赵锐-业务安全与 DevSecOps 的最佳实践
祈芸儿
2018/05/13 发布于 技术 分类
赵锐,上海首席安全官联盟成员、银联认证讲师,曾在国有银行、银行卡组织担任信息安全主管、移动产品经理、信息安全专家等职务。 专业领域:互联网金融业务风险管理、信息安全管理、账户安全管理 赵锐拥有10余年资深金融科技工作经验,10年金融科技风险管理工作经验,深入了解国内外金融行业信息安全标准与要求。工作期间多次代表单位参加中国信息安全技能竞赛并获二、三等奖;负责的信息安全等级保护工作多次获得上海市优秀奖。 拥有PMP、CISP、CISAW(二级)、中级经济师等多项资质认证。 曾在银监会《金融科技治理与研究》杂志发表论文《“互联网+”环境下银行信息安全风险之应对》。
登录发表评论
文字内容
1. GOPS 全球运维大会 2018 2018.4.13-4.14 中国·广东·深圳·南山区 圣淘沙大酒店(翡翠店) GOPS 全球运维大会2018·深圳站
2. 业务安全与DevSecOps的最佳实践 赵锐(锐少) 高级经理 GOPS 全球运维大会2018·深圳站
3. 讲师介绍 GOPS金牌讲师、国家网络安全宣传周校园安全讲师、中国信息安 全竞赛组委会专家、首席安全官联盟网络安全公益达人。 专业领域:互联网金融业务风险管理、信息安全管理、账户安全管 理、开发安全管理 拥有CISM、CEH、CISP、CISAW(二级)、 PMP、中级经济师、 ISO27001审核员、ISO20000审核员、ISO9001审核员等多项资质 认证。 曾在银监会《金融科技治理与研究》杂志发表论文《“互联网+” 环境下银行信息安全风险之应对》,参与(ISC)² 安全书籍翻译、校 审。 GOPS 全球运维大会2018·深圳站
4. 目录 1 困境 2 业务安全与DevSecOps 3 最佳实践的要素 4 实施最佳实践项目 GOPS 全球运维大会2018·深圳站
5. 困境? 时间紧任务重 • 业务要求快速上线 -保障基本功能测试 -减少安全测试 -功能快速迭代 -上线再改 -开发新功能 GOPS 全球运维大会2018·深圳站
6. 困境? 鄙视链-安全是麻烦制造者? • 整天提安全需求 • 增加开发工作 • 增加运维要求 • 增加不确定性 • 延后业务上线 GOPS 全球运维大会2018·深圳站
7. 目录 1 困境 2 业务安全与DevSecOps 3 最佳实践的要素 4 实施最佳实践项目 GOPS 全球运维大会2018·深圳站
8. 我们为什么工作? 1. 生存需求 • 穷!困难群众 2. 归属 • 男票、女票 3. 成长、理想 • 闯出天地 • 改变世界 GOPS 全球运维大会2018·深圳站
9. 我们如何工作? 1. 想老板所想,急老板所急 • 业务老板 -业务安全 • 技术老板 -DevSecOps GOPS 全球运维大会2018·深圳站
10. 什么是业务安全 业务安全是指保护业务系统免 受安全威胁的措施或手段。广 义的业务安全应包括业务运行 的软硬件平台(操作系统、数据 库等)、业务系统自身(软件或 设备)、业务所提供的服务的安 全;狭义的业务安全指业务系统 自有的软件与服务的安全。 GOPS 全球运维大会2018·深圳站
11. 通过业务安全充分体现工作-降风险、减损失 1. 转换成具体的金额 1200 • 账户安全 1000 • 交易安全 800 • 支付安全 600 • 数据安全 400 200 0 减少的损失金额(千元) Q1 Q2 Q3 Q4 账户 交易 支付 数据 GOPS 全球运维大会2018·深圳站
12. 通过业务安全充分体现工作-省成本、增效益 1. 转换成时间和金额 • RTO、RPO • DevSecOps • 效率、速度 RTO 80 60 40 20 0 2014 2015 2016 2017 RTO GOPS 全球运维大会2018·深圳站
13. 什么是DevSecOps 2012年,Gartner介绍了 DevSecOps的概念(最初使用 “DevOpsSec”) 2017年RSA年度会议上 DevSecOps成为热门词汇。 来源:gartner.com, rsaconference.com GOPS 全球运维大会2018·深圳站
14. 如何做好DevSecOps • Making security a part of everyone’s job • 使安全成为每个人工作的一部分 • Integrating preventative controls into our shared source code repository • 将预防性控制集成到我们的共享源代码库中 • Integrating security with our deployment pipeline • 将安全与部署管道集成 来源:DevOps HandBook GOPS 全球运维大会2018·深圳站
15. 如何做好DevSecOps • Protecting our deployment pipeline • 保护我们的部署管道 • Integrating our deployment activities with our change approval processes • 将我们的部署活动与我们的变更审批流程 相集成 • Reducing reliance on separation of duty • 减少对分离职责的依赖 来源:DevOps HandBook GOPS 全球运维大会2018·深圳站
