de inspiración • Gestión e interferencia política (aprobaciones, excepciones) Desafios • DevOps requiere implementaciones continuas • La toma de decisiones rápida es crítica para el éxito de DevOps • La seguridad tradicional simplemente no escala ni se mueve lo suficientemente rápido ... • Las Organizaciones grandes y reguladas son las que mas necesita DevSecOps • Esto no significa que estén LISTOS para DevSecOps • Las estructuras Organizativas típicas hacen que DevSecOps sea muy difícil de lograr • Es tan difícil como vender Agile, DevOps o justificar una inversión en seguridad  Beneficios • La reducción de costos (detección y la reparación temprana) • Mayor velocidad de entrega (no mas cuellos de botella) • Velocidad de recuperation • Mejor monitoreo y la auditoría • Reduce los vectores de ataque • Asegura el principio de "seguridad por diseño" mediante el uso revisión automatizada • Crea valor e innovación con Seguridad iterativa a velocidad y escala. • La seguridad está federada y se convierte en responsabilidad de todos. • DevSecOps fomenta una cultura de apertura y transparencia desde las primeras etapas de desarrollo.
“BIG BROTHER IS WATCHING YOU” De DevOps a DevSecOps en 12 semanas
“BIG BROTHER IS WATCHING YOU” Objetivos Generales • Equipo y Cultura • Inculcar el concepto de “Todos son responsables de la seguridad”. • Embeber seguridad lo antes posible (Shift Left) • Herramientas DevOps • Incorporar Análisis Dinámico (y Estático si se puede). • Comenzar con la automatización de las herramientas de “Sec”.
“BIG BROTHER IS WATCHING YOU” Prerrequisitos• DevSecOps no existe ni se implementan en un vacío! • Esto es, Sec suele entrar al equipo de DevOps cuando ya esta relativamente integrado… lástima! • Equipo y Cultura • El equipo de DevOps utilizan (o al menos intentan llevar) los proyectos con características “Agile”. • Herramientas DevOps • El equipo tiene, sino un pipeline completo, al menos IDEs coherentes, integración continua, y repositorios de código fuente y binarios. • Infraestructura • La Virtualización es la forma corriente para la arquitectura de despliegue. • El equipo DevOps ya puso un pie (y a veces mas) en los servers.
“BIG BROTHER IS WATCHING YOU” • Semana 1 – La Familia • Escuchar al equipo actual. • Incluir en las ceremonias la referencia a la seguridad (en el desarrollo, el entorno, el método y el producto). • Semana 2 – El Equipamiento • Comenzar a incorporar las herramientas de análisis dinámico • OWASP Zed Attack Proxy • https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project • OWASP OWTF • https://www.owasp.org/index.php/OWASP_OWTF • OWASP Dependency Check  SonarQube Plugin!!! • https://www.owasp.org/index.php/OWASP_Dependency_Check • Semana 3 – El Trabajo • Retrospectiva: Pwned! (Prueba de Seguridad en Vivo)
“BIG BROTHER IS WATCHING YOU” • Semana 4 – La Familia • Incorporar la lógica de modelado de amenazas en las ceremonias • OWASP Cornucopia https://www.owasp.org/index.php/OWASP_Cornucopia • Semana 5 – El Equipamiento • Comenzar a automatizar las herramientas de análisis dinámico • StackStorm https://github.com/StackStorm • Semana 6 – El Trabajo • Retrospectiva: Hack yourself!
“BIG BROTHER IS WATCHING YOU” • Semana 7 – La Familia • Identificar el lugar y alcance de “Ops” • Incorporar la gestión de configuración, menor privilegio, y de gestión de Claves, y Secretos • Semana 8 – El Equipamiento • Implementar herramientas de gestión de contraseñas (particularmente en repositorios) • BlackBox • https://github.com/StackExchange/blackbox • Git-Secrets • https://github.com/awslabs/git-secrets • Semana 9 – El Trabajo • Retrospectiva: Hack Yourself!(Ejercicio de Red Team / Blue Team)
“BIG BROTHER IS WATCHING YOU” • Semana 10 – La Familia • Profundizar e integrar los resultados de las actividades anteriores como input • Organizar Registro, Monitoreo y Alertas • Semana 11 – El equipamiento • Comenzar la integración de alertas • Nagios • https://www.nagios.com/ • Alerta • http://alerta.io/ • Semana 12 – El Trabajo • Retrospectiva: Hack Yourself!(Ejercicio de Red Team / Blue Team)
“BIG BROTHER IS WATCHING YOU” Conclusiones • DevSecOps es la consecuencia indiscutible de la necesidad de tener mayor agilidad en los equipos y velocidad en la entrega de software (DevOps) AL MISMO TIEMPO que se incorpora seguridad desde el principio (i.e. Rugged) • La tecnología no tiene problemas, las personas si tienen problemas, para lograr un cultura de DevSecOps efectiva debemos pensar como Toreto (yo no tengo amigos si tengo familia). “BIG BROTHER IS WATCHING YOU”
“BIG BROTHER IS WATCHING YOU” GRACIAS

Recomendados

Road to Microservices
Road to MicroservicesRoad to Microservices
Road to MicroservicesSalvatore Cordiano
 
Architect your app modernization journey with containers on Microsoft Azure
Architect your app modernization journey with containers on Microsoft AzureArchitect your app modernization journey with containers on Microsoft Azure
Architect your app modernization journey with containers on Microsoft AzureDavide Benvegnù
 
Practical DevSecOps Course - Part 1
Practical DevSecOps Course - Part 1Practical DevSecOps Course - Part 1
Practical DevSecOps Course - Part 1Mohammed A. Imran
 
Azure Application Modernization
Azure Application ModernizationAzure Application Modernization
Azure Application ModernizationKarina Matos
 
DevSecOps - The big picture
DevSecOps - The big pictureDevSecOps - The big picture
DevSecOps - The big pictureStefan Streichsbier
 
