SlideShare una empresa de Scribd logo

Policy as Code by David Acacio - DevOps BCN - October 2023

D
devopsbcnmeetup

En esta charla explicaremos cómo usando política como código (policy-as-code) podemos dotar de la máxima agilidad y flexibilidad a nuestros equipos sin sacrificar la seguridad y control

Tecnología
1 de 19
Descargar para leer sin conexión
Policy as Code cómo no poner puertas al campo cloud
~# whoami Datos personales ● David Acacio Albareda ● 45 años ● 26 años trabajando en IT ● Lead Cloud Architect en Zurich España Curiosidades ● Co-host en el podcast de EntreDevyOps ● Radioaficionado con indicativo EA3IPX Contacto ● Email → dacacioa@gmail.com ● X Twitter → https://twitter.com/david_acacio ● LinkedIn → https://www.linkedin.com/in/davidacacio/
Zurich
Primeros pasos al cloud ● Selección de AWS como proveedor cloud. ● Dependencia con un partner. ● Tres cuentas. ● Uso exclusivo de computing y RDS (emulando on-premises). ● Consciencia de la existencia del serverless.
Evolución de servicios en el tiempo (AWS)
Evolución de Zurich en el uso de AWS Requisitos: ● Garantizar seguridad. ● Garantizar auditoría. ● Bajo coste de mantenimiento: 1 FTE (2 x 50%). ● Permitir innovación y experimentación. ● 24 horas aplicación en producción. ● No introducir animales nuevos al Zoo
The IT Zoo
Tecnología seleccionada 1. AWS (enfoque multicuenta). 2. GitOps (CI/CD) ○ Auditoría. ○ Control. ○ Aislamiento a nivel de “aplicación”. 3. Uso del IaC ○ CDK → Typescript
Seguridad banco vs casino
Cómo conseguimos seguridad de casino ● Vallas de seguridad perimetrales. ○ Ninguna cuenta tiene acceso directo a internet. ○ Servicios bloqueados (SCP) ■ Internet Gateway. ■ Public IP. ● GitOps ○ Cualquier despliegue sólo puede realizarse por pipeline. ○ Acceso limitado a sólo lectura a la consola y a ciertos servicios. ○ Doble nivel de validación en los MR. ● Proyectos auto-contenidos. ● Control/supervisión sobre los recursos desplegados.
Primer intento de seguridad casino ● Ofrecer a los desarrolladores abstracciones de la infraestructura para los diferentes servicios (CDK Constructs). ○ Poca flexibilidad. ○ Mucho esfuerzo de mantenimiento. ○ Lentitud en time to market. ○ Bloqueo de la innovación.
Policy as code 1/2 ● Definición: ○ Policy-as-code is a method of defining and managing security rules, criteria, and conditions through code. ● Primer enfoque: ○ OPA (https://www.openpolicyagent.org/) ○ Dificultad del lenguaje (Rego). ○ Lentitud en la definición de reglas. ○ Demasiada dedicación.
Policy as code 2/2 ● Keeping infrastrutres as code secure - Kics (https://kics.io/) ○ Open Source (https://github.com/Checkmarx/kics) ○ Creado por Checkmarx. ○ 1500 reglas para: ■ Cloudformation. ■ Terraform ■ K8s ■ Azure Resource Manager ■ GCP ○ CIS compliance: ■ CIS Amazon Web Services Foundations Benchmark v1.4 Level 2 ■ CIS Kubernetes Benchmark v1.6.1, Level 2 - Master Node ■ CIS Kubernetes Benchmark v1.6.1, Level 2 - Worker Node ● Otras soluciones de terceros: ○ Checkov (Prisma) ○ Sentinel (Hashicorp) ○ cdk-nag
Lecciones aprendidas 1/2 ● Shift to the left
Lecciones aprendidas 2/2 ● Control de excepciones ○ Excepción a nivel de aplicación. ○ Trazabilidad ■ Proceso estandarizado ● Regla excepcionada. ● Fecha. ● Justificación. ■ Triple nivel de validación ● Developer. ● Arquitecto responsable de la plataforma. ● Arquitecto de cloud.
Situación actual ● +50 cuentas AWS (y creciendo). ● 75% soluciones Serverless. ● +100 aplicaciones/plataformas. ● 24 horas (casi) OK!
Preguntas

