文思海辉副总裁宗良-DevSecOps 三问

冀小春

2017/11/14 发布于 技术 分类

随着 DevOps 的实际应用不断发展,Faster & Faster 的产品发布推陈出新,一个很严峻的问题有待解决:如果确保在快速迭代、快速发布过程中的产品安全,尤其随着《网络安全法》等一系列法律法规的完善与发布,这一问题已经上升到刑事责任而非过往的民事责任的高度。安全与DevOps 的整合已经迫在眉睫,本分享将就这一方面,介绍相应的 DevSecOps 的实际实施经验。

文字内容
2. DevSecOps 三问: Why?What? How? 宗良 文思海辉 信息安全助理副总裁 DevOpsDays 2017·上海站
3. DevOpsDays 2017·上海站 宗良 文思海辉 信息安全助理副总裁 个人介绍: 现任文思海辉信息技术有限公 司全球信息安全与风险办公室信息 安全助理副总裁,负责文思海辉全 球信息安全内控,以及对外的集成 安全服务。 15年以上从业经验,对软件开 发/测试,服务与项目管理,信息 安全与风险管控,质量与流程体系, 培训体系与培训实施等多个方面都 有深入理解与实际操作。
4. 目录 壹 Why DevSecOps 贰 What is DevSecOps 叁 How DevSecOps DevOpsDays 2017·上海站
5. 传统的SDLC 与传统的应用安全 瀑布模型为例 需求 设计 编码 测试 运维 安全需 求 安全设 计 安全代 码规范 安全测 试 安全补 丁 DevOpsDays 2017·上海站
6. 敏捷模型对应的应用安全 威胁建模 脆弱性检测 静态应用安全测试 动态应用安全测试 软件安全修复 安全代码培训 需求&分析 开发 分析 计划 设计 构建 测试 分析 计划 部署 设计 构建 测试 质量保证(QA) 分析 计划 部署 设计 构建 测试 生产 部署 DevOpsDays 2017·上海站
7. 标准的 DevOps 与 应用安全 DevOps ---- Faster & Faster 持续集成 持续部署 持续集成 持续部署 持续集成 持续部署 DevOpsDays 2017·上海站
8. SecOps • BMC 公司,2016年推出 • 作为一种 Service Offering • 核心理念: 自动化(Automation)是解决安全(Security) 与运营(Operation)之间鸿沟的主要手段。 DevOpsDays 2017·上海站
9. SecDevOps • Stevan Arychuk • 2015-08-17 • 核心理念: Inject/Embed Security Into DevOps 在早期引入必需的风险建模(Risk Modeling)、 威胁评估(Threat Assessment)与渗透测试 (Penetration Test)。 DevOpsDays 2017·上海站
10. DevSecOps • SANS, 2016 年3月 • Whitepaper • 核心理念: Co-exist of DevOps & Information Security DevOpsDays 2017·上海站
11. 目录 壹 Why DevSecOps 贰 What is DevSecOps 叁 How DevSecOps DevOpsDays 2017·上海站
12. DevSecOps 的概念 DevSecOps strives to automate core security tasks by embedding security controls and processes into the DevOps workflow. DevSecOps originally focused primarily on automating code security and testing, but now it also encompasses more operations-centric controls. Security can benefit from automation by incorporating logging and event monitoring, configuration and patch management, user and privilege management, and vulnerability assessment into DevOps processes. ------ Sourced from SANS DevOpsDays 2017·上海站
13. DevSecOps 聚焦 DevOpsDays 2017·上海站
14. DevSecOps = DevOps + Security Embedded 需求 设计 编码 测试 发布 部署 运营 Dev Ops 把安全作为基因持续集成于整个 DevOps 生命周期中 监控 审计 威胁建模 安全设计 Secure SDLC 培训 SAST DAST 业务逻辑 安全 FUZZ 安全编码培 训 安全测试培 训 安全状态 评估 策略合规性 渗透测试 漏洞评估 安全运维培 训 安全补丁培 训 DevOpsDays 2017·上海站
15. 目录 壹 Why DevSecOps 贰 What is DevSecOps 叁 How DevSecOps DevOpsDays 2017·上海站
16. How to Design DevOps How to Integrate Security How to Automate & Self-Driven How to V & V DevOpsDays 2017·上海站
17. 安全的自动发布特性 安全性 白盒发布 一键发布 多系统支持 支持多种编程语言 版本回退 多数据库支持 多实例并行/串行发布 DevOpsDays 2017·上海站 多环境连续发布
18. 安全控制特性 安全性 l 全新防护机制,实时自 动化代码安全扫描 l 主机、数据库等账号密码统 一加密存储 l 发布用户仅有发布、启停应 用等权限,无其他直接控制 权限 l Linux/Unix采用ssh传输 应用软件包,Windows 采用winrm+https验证 传输 白盒发布 l 发布状态实时显示,真 正可视化发布 版本回退 l 发布过程可交互,用户 可随时根据发布状态选 择中止或取消发布 l 应用发布过程中可随时中止, 自动回退到任何指定的稳定 版本 l 数据库脚本 回退 DevOpsDays 2017·上海站
19. 实例问题感悟 版本管理和发布存在的问题: l 自动发布的代码未经安全检测,安全隐患漏 出率过高,多次收到上级主管部门警告 l 以时间作为版本号,缺少版本号规则和规范, 容易导致发布错乱 l 配置文件存放目录没有相应规范目录,环境 相关配置存在多个文件中,导致应用发布复 杂度增加 l 缺乏统一的编译工具,容易导致发布的应用 不一致 l 没有建立开发分支,不支持并行项目,当存 在并行项目时,很容易出现代码混乱 l 手工发布应用,交付时间长,效率低 DevOpsDays 2017·上海站 教训: 由于存在左边所述的问题,某客户 在以往的应用发布过程中频繁发生故 障,例如:未测试的错误代码被发布到 生产环境,甚至发生了已修复的Bug在 生产环境中重复出现的重大生产故障, 给客户的业务开展造成重大损失,曾 经被上级主管部门直接书面警告
20. DevSecOps 未来可以整合的元素 人工 智能 智能 物联 自动 建模 法规 验证 证据 保全 态势 感知 DevOpsDays 2017·上海站
21. 延伸推荐内容 组织或 作者 标题 BMC SecOps Solutions Help Teams Address Critical Security Vulnerabilities Stevan Arychuk SecDevOps: Injecting Security Into DevOps Processes SANS A DevSecOps Playbook Chris Carlson DevSecOps – Building Continuous Security into IT and App Infrastructures GitHub Awesome DevSecOps Pactera Pactera DevSecOps Security Product Service Guide - 2017 DevOpsDays 2017·上海站
22. 会议 培训 咨询 • 8月18日 DevOpsDays 上海 • 全年 DevOps China 巡回沙龙 • 11月17日 DevOps金融上海 DevOpsDays 2017·上海站 • EXIN DevOps Master 认证培训 • DevOps 企业内训 • DevOps 公开课 • 互联网运维培训 • 企业DevOps 实践咨询 • 企业运维咨询 商务经理:刘静女士 电话 / 微信:13021082989 邮箱:liujing@greatops.com
23. Thanks 荣誉出品 高效运维社区 国际最佳实践管理联盟 DevOpsDays 2017·上海站
24. 想第一时间看到 高效运维社区公众号 的好文章吗? 请打开高效运维社区公众号,点击右上角小人,如右侧所示设置就好 DevOpsDays 2017·上海站