Devops Adoption Roadmap v.2.6
Devops Adoption Roadmap v.2.6Devops Adoption Roadmap v.2.6
Devops Adoption Roadmap v.2.6Javier Dominguez
 
Devops Devops Devops, at Froscon
Devops Devops Devops, at FrosconDevops Devops Devops, at Froscon
Devops Devops Devops, at FrosconKris Buytaert
 
DevSecOps Implementation Journey
DevSecOps Implementation JourneyDevSecOps Implementation Journey
DevSecOps Implementation JourneyDevOps Indonesia
 

Recomendados

Road to Microservices
Road to MicroservicesRoad to Microservices
Road to MicroservicesSalvatore Cordiano
 
Architect your app modernization journey with containers on Microsoft Azure
Architect your app modernization journey with containers on Microsoft AzureArchitect your app modernization journey with containers on Microsoft Azure
Architect your app modernization journey with containers on Microsoft AzureDavide Benvegnù
 
Practical DevSecOps Course - Part 1
Practical DevSecOps Course - Part 1Practical DevSecOps Course - Part 1
Practical DevSecOps Course - Part 1Mohammed A. Imran
 
Azure Application Modernization
Azure Application ModernizationAzure Application Modernization
Azure Application ModernizationKarina Matos
 
DevSecOps - The big picture
DevSecOps - The big pictureDevSecOps - The big picture
DevSecOps - The big pictureStefan Streichsbier
 
Devops Adoption Roadmap v.2.6
Devops Adoption Roadmap v.2.6Devops Adoption Roadmap v.2.6
Devops Adoption Roadmap v.2.6Javier Dominguez
 
Devops Devops Devops, at Froscon
Devops Devops Devops, at FrosconDevops Devops Devops, at Froscon
Devops Devops Devops, at FrosconKris Buytaert
 
DevSecOps Implementation Journey
DevSecOps Implementation JourneyDevSecOps Implementation Journey
DevSecOps Implementation JourneyDevOps Indonesia
 
DevOps to DevSecOps Journey..
DevOps to DevSecOps Journey..DevOps to DevSecOps Journey..
DevOps to DevSecOps Journey..Siddharth Joshi
 
DevSecOps | DevOps Sec
DevSecOps | DevOps SecDevSecOps | DevOps Sec
DevSecOps | DevOps SecRubal Jain
 
AWS TCO Compute
AWS TCO Compute AWS TCO Compute
AWS TCO Compute Amazon Web Services
 
SecDevOps
SecDevOpsSecDevOps
SecDevOpsPeter Lamar
 
DevSecOps in Baby Steps
DevSecOps in Baby StepsDevSecOps in Baby Steps
DevSecOps in Baby StepsPriyanka Aash
 
ABN AMRO DevSecOps Journey
ABN AMRO DevSecOps JourneyABN AMRO DevSecOps Journey
ABN AMRO DevSecOps JourneyDerek E. Weeks
 
DevSecOps Jenkins Pipeline -Security
DevSecOps Jenkins Pipeline -SecurityDevSecOps Jenkins Pipeline -Security
DevSecOps Jenkins Pipeline -Securityn|u - The Open Security Community
 
Pentest is yesterday, DevSecOps is tomorrow
Pentest is yesterday, DevSecOps is tomorrowPentest is yesterday, DevSecOps is tomorrow
Pentest is yesterday, DevSecOps is tomorrowAmien Harisen Rosyandino
 
The State of DevSecOps
The State of DevSecOpsThe State of DevSecOps
The State of DevSecOpsDevOps Indonesia
 
[DevSecOps Live] DevSecOps: Challenges and Opportunities
[DevSecOps Live] DevSecOps: Challenges and Opportunities[DevSecOps Live] DevSecOps: Challenges and Opportunities
[DevSecOps Live] DevSecOps: Challenges and OpportunitiesMohammed A. Imran
 
DevSecOps reference architectures 2018
DevSecOps reference architectures 2018DevSecOps reference architectures 2018
DevSecOps reference architectures 2018Sonatype
 
SecDevOps - The Operationalisation of Security
SecDevOps - The Operationalisation of SecuritySecDevOps - The Operationalisation of Security
SecDevOps - The Operationalisation of SecurityDinis Cruz
 
Implementing an Application Security Pipeline in Jenkins
Implementing an Application Security Pipeline in JenkinsImplementing an Application Security Pipeline in Jenkins
Implementing an Application Security Pipeline in JenkinsSuman Sourav
 
The What, Why, and How of DevSecOps
The What, Why, and How of DevSecOpsThe What, Why, and How of DevSecOps
The What, Why, and How of DevSecOpsCprime
 
Introduction to Microservices
Introduction to MicroservicesIntroduction to Microservices
Introduction to MicroservicesAmazon Web Services
 
Assessing Your Company's Cloud Readiness
Assessing Your Company's Cloud ReadinessAssessing Your Company's Cloud Readiness
Assessing Your Company's Cloud ReadinessAmazon Web Services
 
What is AWS | AWS Certified Solutions Architect | AWS Tutorial | AWS Training...
What is AWS | AWS Certified Solutions Architect | AWS Tutorial | AWS Training...What is AWS | AWS Certified Solutions Architect | AWS Tutorial | AWS Training...
What is AWS | AWS Certified Solutions Architect | AWS Tutorial | AWS Training...Edureka!
 