Recomendados

IaaS + PaaS Cloud Solutions
IaaS + PaaS Cloud Solutions IaaS + PaaS Cloud Solutions
IaaS + PaaS Cloud Solutions Zemsania Services & Consulting
 
Alto rendimiento en la web
Alto rendimiento en la webAlto rendimiento en la web
Alto rendimiento en la webNil Portugués Calderó
 
Esos contenedores, ¡a producción! (Commit Conf 2018)
Esos contenedores, ¡a producción! (Commit Conf 2018)Esos contenedores, ¡a producción! (Commit Conf 2018)
Esos contenedores, ¡a producción! (Commit Conf 2018)Eduard Tomàs
 
Proyecto wonderful
Proyecto wonderfulProyecto wonderful
Proyecto wonderfulDiego Muiño
 
BBVA Arquitectura - Demo DevOps
BBVA Arquitectura - Demo DevOpsBBVA Arquitectura - Demo DevOps
BBVA Arquitectura - Demo DevOpsErnesto Anaya
 
Webinar: Descubre los diferentes servicios Cloud Native en Azure
Webinar: Descubre los diferentes servicios Cloud Native en AzureWebinar: Descubre los diferentes servicios Cloud Native en Azure
Webinar: Descubre los diferentes servicios Cloud Native en AzureatSistemas
 
Cloud Native en Azure Webinar atSistemas
Cloud Native en Azure Webinar atSistemasCloud Native en Azure Webinar atSistemas
Cloud Native en Azure Webinar atSistemasSanti Macias Rodriguez
 
Computación volutaria vs Cloud vs HPC
Computación volutaria vs Cloud vs HPCComputación volutaria vs Cloud vs HPC
Computación volutaria vs Cloud vs HPCkabute
 

Recomendados

IaaS + PaaS Cloud Solutions
IaaS + PaaS Cloud Solutions IaaS + PaaS Cloud Solutions
IaaS + PaaS Cloud Solutions Zemsania Services & Consulting
 
Alto rendimiento en la web
Alto rendimiento en la webAlto rendimiento en la web
Alto rendimiento en la webNil Portugués Calderó
 
Esos contenedores, ¡a producción! (Commit Conf 2018)
Esos contenedores, ¡a producción! (Commit Conf 2018)Esos contenedores, ¡a producción! (Commit Conf 2018)
Esos contenedores, ¡a producción! (Commit Conf 2018)Eduard Tomàs
 
Proyecto wonderful
Proyecto wonderfulProyecto wonderful
Proyecto wonderfulDiego Muiño
 
BBVA Arquitectura - Demo DevOps
BBVA Arquitectura - Demo DevOpsBBVA Arquitectura - Demo DevOps
BBVA Arquitectura - Demo DevOpsErnesto Anaya
 
Webinar: Descubre los diferentes servicios Cloud Native en Azure
Webinar: Descubre los diferentes servicios Cloud Native en AzureWebinar: Descubre los diferentes servicios Cloud Native en Azure
Webinar: Descubre los diferentes servicios Cloud Native en AzureatSistemas
 
Cloud Native en Azure Webinar atSistemas
Cloud Native en Azure Webinar atSistemasCloud Native en Azure Webinar atSistemas
Cloud Native en Azure Webinar atSistemasSanti Macias Rodriguez
 
Computación volutaria vs Cloud vs HPC
Computación volutaria vs Cloud vs HPCComputación volutaria vs Cloud vs HPC
Computación volutaria vs Cloud vs HPCkabute
 
IKOR Intraemprendimiento
IKOR IntraemprendimientoIKOR Intraemprendimiento
IKOR IntraemprendimientoIKOR
 
Cloud computing
Cloud computingCloud computing
Cloud computingAngel Vázquez Patiño
 
[webinar]: Cómo administrar integraciones privadas en la nube | Cap. III
[webinar]: Cómo administrar integraciones privadas en la nube | Cap. III[webinar]: Cómo administrar integraciones privadas en la nube | Cap. III
[webinar]: Cómo administrar integraciones privadas en la nube | Cap. IIIGonzalo Chelme
 
Offering Cloud Solutions
Offering Cloud Solutions Offering Cloud Solutions
Offering Cloud Solutions Zemsania Services & Consulting
 
Cloud native Computing Perú Octubre
Cloud native Computing Perú OctubreCloud native Computing Perú Octubre
Cloud native Computing Perú OctubreMario IC
 
