Escolar Documentos
Profissional Documentos
Cultura Documentos
Agenda
1. CISSP - Certified Information Systems Security
Professional
Que tipo de profissional é esse
Recomendações de segurança de software
2. Segurança de API
Identidade e Identificação (Identity and Identification)
Três “A”s da Segurança: Authentication, Authorization and Accounting
Tipos de autenticação de APIs: OAuth 2.0, OpenID, SAML
CISSP
Certified Information Systems Security Professional
CISSP - Recomendações de
segurança de software
Utilize métodos seguros de transferência e
armazenamento de dados
Tenha um ambiente de desenvolvimento seguro
Use métodos de desenvolvimento seguros
Sempre revise o código em busca de brechas
Use métricas para atribuir padrões e avaliar a
segurança no projeto
Adote um Ciclo de Desenvolvimento Seguro (SDL do
inglês - Security Development Lifecycle)
CISSP - Recomendações de
segurança de software
Treinamento: envolve o treinamento de todos os
membros da equipe de tal forma que todos estejam
cientes dos princípios e tendências de segurança e
privacidade modernos
Requisitos: consiste na verificação dos requisitos
necessários para garantir que a segurança e a
privacidade do usuário seja total. Além disso, é
estabelecido um sistema de rastreamento de bugs
de segurança para garantir a resolução rápida de
problemas
Design: utilizada para analisar a superfície de ataque
da aplicação e produzir um modelo com as principais
ameaças do software
CISSP - Recomendações de
segurança de software
Implementação: criação de um código com técnicas
de programação defensiva com padrões de
codificação que reduzem a vulnerabilidade do
sistema
Verificação: desenvolvida para a realização de
testes, verificação de código e inspeção da
documentação. Ela pode ser feita por meio de
ferramentas automatizadas ou por profissionais
terceirizados
Lançamento: envolve a criação de um plano de ação
que vai preparar a equipe de suporte a solucionar
problemas. A equipe responsável pelo tratamento de
incidentes mais graves que envolvam a segurança
da informação também deve estar preparada para
minimizar danos rapidamente
CISSP - Recomendações de
segurança de software
Resposta: nessa etapa, quaisquer bugs ou falhas
encontradas após a distribuição do software são
rastreadas e tratadas
Confiabilidade e estabilidade
Segurança de API
Authentication
Authorization
Accounting
OAuth 2.0
OAuth 2.0
OAuth 2.0
OpenID Connect
SAML File
SAML File
As questões de segurança
nas nuvens
GCP Secret
Manager
Gerenciar
segredos
centralmente
para reduzir
a dispersão
de segredos
O desafio é que os
segredos para
aplicativos e
sistemas precisam
ser centralizados e
as soluções estáticas
baseadas em IP não
são dimensionadas
em ambientes
dinâmicos com
aplicativos e
máquinas que
mudam com
frequência.
Gerenciar
segredos
centralmente
para reduzir
a dispersão
de segredos
A solução com o
Vault Multi-cloud da
Hashicorp é que ele
gerencia e impõe de
forma centralizada o
acesso a segredos e
sistemas com base
em fontes confiáveis
de aplicativo e
identidade do
usuário.