Keep CALMS and DevSecOps
Keep CALMS and DevSecOps Keep CALMS and DevSecOps
Keep CALMS and DevSecOps Luciano Moreira da Cruz
 
DEVSECOPS.pptx
DEVSECOPS.pptxDEVSECOPS.pptx
DEVSECOPS.pptxMohammadSaif904342
 
Introduction to Microservices
Introduction to MicroservicesIntroduction to Microservices
Introduction to MicroservicesAmazon Web Services
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoLuciano Moreira da Cruz
 
¿DEVSECOPS puede desaparecer?
¿DEVSECOPS puede desaparecer?¿DEVSECOPS puede desaparecer?
¿DEVSECOPS puede desaparecer?Luciano Moreira da Cruz
 

Más contenido relacionado

La actualidad más candente

DevOps to DevSecOps Journey..
DevOps to DevSecOps Journey..DevOps to DevSecOps Journey..
DevOps to DevSecOps Journey..Siddharth Joshi
 
DevSecOps | DevOps Sec
DevSecOps | DevOps SecDevSecOps | DevOps Sec
DevSecOps | DevOps SecRubal Jain
 
DevSecOps in Baby Steps
DevSecOps in Baby StepsDevSecOps in Baby Steps
DevSecOps in Baby StepsPriyanka Aash
 
ABN AMRO DevSecOps Journey
ABN AMRO DevSecOps JourneyABN AMRO DevSecOps Journey
ABN AMRO DevSecOps JourneyDerek E. Weeks
 
Pentest is yesterday, DevSecOps is tomorrow
Pentest is yesterday, DevSecOps is tomorrowPentest is yesterday, DevSecOps is tomorrow
Pentest is yesterday, DevSecOps is tomorrowAmien Harisen Rosyandino
 
[DevSecOps Live] DevSecOps: Challenges and Opportunities
[DevSecOps Live] DevSecOps: Challenges and Opportunities[DevSecOps Live] DevSecOps: Challenges and Opportunities
[DevSecOps Live] DevSecOps: Challenges and OpportunitiesMohammed A. Imran
 
DevSecOps reference architectures 2018
DevSecOps reference architectures 2018DevSecOps reference architectures 2018
DevSecOps reference architectures 2018Sonatype
 
SecDevOps - The Operationalisation of Security
SecDevOps - The Operationalisation of SecuritySecDevOps - The Operationalisation of Security
SecDevOps - The Operationalisation of SecurityDinis Cruz
 
Implementing an Application Security Pipeline in Jenkins
Implementing an Application Security Pipeline in JenkinsImplementing an Application Security Pipeline in Jenkins
Implementing an Application Security Pipeline in JenkinsSuman Sourav
 
The What, Why, and How of DevSecOps
The What, Why, and How of DevSecOpsThe What, Why, and How of DevSecOps
The What, Why, and How of DevSecOpsCprime
 
Assessing Your Company's Cloud Readiness
Assessing Your Company's Cloud ReadinessAssessing Your Company's Cloud Readiness
Assessing Your Company's Cloud ReadinessAmazon Web Services
 
What is AWS | AWS Certified Solutions Architect | AWS Tutorial | AWS Training...
What is AWS | AWS Certified Solutions Architect | AWS Tutorial | AWS Training...What is AWS | AWS Certified Solutions Architect | AWS Tutorial | AWS Training...
What is AWS | AWS Certified Solutions Architect | AWS Tutorial | AWS Training...Edureka!
 

La actualidad más candente (20)

DevOps to DevSecOps Journey..
DevOps to DevSecOps Journey..DevOps to DevSecOps Journey..
DevOps to DevSecOps Journey..
 
DevSecOps | DevOps Sec
DevSecOps | DevOps SecDevSecOps | DevOps Sec
DevSecOps | DevOps Sec
 
AWS TCO Compute
AWS TCO Compute AWS TCO Compute
AWS TCO Compute
 
SecDevOps
SecDevOpsSecDevOps
SecDevOps
 
DevSecOps in Baby Steps
DevSecOps in Baby StepsDevSecOps in Baby Steps
DevSecOps in Baby Steps
 
ABN AMRO DevSecOps Journey
ABN AMRO DevSecOps JourneyABN AMRO DevSecOps Journey
ABN AMRO DevSecOps Journey
 
DevSecOps Jenkins Pipeline -Security
DevSecOps Jenkins Pipeline -SecurityDevSecOps Jenkins Pipeline -Security
DevSecOps Jenkins Pipeline -Security
 
Pentest is yesterday, DevSecOps is tomorrow
Pentest is yesterday, DevSecOps is tomorrowPentest is yesterday, DevSecOps is tomorrow
Pentest is yesterday, DevSecOps is tomorrow
 
The State of DevSecOps
The State of DevSecOpsThe State of DevSecOps
The State of DevSecOps
 
[DevSecOps Live] DevSecOps: Challenges and Opportunities
[DevSecOps Live] DevSecOps: Challenges and Opportunities[DevSecOps Live] DevSecOps: Challenges and Opportunities
[DevSecOps Live] DevSecOps: Challenges and Opportunities
 
DevSecOps reference architectures 2018
DevSecOps reference architectures 2018DevSecOps reference architectures 2018
DevSecOps reference architectures 2018
 
SecDevOps - The Operationalisation of Security
SecDevOps - The Operationalisation of SecuritySecDevOps - The Operationalisation of Security
SecDevOps - The Operationalisation of Security
 
Implementing an Application Security Pipeline in Jenkins
Implementing an Application Security Pipeline in JenkinsImplementing an Application Security Pipeline in Jenkins
Implementing an Application Security Pipeline in Jenkins
 
The What, Why, and How of DevSecOps
The What, Why, and How of DevSecOpsThe What, Why, and How of DevSecOps
The What, Why, and How of DevSecOps
 
Introduction to Microservices
Introduction to MicroservicesIntroduction to Microservices
Introduction to Microservices
 
Assessing Your Company's Cloud Readiness
Assessing Your Company's Cloud ReadinessAssessing Your Company's Cloud Readiness
Assessing Your Company's Cloud Readiness
 
What is AWS | AWS Certified Solutions Architect | AWS Tutorial | AWS Training...
What is AWS | AWS Certified Solutions Architect | AWS Tutorial | AWS Training...What is AWS | AWS Certified Solutions Architect | AWS Tutorial | AWS Training...
What is AWS | AWS Certified Solutions Architect | AWS Tutorial | AWS Training...
 