Webinar: Soluciones Oracle para el cumplimiento de GDPR
Webinar: Soluciones Oracle para el cumplimiento de GDPRWebinar: Soluciones Oracle para el cumplimiento de GDPR
Webinar: Soluciones Oracle para el cumplimiento de GDPRavanttic Consultoría Tecnológica
 
Centro de Datos en la Nube, una oportunidad para las pymes - @aslan.2013
Centro de Datos en la Nube, una oportunidad para las pymes - @aslan.2013Centro de Datos en la Nube, una oportunidad para las pymes - @aslan.2013
Centro de Datos en la Nube, una oportunidad para las pymes - @aslan.2013Arsys
 
vOpenUy: Construye tu aplicación Multi-Tenant
vOpenUy: Construye tu aplicación Multi-TenantvOpenUy: Construye tu aplicación Multi-Tenant
vOpenUy: Construye tu aplicación Multi-Tenantfernando sonego
 
Autobuses de Madrid en tiempo real con Azure Relay
Autobuses de Madrid en tiempo real con Azure RelayAutobuses de Madrid en tiempo real con Azure Relay
Autobuses de Madrid en tiempo real con Azure RelayManuel Rodrigo Cabello Malagón
 
Meetup spark + kerberos
Meetup spark + kerberosMeetup spark + kerberos
Meetup spark + kerberosJorge Lopez-Malla
 
Meetup: Spark + Kerberos
Meetup: Spark + KerberosMeetup: Spark + Kerberos
Meetup: Spark + KerberosStratio
 
Azure BootCamp BCN Enredando nubes
Azure BootCamp BCN Enredando nubesAzure BootCamp BCN Enredando nubes
Azure BootCamp BCN Enredando nubesSergim
 
Principios de cloud native
Principios de cloud nativePrincipios de cloud native
Principios de cloud nativeJesús A. Rodríguez B.
 
ISACA DevOps LATAM
ISACA DevOps LATAMISACA DevOps LATAM
ISACA DevOps LATAMCarlos Chalico
 
PresentacionPFC_ppt
PresentacionPFC_pptPresentacionPFC_ppt
PresentacionPFC_pptAdrià Navarro Martin
 
Aplicación TÜViT a un Data Center real
Aplicación TÜViT a un Data Center realAplicación TÜViT a un Data Center real
Aplicación TÜViT a un Data Center realÁlvaro Pérez Rubio
 
Proyecto Kura Kura - Presentación técnica
Proyecto Kura Kura - Presentación técnicaProyecto Kura Kura - Presentación técnica
Proyecto Kura Kura - Presentación técnicaMarc Mauri Alloza
 
Ecs codemotion
Ecs codemotionEcs codemotion
Ecs codemotionEngisoft Cloud Services
 
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...Implementación de Cloud Computing con Software Libre y medidas de seguridad p...
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...campus party
 
Un viaje a la observabilidad
Un viaje a la observabilidadUn viaje a la observabilidad
Un viaje a la observabilidadElasticsearch
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 

Más contenido relacionado

Similar a Policy as Code by David Acacio - DevOps BCN - October 2023

IKOR Intraemprendimiento
IKOR IntraemprendimientoIKOR Intraemprendimiento
IKOR IntraemprendimientoIKOR
 
[webinar]: Cómo administrar integraciones privadas en la nube | Cap. III
[webinar]: Cómo administrar integraciones privadas en la nube | Cap. III[webinar]: Cómo administrar integraciones privadas en la nube | Cap. III
[webinar]: Cómo administrar integraciones privadas en la nube | Cap. IIIGonzalo Chelme
 
Cloud native Computing Perú Octubre
Cloud native Computing Perú OctubreCloud native Computing Perú Octubre
Cloud native Computing Perú OctubreMario IC
 
Centro de Datos en la Nube, una oportunidad para las pymes - @aslan.2013
Centro de Datos en la Nube, una oportunidad para las pymes - @aslan.2013Centro de Datos en la Nube, una oportunidad para las pymes - @aslan.2013
Centro de Datos en la Nube, una oportunidad para las pymes - @aslan.2013Arsys
 
vOpenUy: Construye tu aplicación Multi-Tenant
vOpenUy: Construye tu aplicación Multi-TenantvOpenUy: Construye tu aplicación Multi-Tenant
vOpenUy: Construye tu aplicación Multi-Tenantfernando sonego
 
