DevSecOps - Protegendo pipelines CI/CD

ameaças crescentes e técnicas de proteção

 Quem sou eu?
• Senior Technical Specialist @Microsoft
• Empresas anteriores:
Cyberark -> Check Point -> Prisma Cloud (Palo Alto Networks)
• Foco em Cloud Native Security e Arquiteturas Zero Trust
CNAPP – Cloud Native Application Protection Platform

CSPM DevSecOps
• Monitora Configurações • Secret Scanning
• Remediação • SAST
• Protege o Control Plane • DAST
• Governança • IaC Security
• Monitoramento via API
CNAPP
CWPP CIEM
• Segurança de Workloads/Apps • Cloud IAM
• Controle de Vulnerabilidades • Detecta permissões Excessivas
• Prevenção em Tempo Real
CNAPP – Cloud Native Application Protection Platform

CSPM DevSecOps
• Monitora Configurações • Secret Scanning
• Remediação • SAST
• Protege o Control Plane • DAST
• Governança • IaC Security
• Monitoramento via API
CNAPP
CWPP CIEM
• Segurança de Workloads/Apps • Cloud IAM
• Controle de Vulnerabilidades • Detecta permissões Excessivas
• Prevenção em Tempo Real
Pipeline CI/CD - Conceito
Runtime/Execução
Repositório
- Kubernetes
- Código Fonte - Containers
- Artefatos - Web Applications
- Arquivos

Pipeline/Esteira
Deploy
CI CD
- Build - Deploy em
Recupera - Compilação de produção-
código
Ciclo de Vida do Desenvolvimento

Code/Build Deploy Runtime

1 10 100
OK.. Mas e a Segurança???
Vetores de Ataque CI/CD
1 Exposição de secrets
Container
Registry Kubernetes
2 Imagens de origens duvidosas 2

3 Container com Vulnerabilidade Pod

4 Containers Privilegiados Repositorio 1 4 3

5 Ausencia de Security Gates

- Scan de Imagens
- Scan de IaC
- Scan de Código (App) Pipeline

CI/CD 5
- Docker Build
- Terraform Apply
Boas Práticas e
Recomendações
Estágios de Segurança no DevOps
Code Build Deploy Run

Code Security Gestão de Admissão Detecção de Ameaças e

Vulnerabilidades Resposta a incidentes

-IAC Security -Imagens de -Assinar Imagens -Bloqueio de containers

-SAST Containers -Bloqueio de maliciosos
-Secret Scan - Repositorio de configurações de - Bloqueio de Movimentação
-Drift Prevention imagens alto Risco Lateral
- Hosts
- SCA - Resposta automatizada
- Verificação de atividades suspeitas
Licenças
Ciclo de Vida do Desenvolvimento

Code/Build Deploy Runtime

1 10 100
Ciclo de Vida do Desenvolvimento
100 10 1
Code/Build Deploy Runtime
SHIFT LEFT

1 10 100
Separação de Deveres - Pipelines
Separation of Duties
INFRA PIPELINE

Repositório de Secret IaC Container

Infraestrutura Scanning Scanning Scanning
 Separação de Deveres - Pipelines
Separation of Duties
INFRA PIPELINE

Repositório de Secret IaC Container

Infraestrutura Scanning Scanning Scanning

APPLICATIONS PIPELINE

Secret Container
Repositório de SAST SCA
Scanning Scanning
Aplicações
Secret Scanning
Garante que as Secrets não sejam adicionadas ao repositório Central, pois ficam no histórico de Pull Requests
SCA – Scan de Dependência
Evita publicação de código com bibliotecas vulneráveis, exemplo: Log4j
Segurança de Infra como Código
IaC Security
Scan de Imagens – (CI)
Scan de Repositório de Imagens
Registry Scan
Realizar Scan de Imagens que
estão no registry ou quando
alguém faz Push de uma nova
imagem.

Resultado esperado:

Evitar que imagens com

vulnerabilidades entre no
ambiente
Admissão e Assinatura de Imagens
Garante aplicação de políticas em Runtime e integridade de imagens.
DevSecOps – Open Source
OWASP – Top 10 CI/CD
Erick Ferreira
Security Specialist
in/erickrazr
erickrazr@gmail.com

linkedin/in/erickrazr
Referencias
● Owasp Top Ten CI/CD
https://github.com/OWASP/www-project-top-10-ci-cd-security-risks

● Owasp Top Ten CI/CD - Traduzido

https://github.com/erickrazr/OWASP-Top-10-CICD-Security-Risks

● DevSecOps Guideline
https://github.com/Ali-Yazdani/DevSecOpsGuideline