Keep CALMS and DevSecOps
Keep CALMS and DevSecOps Keep CALMS and DevSecOps
Keep CALMS and DevSecOps
 
DEVSECOPS.pptx
DEVSECOPS.pptxDEVSECOPS.pptx
DEVSECOPS.pptx
 
Introduction to Microservices
Introduction to MicroservicesIntroduction to Microservices
Introduction to Microservices
 

Similar a Presentacion DevSecOps Argentina

Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoLuciano Moreira da Cruz
 
Azure Dev(Sec)Ops EPIDATA completa
Azure Dev(Sec)Ops EPIDATA completaAzure Dev(Sec)Ops EPIDATA completa
Azure Dev(Sec)Ops EPIDATA completaTravis Alford
 
Workshop azure devsecops Microsoft Argentina
Workshop azure devsecops Microsoft ArgentinaWorkshop azure devsecops Microsoft Argentina
Workshop azure devsecops Microsoft ArgentinaLuciano Moreira da Cruz
 
Devsecops con azure devops en global azure bootcamp 2019
Devsecops con azure devops en global azure bootcamp 2019Devsecops con azure devops en global azure bootcamp 2019
Devsecops con azure devops en global azure bootcamp 2019Luciano Moreira da Cruz
 
Devsecooops Los Caso de no éxito en DevSecOps
Devsecooops Los Caso de no éxito en DevSecOpsDevsecooops Los Caso de no éxito en DevSecOps
Devsecooops Los Caso de no éxito en DevSecOpsLuciano Moreira da Cruz
 
Pruebas de seguridad continuas para dev ops
Pruebas de seguridad continuas para dev opsPruebas de seguridad continuas para dev ops
Pruebas de seguridad continuas para dev opsStephen de Vries
 
CSA Summit 2017 - Infraestructuras Ágiles y Delivery Continuo, del testing ma...
CSA Summit 2017 - Infraestructuras Ágiles y Delivery Continuo, del testing ma...CSA Summit 2017 - Infraestructuras Ágiles y Delivery Continuo, del testing ma...
CSA Summit 2017 - Infraestructuras Ágiles y Delivery Continuo, del testing ma...CSA Argentina
 
DevOps, por donde comenzar? - DrupalCon Latin America 2015
DevOps, por donde comenzar? - DrupalCon Latin America 2015DevOps, por donde comenzar? - DrupalCon Latin America 2015
DevOps, por donde comenzar? - DrupalCon Latin America 2015Taller Negócio Digitais
 
DevOps & Infraestructura como código: Promesas Rotas
DevOps & Infraestructura como código: Promesas RotasDevOps & Infraestructura como código: Promesas Rotas
DevOps & Infraestructura como código: Promesas RotasRicard Clau
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaCamilo Fernandez
 
Devops Adoption Roadmap v 2.7 Agiles Colombia 2020
Devops Adoption Roadmap v 2.7 Agiles Colombia 2020Devops Adoption Roadmap v 2.7 Agiles Colombia 2020
Devops Adoption Roadmap v 2.7 Agiles Colombia 2020Javier Dominguez
 
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRootedCON
 

Similar a Presentacion DevSecOps Argentina (20)

Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivo
 
¿DEVSECOPS puede desaparecer?
¿DEVSECOPS puede desaparecer?¿DEVSECOPS puede desaparecer?
¿DEVSECOPS puede desaparecer?
 
Azure Dev(Sec)Ops EPIDATA completa
Azure Dev(Sec)Ops EPIDATA completaAzure Dev(Sec)Ops EPIDATA completa
Azure Dev(Sec)Ops EPIDATA completa
 
Workshop azure devsecops Microsoft Argentina
Workshop azure devsecops Microsoft ArgentinaWorkshop azure devsecops Microsoft Argentina
Workshop azure devsecops Microsoft Argentina
 
Meetup Oracle Technology MAD_BCN: 6.2 DevOps y DataOps
Meetup Oracle Technology MAD_BCN: 6.2 DevOps y DataOpsMeetup Oracle Technology MAD_BCN: 6.2 DevOps y DataOps
Meetup Oracle Technology MAD_BCN: 6.2 DevOps y DataOps
 
Devsecops con azure devops en global azure bootcamp 2019
Devsecops con azure devops en global azure bootcamp 2019Devsecops con azure devops en global azure bootcamp 2019
Devsecops con azure devops en global azure bootcamp 2019
 
Devsecooops Los Caso de no éxito en DevSecOps
Devsecooops Los Caso de no éxito en DevSecOpsDevsecooops Los Caso de no éxito en DevSecOps
Devsecooops Los Caso de no éxito en DevSecOps
 
Pruebas de seguridad continuas para dev ops
Pruebas de seguridad continuas para dev opsPruebas de seguridad continuas para dev ops
Pruebas de seguridad continuas para dev ops
 
"Al rico" PHP
"Al rico" PHP"Al rico" PHP
"Al rico" PHP
 
ISACA DevOps LATAM
ISACA DevOps LATAMISACA DevOps LATAM
ISACA DevOps LATAM
 
CSA Summit 2017 - Infraestructuras Ágiles y Delivery Continuo, del testing ma...
CSA Summit 2017 - Infraestructuras Ágiles y Delivery Continuo, del testing ma...CSA Summit 2017 - Infraestructuras Ágiles y Delivery Continuo, del testing ma...
CSA Summit 2017 - Infraestructuras Ágiles y Delivery Continuo, del testing ma...
 
DevOps, automatización y... ¿cultura?
DevOps, automatización y... ¿cultura?DevOps, automatización y... ¿cultura?
DevOps, automatización y... ¿cultura?
 