Meetup: Spark + Kerberos
Meetup: Spark + KerberosMeetup: Spark + Kerberos
Meetup: Spark + KerberosStratio
 
Azure BootCamp BCN Enredando nubes
Azure BootCamp BCN Enredando nubesAzure BootCamp BCN Enredando nubes
Azure BootCamp BCN Enredando nubesSergim
 
Aplicación TÜViT a un Data Center real
Aplicación TÜViT a un Data Center realAplicación TÜViT a un Data Center real
Aplicación TÜViT a un Data Center realÁlvaro Pérez Rubio
 
Proyecto Kura Kura - Presentación técnica
Proyecto Kura Kura - Presentación técnicaProyecto Kura Kura - Presentación técnica
Proyecto Kura Kura - Presentación técnicaMarc Mauri Alloza
 
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...Implementación de Cloud Computing con Software Libre y medidas de seguridad p...
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...campus party
 
Un viaje a la observabilidad
Un viaje a la observabilidadUn viaje a la observabilidad
Un viaje a la observabilidadElasticsearch
 

Similar a Policy as Code by David Acacio - DevOps BCN - October 2023 (20)

IKOR Intraemprendimiento
IKOR IntraemprendimientoIKOR Intraemprendimiento
IKOR Intraemprendimiento
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
[webinar]: Cómo administrar integraciones privadas en la nube | Cap. III
[webinar]: Cómo administrar integraciones privadas en la nube | Cap. III[webinar]: Cómo administrar integraciones privadas en la nube | Cap. III
[webinar]: Cómo administrar integraciones privadas en la nube | Cap. III
 
Offering Cloud Solutions
Offering Cloud Solutions Offering Cloud Solutions
Offering Cloud Solutions
 
Cloud native Computing Perú Octubre
Cloud native Computing Perú OctubreCloud native Computing Perú Octubre
Cloud native Computing Perú Octubre
 
Webinar: Soluciones Oracle para el cumplimiento de GDPR
Webinar: Soluciones Oracle para el cumplimiento de GDPRWebinar: Soluciones Oracle para el cumplimiento de GDPR
Webinar: Soluciones Oracle para el cumplimiento de GDPR
 
Centro de Datos en la Nube, una oportunidad para las pymes - @aslan.2013
Centro de Datos en la Nube, una oportunidad para las pymes - @aslan.2013Centro de Datos en la Nube, una oportunidad para las pymes - @aslan.2013
Centro de Datos en la Nube, una oportunidad para las pymes - @aslan.2013
 
vOpenUy: Construye tu aplicación Multi-Tenant
vOpenUy: Construye tu aplicación Multi-TenantvOpenUy: Construye tu aplicación Multi-Tenant
vOpenUy: Construye tu aplicación Multi-Tenant
 
Autobuses de Madrid en tiempo real con Azure Relay
Autobuses de Madrid en tiempo real con Azure RelayAutobuses de Madrid en tiempo real con Azure Relay
Autobuses de Madrid en tiempo real con Azure Relay
 
Meetup spark + kerberos
Meetup spark + kerberosMeetup spark + kerberos
Meetup spark + kerberos
 
Meetup: Spark + Kerberos
Meetup: Spark + KerberosMeetup: Spark + Kerberos
Meetup: Spark + Kerberos
 
Azure BootCamp BCN Enredando nubes
Azure BootCamp BCN Enredando nubesAzure BootCamp BCN Enredando nubes
Azure BootCamp BCN Enredando nubes
 
Principios de cloud native
Principios de cloud nativePrincipios de cloud native
Principios de cloud native
 
ISACA DevOps LATAM
ISACA DevOps LATAMISACA DevOps LATAM
ISACA DevOps LATAM
 
PresentacionPFC_ppt
PresentacionPFC_pptPresentacionPFC_ppt
PresentacionPFC_ppt
 
Aplicación TÜViT a un Data Center real
Aplicación TÜViT a un Data Center realAplicación TÜViT a un Data Center real
Aplicación TÜViT a un Data Center real
 
Proyecto Kura Kura - Presentación técnica
Proyecto Kura Kura - Presentación técnicaProyecto Kura Kura - Presentación técnica
Proyecto Kura Kura - Presentación técnica
 
Ecs codemotion
Ecs codemotionEcs codemotion
Ecs codemotion
 
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...Implementación de Cloud Computing con Software Libre y medidas de seguridad p...
Implementación de Cloud Computing con Software Libre y medidas de seguridad p...
 
