Escolar Documentos
Profissional Documentos
Cultura Documentos
DevSecOps Protegendo Pipelines CICD
DevSecOps Protegendo Pipelines CICD
CSPM DevSecOps
• Monitora Configurações • Secret Scanning
• Remediação • SAST
• Protege o Control Plane • DAST
• Governança • IaC Security
• Monitoramento via API
CNAPP
CWPP CIEM
• Segurança de Workloads/Apps • Cloud IAM
• Controle de Vulnerabilidades • Detecta permissões Excessivas
• Prevenção em Tempo Real
CNAPP – Cloud Native Application Protection Platform
CSPM DevSecOps
• Monitora Configurações • Secret Scanning
• Remediação • SAST
• Protege o Control Plane • DAST
• Governança • IaC Security
• Monitoramento via API
CNAPP
CWPP CIEM
• Segurança de Workloads/Apps • Cloud IAM
• Controle de Vulnerabilidades • Detecta permissões Excessivas
• Prevenção em Tempo Real
Pipeline CI/CD - Conceito
Runtime/Execução
Repositório
- Kubernetes
- Código Fonte - Containers
- Artefatos - Web Applications
- Arquivos
Pipeline/Esteira
Deploy
CI CD
- Build - Deploy em
Recupera - Compilação de produção-
código
Ciclo de Vida do Desenvolvimento
1 10 100
OK.. Mas e a Segurança???
Vetores de Ataque CI/CD
1 Exposição de secrets
Container
Registry Kubernetes
2 Imagens de origens duvidosas 2
CI/CD 5
- Docker Build
- Terraform Apply
Boas Práticas e
Recomendações
Estágios de Segurança no DevOps
Code Build Deploy Run
1 10 100
Ciclo de Vida do Desenvolvimento
100 10 1
Code/Build Deploy Runtime
SHIFT LEFT
1 10 100
Separação de Deveres - Pipelines
Separation of Duties
INFRA PIPELINE
APPLICATIONS PIPELINE
Secret Container
Repositório de SAST SCA
Scanning Scanning
Aplicações
Secret Scanning
Garante que as Secrets não sejam adicionadas ao repositório Central, pois ficam no histórico de Pull Requests
SCA – Scan de Dependência
Evita publicação de código com bibliotecas vulneráveis, exemplo: Log4j
Segurança de Infra como Código
IaC Security
Scan de Imagens – (CI)
Scan de Repositório de Imagens
Registry Scan
Realizar Scan de Imagens que
estão no registry ou quando
alguém faz Push de uma nova
imagem.
Resultado esperado:
linkedin/in/erickrazr
Referencias
● Owasp Top Ten CI/CD
https://github.com/OWASP/www-project-top-10-ci-cd-security-risks
● DevSecOps Guideline
https://github.com/Ali-Yazdani/DevSecOpsGuideline