Data Ops
Data OpsData Ops
Data Ops
 
DevOps, por donde comenzar? - DrupalCon Latin America 2015
DevOps, por donde comenzar? - DrupalCon Latin America 2015DevOps, por donde comenzar? - DrupalCon Latin America 2015
DevOps, por donde comenzar? - DrupalCon Latin America 2015
 
DevOps & Infraestructura como código: Promesas Rotas
DevOps & Infraestructura como código: Promesas RotasDevOps & Infraestructura como código: Promesas Rotas
DevOps & Infraestructura como código: Promesas Rotas
 
Semana de la I+D - Proyecto OPOSSUM
Semana de la I+D - Proyecto OPOSSUMSemana de la I+D - Proyecto OPOSSUM
Semana de la I+D - Proyecto OPOSSUM
 
Comenzando a usar el Continuous Delivery
Comenzando a usar el Continuous Delivery Comenzando a usar el Continuous Delivery
Comenzando a usar el Continuous Delivery
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP Guatemala
 
Devops Adoption Roadmap v 2.7 Agiles Colombia 2020
Devops Adoption Roadmap v 2.7 Agiles Colombia 2020Devops Adoption Roadmap v 2.7 Agiles Colombia 2020
Devops Adoption Roadmap v 2.7 Agiles Colombia 2020
 
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
 

Más de CSA Argentina

7o estudio-cloud security-esarsenu-2019-csaespearclbobrcomx-isacamad-v2
7o estudio-cloud security-esarsenu-2019-csaespearclbobrcomx-isacamad-v27o estudio-cloud security-esarsenu-2019-csaespearclbobrcomx-isacamad-v2
7o estudio-cloud security-esarsenu-2019-csaespearclbobrcomx-isacamad-v2CSA Argentina
 
Cloud native y donde esta el piloto
Cloud native y donde esta el pilotoCloud native y donde esta el piloto
Cloud native y donde esta el pilotoCSA Argentina
 
Iam dev secops the infinity loop saga
Iam dev secops the infinity loop sagaIam dev secops the infinity loop saga
Iam dev secops the infinity loop sagaCSA Argentina
 
Revista CSA LATAM FORUM 2019
Revista CSA LATAM FORUM 2019Revista CSA LATAM FORUM 2019
Revista CSA LATAM FORUM 2019CSA Argentina
 
Cloud security adoption sophos
Cloud security adoption sophosCloud security adoption sophos
Cloud security adoption sophosCSA Argentina
 
CSA LATAM FORUM - NETSKOPE
CSA LATAM FORUM - NETSKOPECSA LATAM FORUM - NETSKOPE
CSA LATAM FORUM - NETSKOPECSA Argentina
 
Hardening usuarios smartfense
Hardening usuarios smartfenseHardening usuarios smartfense
Hardening usuarios smartfenseCSA Argentina
 
Segurdad de red para la generacion de la nube symantec
Segurdad de red para la generacion de la nube symantecSegurdad de red para la generacion de la nube symantec
Segurdad de red para la generacion de la nube symantecCSA Argentina
 
Automated security analysis of aws clouds v1.0
Automated security analysis of aws clouds v1.0Automated security analysis of aws clouds v1.0
Automated security analysis of aws clouds v1.0CSA Argentina
 
2018 cyberark evento cloud
2018 cyberark evento cloud2018 cyberark evento cloud
2018 cyberark evento cloudCSA Argentina
 
Csa Summit 2017 - Un viaje seguro hacia la nube
Csa Summit 2017 - Un viaje seguro hacia la nubeCsa Summit 2017 - Un viaje seguro hacia la nube
Csa Summit 2017 - Un viaje seguro hacia la nubeCSA Argentina
 
Csa Summit 2017 - Managing multicloud environments
Csa Summit 2017 - Managing multicloud environmentsCsa Summit 2017 - Managing multicloud environments
Csa Summit 2017 - Managing multicloud environmentsCSA Argentina
 
Csa summit 2017 - Plataforma de Seguridad para entornos Cloud
Csa summit 2017 - Plataforma de Seguridad para entornos CloudCsa summit 2017 - Plataforma de Seguridad para entornos Cloud
Csa summit 2017 - Plataforma de Seguridad para entornos CloudCSA Argentina
 
Csa Summit 2017 - Obteniendo información de tu organización a través de aplic...
Csa Summit 2017 - Obteniendo información de tu organización a través de aplic...Csa Summit 2017 - Obteniendo información de tu organización a través de aplic...
Csa Summit 2017 - Obteniendo información de tu organización a través de aplic...CSA Argentina
 
Csa Summit 2017 - Csa Star for dummies
Csa Summit 2017 - Csa Star for dummiesCsa Summit 2017 - Csa Star for dummies
Csa Summit 2017 - Csa Star for dummiesCSA Argentina
 
UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTE
UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTEUNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTE
UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTECSA Argentina
 
SECURITY AS A WAR - Infosecurity 2015
SECURITY AS A WAR - Infosecurity 2015SECURITY AS A WAR - Infosecurity 2015
SECURITY AS A WAR - Infosecurity 2015CSA Argentina
 
Csa summit el circulo de la confianza entre el cliente y el proveedor cloud
Csa summit el circulo de la confianza entre el cliente y el proveedor cloud Csa summit el circulo de la confianza entre el cliente y el proveedor cloud
Csa summit el circulo de la confianza entre el cliente y el proveedor cloud CSA Argentina
 
Csa summit la transformación digital y el nuevo rol del ciso
Csa summit la transformación digital y el nuevo rol del cisoCsa summit la transformación digital y el nuevo rol del ciso
Csa summit la transformación digital y el nuevo rol del cisoCSA Argentina
 
Csa summit presentacion crozono
Csa summit presentacion crozonoCsa summit presentacion crozono
Csa summit presentacion crozonoCSA Argentina
 

Más de CSA Argentina (20)