Un viaje a la observabilidad
Un viaje a la observabilidadUn viaje a la observabilidad
Un viaje a la observabilidad
 

Último

Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxRogerPrieto3
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 

Último (15)

Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptx
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 

Policy as Code by David Acacio - DevOps BCN - October 2023

  • 1. Policy as Code cómo no poner puertas al campo cloud
  • 2. ~# whoami Datos personales ● David Acacio Albareda ● 45 años ● 26 años trabajando en IT ● Lead Cloud Architect en Zurich España Curiosidades ● Co-host en el podcast de EntreDevyOps ● Radioaficionado con indicativo EA3IPX Contacto ● Email → dacacioa@gmail.com ● X Twitter → https://twitter.com/david_acacio ● LinkedIn → https://www.linkedin.com/in/davidacacio/
  • 4. Primeros pasos al cloud ● Selección de AWS como proveedor cloud. ● Dependencia con un partner. ● Tres cuentas. ● Uso exclusivo de computing y RDS (emulando on-premises). ● Consciencia de la existencia del serverless.
  • 5. Evolución de servicios en el tiempo (AWS)
  • 6. Evolución de Zurich en el uso de AWS Requisitos: ● Garantizar seguridad. ● Garantizar auditoría. ● Bajo coste de mantenimiento: 1 FTE (2 x 50%). ● Permitir innovación y experimentación. ● 24 horas aplicación en producción. ● No introducir animales nuevos al Zoo
  • 8.
  • 9. Tecnología seleccionada 1. AWS (enfoque multicuenta). 2. GitOps (CI/CD) ○ Auditoría. ○ Control. ○ Aislamiento a nivel de “aplicación”. 3. Uso del IaC ○ CDK → Typescript
  • 11. Cómo conseguimos seguridad de casino ● Vallas de seguridad perimetrales. ○ Ninguna cuenta tiene acceso directo a internet. ○ Servicios bloqueados (SCP) ■ Internet Gateway. ■ Public IP. ● GitOps ○ Cualquier despliegue sólo puede realizarse por pipeline. ○ Acceso limitado a sólo lectura a la consola y a ciertos servicios. ○ Doble nivel de validación en los MR. ● Proyectos auto-contenidos. ● Control/supervisión sobre los recursos desplegados.
  • 12. Primer intento de seguridad casino ● Ofrecer a los desarrolladores abstracciones de la infraestructura para los diferentes servicios (CDK Constructs). ○ Poca flexibilidad. ○ Mucho esfuerzo de mantenimiento. ○ Lentitud en time to market. ○ Bloqueo de la innovación.
  • 13. Policy as code 1/2 ● Definición: ○ Policy-as-code is a method of defining and managing security rules, criteria, and conditions through code. ● Primer enfoque: ○ OPA (https://www.openpolicyagent.org/) ○ Dificultad del lenguaje (Rego). ○ Lentitud en la definición de reglas. ○ Demasiada dedicación.
  • 14. Policy as code 2/2 ● Keeping infrastrutres as code secure - Kics (https://kics.io/) ○ Open Source (https://github.com/Checkmarx/kics) ○ Creado por Checkmarx. ○ 1500 reglas para: ■ Cloudformation. ■ Terraform ■ K8s ■ Azure Resource Manager ■ GCP ○ CIS compliance: ■ CIS Amazon Web Services Foundations Benchmark v1.4 Level 2 ■ CIS Kubernetes Benchmark v1.6.1, Level 2 - Master Node ■ CIS Kubernetes Benchmark v1.6.1, Level 2 - Worker Node ● Otras soluciones de terceros: ○ Checkov (Prisma) ○ Sentinel (Hashicorp) ○ cdk-nag
  • 15. Lecciones aprendidas 1/2 ● Shift to the left
  • 16. Lecciones aprendidas 2/2 ● Control de excepciones ○ Excepción a nivel de aplicación. ○ Trazabilidad ■ Proceso estandarizado ● Regla excepcionada. ● Fecha. ● Justificación. ■ Triple nivel de validación ● Developer. ● Arquitecto responsable de la plataforma. ● Arquitecto de cloud.
  • 17. Situación actual ● +50 cuentas AWS (y creciendo). ● 75% soluciones Serverless. ● +100 aplicaciones/plataformas. ● 24 horas (casi) OK!
  • 18.