16. 目录 1 困境 2 业务安全与DevSecOps 3 最佳实践的要素 4 实施最佳实践项目 GOPS 全球运维大会2018·深圳站
17. 成功的三个要素 1. 人 2. 流程 3. 技术 流程 人 技术 成功的DevSecOps GOPS 全球运维大会2018·深圳站
18. 人 1. 人是一切的基础 2. 打破孤岛 3. 培训 GOPS 全球运维大会2018·深圳站
19. 流程 版本控制,元数据和编码 整合流程 CI / CD中的安全工具 合规 安全架构 事件管理 红蓝对抗和SRC 威胁情报 GOPS 全球运维大会2018·深圳站
20. 技术 自动化和配置管理 安全编码 基线加固 持续集成连续交付的修补 应用程序的审核和扫描 自动漏洞管理扫描 自动合规性扫描 敏感信息管理 GOPS 全球运维大会2018·深圳站
21. 目录 1 困境 2 业务安全与DevSecOps 3 最佳实践的要素 4 实施最佳实践项目 GOPS 全球运维大会2018·深圳站
22. 选择适合DevSecOps的项目 1. 自动化 • 工具 • API 2. 非强制监管 • 金融 • 等保三级或以上 GOPS 全球运维大会2018·深圳站
23. 选择适合DevSecOps的项目 1. 快速迭代 • APP • WEB Site 2. 可接受业务风险 • 利益相关方 • 安全风险 • 开发 GOPS 全球运维大会2018·深圳站
24. 选择适合DevSecOps的项目 1. DevSecOps适用性 2. 开发方法项目约束 3. 合适的项目 GOPS 全球运维大会2018·深圳站
25. 实施DevSecOps项目 1. 使用原有的Secure SDLC工具 2. 左移 GOPS 全球运维大会2018·深圳站
26. 实施DevSecOps项目 1、计划 • Scrum安全问题 • 基线 • 代码规范 • 安全培训 • 威胁建模 • 收集安全需求 GOPS 全球运维大会2018·深圳站
27. 实施DevSecOps项目 2、创建 • 安全IDE插件 • 安全拼写检查器 • 威胁建模 • 安全架构评估 • 开源产品评估 GOPS 全球运维大会2018·深圳站
28. 实施DevSecOps项目 3、验证 • 扫描已知漏洞 • 扫描基线、配置 • 扫描未知漏洞 • SCA执行OSS策略 • SAST、DAST • IAST、RASP GOPS 全球运维大会2018·深圳站
29. 实施DevSecOps项目 4、安全测试 • 已知攻击测试 • Fuzz测试 • Chaos Monkey • 代码签名 GOPS 全球运维大会2018·深圳站
30. 实施DevSecOps项目 5、安全发布 • 正确部署 • 一致性:签名验 证、完整性检查 • 右移 GOPS 全球运维大会2018·深圳站
31. 实施DevSecOps项目 6、防止 • 深度防御措施 • 应用安全控制 • 网络防护 GOPS 全球运维大会2018·深圳站
32. 实施DevSecOps项目 7、检测 • 渗透测试 • RASP(Runtime application self-protection运行时应用自 我保护) • UEBA(User and Entity Behavior Analytics用户行为 风险分析) GOPS 全球运维大会2018·深圳站
33. 实施DevSecOps项目 8、响应 • RASP/WAF • 屏蔽和混淆 GOPS 全球运维大会2018·深圳站
34. 实施DevSecOps项目 9、预测 • CVA(Correlated Vulnerability Analysis相关漏洞分析) • IoC(Indicators of Compromise) • STIX (StructuredThreatInformation eXpression结构化威胁信息表达 式) • TAXII (TrustedAutomatedeXchange ofIndicatorInformation,指标信 息的可信自动化交换) GOPS 全球运维大会2018·深圳站
35. 实施DevSecOps项目 9、适应性 • 持续改进 • 项目优化 GOPS 全球运维大会2018·深圳站
36. 帮助大家实施DevSecOps GOPS 全球运维大会2018·深圳站
37. 制定DevSecOps标准 GOPS 全球运维大会2018·深圳站
38. 制定DevSecOps标准 研发运营一体 化的风险 • 人员 • 工具 • 过程 系统风险 • 流程 • 技术 风险管理 • 分类 • 分级 GOPS 全球运维大会2018·深圳站
39. Thanks 高效运维社区 开放运维联盟 荣誉出品 GOPS 全球运维大会2018·深圳站
40. 想第一时间看到高效运维社区 的新动态吗? GOPS 全球运维大会2018·深圳站
-
1
刘剑利-乐信在消费金融领域的数据库运维实践
穆童彤
-
2
唯品会 王俊峰-运维:从如履薄冰到纵横捭阖
保丝柳
-
赵锐-业务安全与 DevSecOps 的最佳实践
祈芸儿
-
4
刘力-负重前行 -- 顺丰数据库运维的求变之路
杞康乐
-
5
携程 雍浩淼-卓越运维之路
牛紫丝
-
6
虢国飞-饿了么异地双活数据库实战
森晓兰
-
7
于邦旭-一直播、小咖秀大数据平台自动化运维实践
架构师大会
-
8
平安科技 方国伟-如何成长为一个优秀的技术...