7o estudio-cloud security-esarsenu-2019-csaespearclbobrcomx-isacamad-v2
7o estudio-cloud security-esarsenu-2019-csaespearclbobrcomx-isacamad-v27o estudio-cloud security-esarsenu-2019-csaespearclbobrcomx-isacamad-v2
7o estudio-cloud security-esarsenu-2019-csaespearclbobrcomx-isacamad-v2
 
Cloud native y donde esta el piloto
Cloud native y donde esta el pilotoCloud native y donde esta el piloto
Cloud native y donde esta el piloto
 
Iam dev secops the infinity loop saga
Iam dev secops the infinity loop sagaIam dev secops the infinity loop saga
Iam dev secops the infinity loop saga
 
Revista CSA LATAM FORUM 2019
Revista CSA LATAM FORUM 2019Revista CSA LATAM FORUM 2019
Revista CSA LATAM FORUM 2019
 
Cloud security adoption sophos
Cloud security adoption sophosCloud security adoption sophos
Cloud security adoption sophos
 
CSA LATAM FORUM - NETSKOPE
CSA LATAM FORUM - NETSKOPECSA LATAM FORUM - NETSKOPE
CSA LATAM FORUM - NETSKOPE
 
Hardening usuarios smartfense
Hardening usuarios smartfenseHardening usuarios smartfense
Hardening usuarios smartfense
 
Segurdad de red para la generacion de la nube symantec
Segurdad de red para la generacion de la nube symantecSegurdad de red para la generacion de la nube symantec
Segurdad de red para la generacion de la nube symantec
 
Automated security analysis of aws clouds v1.0
Automated security analysis of aws clouds v1.0Automated security analysis of aws clouds v1.0
Automated security analysis of aws clouds v1.0
 
2018 cyberark evento cloud
2018 cyberark evento cloud2018 cyberark evento cloud
2018 cyberark evento cloud
 
Csa Summit 2017 - Un viaje seguro hacia la nube
Csa Summit 2017 - Un viaje seguro hacia la nubeCsa Summit 2017 - Un viaje seguro hacia la nube
Csa Summit 2017 - Un viaje seguro hacia la nube
 
Csa Summit 2017 - Managing multicloud environments
Csa Summit 2017 - Managing multicloud environmentsCsa Summit 2017 - Managing multicloud environments
Csa Summit 2017 - Managing multicloud environments
 
Csa summit 2017 - Plataforma de Seguridad para entornos Cloud
Csa summit 2017 - Plataforma de Seguridad para entornos CloudCsa summit 2017 - Plataforma de Seguridad para entornos Cloud
Csa summit 2017 - Plataforma de Seguridad para entornos Cloud
 
Csa Summit 2017 - Obteniendo información de tu organización a través de aplic...
Csa Summit 2017 - Obteniendo información de tu organización a través de aplic...Csa Summit 2017 - Obteniendo información de tu organización a través de aplic...
Csa Summit 2017 - Obteniendo información de tu organización a través de aplic...
 
Csa Summit 2017 - Csa Star for dummies
Csa Summit 2017 - Csa Star for dummiesCsa Summit 2017 - Csa Star for dummies
Csa Summit 2017 - Csa Star for dummies
 
UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTE
UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTEUNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTE
UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTE
 
SECURITY AS A WAR - Infosecurity 2015
SECURITY AS A WAR - Infosecurity 2015SECURITY AS A WAR - Infosecurity 2015
SECURITY AS A WAR - Infosecurity 2015
 
Csa summit el circulo de la confianza entre el cliente y el proveedor cloud
Csa summit el circulo de la confianza entre el cliente y el proveedor cloud Csa summit el circulo de la confianza entre el cliente y el proveedor cloud
Csa summit el circulo de la confianza entre el cliente y el proveedor cloud
 
Csa summit la transformación digital y el nuevo rol del ciso
Csa summit la transformación digital y el nuevo rol del cisoCsa summit la transformación digital y el nuevo rol del ciso
Csa summit la transformación digital y el nuevo rol del ciso
 
Csa summit presentacion crozono
Csa summit presentacion crozonoCsa summit presentacion crozono
Csa summit presentacion crozono
 

Último

La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 

Último (20)

La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 

Presentacion DevSecOps Argentina

  • 1. “BIG BROTHER IS WATCHING YOU”“BIG BROTHER IS WATCHING
  • 2. “BIG BROTHER IS WATCHING YOU” Christian Ibiri CEO Cloud Legión Leonardo Devia
  • 3. “BIG BROTHER IS WATCHING YOU” ¿Motores Encendidos? ¿Preparados? ¿Listos?
  • 4. “BIG BROTHER IS WATCHING YOU”
  • 5. “BIG BROTHER IS WATCHING YOU” Personajes típicos DEV SYSADMIN / OPS SEC :) = BufónQA / TEST FUNCIONAL
  • 6. “BIG BROTHER IS WATCHING YOU” DevOps = Nitro El termino fue creado en el 2009 en la conferencia “Velocity” de O’Reilly en donde se presento la charla 10+ Deploys Per Day. En el 2008 ya se empieza a hablar de infraestructura agil en foros de debate con foco en la metodologia Agile. En el mismo 2008 se genera un foro debate llamado “Agile Sysadmin” que empezo a abordar el tema con propiedad. Uno de los participantes fue Patrick Debois quien Luego creo el evento “DevOps Days”. 10+ Deploys Per Day: Dev and Ops Cooperation at Flickr from John Allspaw
  • 7. “BIG BROTHER IS WATCHING YOU” Está claro por qué las empresas se están moviendo a DevOps ... pero ¿cómo puede la seguridad mantenerse al día con esto? DEVOPS
  • 8. “BIG BROTHER IS WATCHING YOU” Seguridad Tradicional Situación habitual en el desarrollo de aplicaciones Vemos que el enfoque actual es que la seguridad se contempla fuera del ciclo de desarrollo de una aplicación. Inicialmente con pruebas que dependerán de la experiencia del equipo de desarrollo. Posteriormente mediante tests de penetración o hacking ético, tratando de detectar vulnerabilidades de manera interna o algunas veces externas Se que les encanta el KALI Pero no solo de Pentest vive la seguridad 
  • 9. “BIG BROTHER IS WATCHING YOU” ¿Por qué? DevSecOps no es necesario, ¡es inevitable!
  • 10. “BIG BROTHER IS WATCHING YOU” ¿Por qué?
  • 11. “BIG BROTHER IS WATCHING YOU” Postura común Esto es DevOps… Normalmente los equipos de seguridad tradicional dice NO a casi todo Descubre las vulnerabilidades tarde (En Producción) Les cuesta mucho acercarse al equipo de DEV / DEVOPS
  • 12. “BIG BROTHER IS WATCHING YOU” Como resolvemos eso? Un chistesito, por que seguro por el horario tienen hambre  Prueba y errores Mucho Café y errores Sudor, lagrimas y errores Mucho Dolor a los que no tengan errores
  • 13. “BIG BROTHER IS WATCHING YOU” Como resolvemos eso? • SecDevOps • Agile sSDLC • Agile Security • Rugged DevOps • DevOps Security Varios nombre para lo mismo: “DevSecOps”
  • 14. “BIG BROTHER IS WATCHING YOU” ¿Qué es DevSecOps? "El propósito e intención de DevSecOps es construir sobre la base de que 'todos son responsables de la seguridad' Nueva filosofía generada por la fusión de DevOps y SecOps. Integra el enfoque de la seguridad en el ciclo de desarrollo y explotación de aplicaciones de una manera sistemática. Al igual que las DevOps, operaciones de soporte al desarrollo, la seguridad se debe poder automatizar o sistematizar en gran medida. El objetivo final es poder pasar a producción de manera automática una aplicación razonablemente segura en cuestión de minutos. Considerando siempre que la seguridad total no existe, lo que se minimiza es el riesgo
  • 15. “BIG BROTHER IS WATCHING YOU” Manifesto Leaning in over Always Saying “No” Data & Security Science over Fear, Uncertainty and Doubt Open Contribution & Collaboration over Security-Only Requirements Consumable Security Services with APIs over Mandated Security Controls & Paperwork Business Driven Security Scores over Rubber Stamp Security Red & Blue Team Exploit Testing over Relying on Scans & Theoretical Vulnerabilities 24x7 Proactive Security Monitoring over Reacting after being Informed of an Incident Shared Threat Intelligence over Keeping Info to Ourselves Compliance Operations over Clipboards & Checklists http://www.devsecops.org/
  • 16. “BIG BROTHER IS WATCHING YOU” • No son ideas nuevas, simplemente es una reformulación de una necesidad. • Se compone de varias ideas, una de ellas es la consideración de la seguridad integrada en el proceso de desarrollo. • Elementos claves: Personas • Cultura • Roles Procesos • Tecnicas • Practicas Herramientas • SEC tools • Dev Tools
  • 17. “BIG BROTHER IS WATCHING YOU” Personas
  • 18. “BIG BROTHER IS WATCHING YOU” Cultura • Comunicación y transparencia • Ambiente de alta confianza "postmortem sin culpa" • Mejora continua • Todos son responsables de la seguridad • Automatice tanto como sea posible • Todo como código
  • 19. “BIG BROTHER IS WATCHING YOU” Practicas y técnicas • Static/IAST analysis • Abuse case tests • Code review • Break the build code analysis • Threat modeling  backlog items • Analyze/Predict  backlog items • Design complies with policy? • Test security features • Common abuse cases • Pen testing (Vuls found  Test scripts) • Compliance validation (PCI, etc.) • Fuzzing • If we do X will it mitigate Y? • Capacity forecasting • Learning  Update playbooks and Training • Configuration validation • Feature toggles/Traffic shaping configuration • Secrets management • Log information for after-incident analysis • Intrusion detection • App attack detection • Restore/maintain service for non-attack usage • RASP auto respond • Roll-back or toggle off • Block attacker • Shut down services • Analysis  Learning • Defect/Incident 3-step • New attack surface? Plan to update threat model
  • 20. “BIG BROTHER IS WATCHING YOU” DevSecOps Tools landscape Static Analysis (aka SAST) • Looks at source code • Data/control flow analysis • Prone to false positives • Rapid feedback for developers • Code fix suggestions Dynamic • Instruments app (to varying degrees) • Exercises app via UI/API • Zero? false positives • Hard to instrument? • High false negatives • Report is an exploit • Sometimes hard to find code to remediate IAST • Combine dynamic/static • Good false positives/negatives • Immature but getting there Runtime Application Security Protection (RASP) • Reports on “bad” behavior • Can abort transaction or kill process to protect Fuzzing • Instruments app (to varying degrees) • Sends unexpected input at API • Looks at response and instrumentation output • Great for testing protocols like SIP • Good for REST APIs • Potentially long run times • Hard to find code to remediate Software Composition Analysis (SCA) • Identifies dependency and version • Checks CVE/NVD + … for reported vulnerabilities • Proposes version/patch to remediate • Checks license vs policy • Runs fast • Some have firewall mode