姜青雪
-
9
中国信息通信研究院 何宝宏-2018:关于...
缪闳丽
-
10
杨乾坤-天猫1682亿数字背后的大数据实时...
资芳馥
-
11
玲昕-阿里巴巴规模化混部技术演进
生长平
-
12
张乾 - 数据中心操作系统
典世韵
-
13
腾讯 张戎--腾讯运维的AI实践
郝乐生
-
14
范超-京东智能运维和自动化测试工具平台实践
荤采春
-
15
郭宏泽-《Python开发36计》之企业级...
五锐智
-
16
360 谭学士-360 AIOps 亮剑网络运维
泥翠丝
-
17
萧田国-国内首发《 企业 AIOps 实施...
flimsycalculate
-
18
王喆-用几行代码管理几十种网络设备
箕斯雅
-
19
刘曜伟-基因行业高性能计算系统全球化建设与...
Vincent
-
20
腾讯 李剑峰-海量社交业务多活及调度实战
休博敏
-
21
研发运营一体化(DevOps)能力成熟度模...
及永怡
-
22
顾宇-微服务的反思以及高效落地
Cersi
-
23
李智桦-衡量 – DevOps 架构下的人...
须寒梅
-
24
梁胜-纵观全球:运维的过去、现在与未来
郝乐生
-
25
杨春-新零售运维保障解决方案
米昌淼
-
26
企业级AIOps实施建议白皮书
汗温茂
-
27
研发运营一体化能力成熟度模型 第3部分:持...
云玉环
-
28
腾讯 孙亮--社交业务运维基础技术架构选型与演进
严丽佳
-
29
腾讯 朱海洋-百亿级别营收体系的监控能力建设
查弘懿
-
30
高校运维社区 萧田国-权威解读《企业级 A...
MDCC
-
31
华为 周荣-亿级用户百 TB 级数据的 A...
邵令暎
-
32
GOPS 赵班长-基于 SaltStack...
化念雁
-
33
腾讯 杨利东-复杂业务的自动化运维精髓
宝星泽
-
34
eBay 梅岑恺-全站跨平台系统补丁自动化部署
高雅昶
-
35
腾讯 范晶晶_十亿元背后的价值
衡云韶
-
36
研发运营一体化能力成熟度模型 第1部分:总体架构
翠悠婉
-
37
研发运营一体化能力成熟度模型 第2部分:敏...
曹兴文
-
38
腾讯 张黎明--万台服务器一人挑的实战技巧
汉莹洁
-
39
阿里巴巴 少荃-千亿交易背后的0故障发布
巴馨荣
-
40
李伟-阿里巴巴搜索稳定性实践 -- 通过自...
岳歆美
-
41
乐视 石雪峰-基于容器和微服务的端到端持续...
桑紫萱
-
42
冯晋-用户思维驱动搜狗大数据平台建设_部分1
丰德明
-
43
腾讯 吴树生--监控数据的创新应用
罕飞翮
-
44
顾复-浅谈海量平台的质量管理
郁阳曦
-
45
大梁-解密腾讯社交业务高可用架构的关键运维技术
邹庄静
-
46
冯晋-用户思维驱动搜狗大数据平台建设_部分2
刀翠柏
-
47
蘑菇街 赵成-蘑菇街 DevOps 运维实...
傅星洲
-
48
TiDB 申砾-TiDB 在金融行业的创新实践
谬雪珊
-
49
冯晋-用户思维驱动搜狗大数据平台建设_部分3
薛静涵
分享