  • 21. “BIG BROTHER IS WATCHING YOU” Problemas • Procesos manuales y cultura de la reunión (Reunion de reuniones) • Fricción por el amor a la fricción • Malentendidos contextuales • Decisiones tomadas fuera de la creación de valor • Restricciones y requisitos tardíos • Grandes compromisos, grandes equipos y grandes fracasos • Miedo al fracaso, falta de aprendizaje • Falta de inspiración • Gestión e interferencia política (aprobaciones, excepciones) Desafios • DevOps requiere implementaciones continuas • La toma de decisiones rápida es crítica para el éxito de DevOps • La seguridad tradicional simplemente no escala ni se mueve lo suficientemente rápido ... • Las Organizaciones grandes y reguladas son las que mas necesita DevSecOps • Esto no significa que estén LISTOS para DevSecOps • Las estructuras Organizativas típicas hacen que DevSecOps sea muy difícil de lograr • Es tan difícil como vender Agile, DevOps o justificar una inversión en seguridad  Beneficios • La reducción de costos (detección y la reparación temprana) • Mayor velocidad de entrega (no mas cuellos de botella) • Velocidad de recuperation • Mejor monitoreo y la auditoría • Reduce los vectores de ataque • Asegura el principio de "seguridad por diseño" mediante el uso revisión automatizada • Crea valor e innovación con Seguridad iterativa a velocidad y escala. • La seguridad está federada y se convierte en responsabilidad de todos. • DevSecOps fomenta una cultura de apertura y transparencia desde las primeras etapas de desarrollo.
  • 22. “BIG BROTHER IS WATCHING YOU” De DevOps a DevSecOps en 12 semanas
  • 23. “BIG BROTHER IS WATCHING YOU” Objetivos Generales • Equipo y Cultura • Inculcar el concepto de “Todos son responsables de la seguridad”. • Embeber seguridad lo antes posible (Shift Left) • Herramientas DevOps • Incorporar Análisis Dinámico (y Estático si se puede). • Comenzar con la automatización de las herramientas de “Sec”.
  • 24. “BIG BROTHER IS WATCHING YOU” Prerrequisitos• DevSecOps no existe ni se implementan en un vacío! • Esto es, Sec suele entrar al equipo de DevOps cuando ya esta relativamente integrado… lástima! • Equipo y Cultura • El equipo de DevOps utilizan (o al menos intentan llevar) los proyectos con características “Agile”. • Herramientas DevOps • El equipo tiene, sino un pipeline completo, al menos IDEs coherentes, integración continua, y repositorios de código fuente y binarios. • Infraestructura • La Virtualización es la forma corriente para la arquitectura de despliegue. • El equipo DevOps ya puso un pie (y a veces mas) en los servers.
  • 25. “BIG BROTHER IS WATCHING YOU” • Semana 1 – La Familia • Escuchar al equipo actual. • Incluir en las ceremonias la referencia a la seguridad (en el desarrollo, el entorno, el método y el producto). • Semana 2 – El Equipamiento • Comenzar a incorporar las herramientas de análisis dinámico • OWASP Zed Attack Proxy • https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project • OWASP OWTF • https://www.owasp.org/index.php/OWASP_OWTF • OWASP Dependency Check  SonarQube Plugin!!! • https://www.owasp.org/index.php/OWASP_Dependency_Check • Semana 3 – El Trabajo • Retrospectiva: Pwned! (Prueba de Seguridad en Vivo)
  • 26. “BIG BROTHER IS WATCHING YOU” • Semana 4 – La Familia • Incorporar la lógica de modelado de amenazas en las ceremonias • OWASP Cornucopia https://www.owasp.org/index.php/OWASP_Cornucopia • Semana 5 – El Equipamiento • Comenzar a automatizar las herramientas de análisis dinámico • StackStorm https://github.com/StackStorm • Semana 6 – El Trabajo • Retrospectiva: Hack yourself!
  • 27. “BIG BROTHER IS WATCHING YOU” • Semana 7 – La Familia • Identificar el lugar y alcance de “Ops” • Incorporar la gestión de configuración, menor privilegio, y de gestión de Claves, y Secretos • Semana 8 – El Equipamiento • Implementar herramientas de gestión de contraseñas (particularmente en repositorios) • BlackBox • https://github.com/StackExchange/blackbox • Git-Secrets • https://github.com/awslabs/git-secrets • Semana 9 – El Trabajo • Retrospectiva: Hack Yourself!(Ejercicio de Red Team / Blue Team)
  • 28. “BIG BROTHER IS WATCHING YOU” • Semana 10 – La Familia • Profundizar e integrar los resultados de las actividades anteriores como input • Organizar Registro, Monitoreo y Alertas • Semana 11 – El equipamiento • Comenzar la integración de alertas • Nagios • https://www.nagios.com/ • Alerta • http://alerta.io/ • Semana 12 – El Trabajo • Retrospectiva: Hack Yourself!(Ejercicio de Red Team / Blue Team)
  • 29. “BIG BROTHER IS WATCHING YOU” Conclusiones • DevSecOps es la consecuencia indiscutible de la necesidad de tener mayor agilidad en los equipos y velocidad en la entrega de software (DevOps) AL MISMO TIEMPO que se incorpora seguridad desde el principio (i.e. Rugged) • La tecnología no tiene problemas, las personas si tienen problemas, para lograr un cultura de DevSecOps efectiva debemos pensar como Toreto (yo no tengo amigos si tengo familia). “BIG BROTHER IS WATCHING YOU”
  • 30. “BIG BROTHER IS WATCHING YOU” GRACIAS

Notas del editor

  1. Nueva filosofía generada por la fusión de DevOps y SecOps. Integra el enfoque de la seguridad en el ciclo de desarrollo y explotación de aplicaciones de una manera sistemática. Al igual que las DevOps, operaciones de soporte al desarrollo, la seguridad se debe poder automatizar o sistematizar en gran medida. El objetivo final es poder pasar a producción de manera automática una aplicación razonablemente segura en cuestión de minutos. Considerando siempre que la seguridad total no existe, lo que se minimiza es el riesgo
  2. Product Manager • Secure SDLC • Security Requirements QA • Security Testing • Dynamic Testing Tools Architects • Secure Design Principles • Threat Modeling Operation • Security Configurations • Secure Deployments Developer • Secure Coding • SAST Tools
  3. 1. Secure SDLC 2. Security Pipelines