DevSecOps 安全实践分享.pptx

DevSecOps实践释疑刘学忠 资深安全专家个人简介刘学忠资深安全专家二十年信息安全行业经验，精通内容安全，恶意代码，电信行业安全，数据安全和工业安全。曾在长城汽车，思特奇，等多家公司担任安全技术负责人。现任高效运维安全专家。。01DevSecOps进行式02DevSecOps落地实践03行业案例目录04问答交流CONTENTS01DevSecOps进行时DevSecOps 市场规模和预测DevSecOps国内行业发展现状能力建设少不了工业行业其他行业的IT部门电信行业投入比较大，资金雄厚，有外包支援，但是因为项目前期没有充分考虑安全，所以项目在进行安全嵌入和管理的时候已经成本极其高，实现起来问题较多。积极拥抱DevsSecOps，积极投入。但是由于前期目标不明确，所以在建设DevSecOps时候不知道从何处下手。有资金投入，可以外包参与，但是由于总体人员的能力不足以支撑DevOps的展开运行。通所以过外部能力建立的Dev Ops体系，游离于实际应用之外，且可以工业企业应用范围有限。安全前置需趁早准确定位不能少落地吐槽需要什么资源困难重重有限条件下如何实现具体落地哪些内容DevOps好是好，问题是如何落地，怎么能让人看到效果？人员能力不足，不能改变组织架构，现有条件下怎么达成目标Dev Ops落地需要哪些资源。我们能不能提供这样的资源，能不能实现？部门墙严重，各种的不配合。各种问题道阻且长，该怎么办？充分定义DevSecOpsDevOps 和DevSecOps实践释疑DevSecOpsDevOpsDev-Ops 在发展中开发开发交付运营交付运营安全完整性保密性安全可用性02DevSecOps落地实践了解 DevSecOps 方法论和工作流程威胁模型和保护您的构建和部署环境保护 DevOps 工具和工作流在快速变化的环境中进行有效的风险评估和威胁建模在 CI/CD 中设计和编写自动化安全测试和检查了解持续交付中不同自动化测试方法的优缺点清点并修补您的软件依赖项DevSecOps 流水线（方法论）CONTINUOUS INTEGRATIONCONTINUOUS DELIVERYPRODUCTIONPRE-COMMIT TOOLS & TACTICSTOOLS & TACTICSTOOLS & TACTICSTOOLS & TACTICSIDE-SASTTHREAT MODELINGSECURITY REQUIREMENTS.DASTRASPIASTIACCOMPLIANCECONFIG TESTSSECRETS MANAGEMENTCLOUD SECTHREAT INTELCONTINUOUS MONITORINGCONTINUOUS SCANNINGRED TEAMSAST ON COMMITHARDENINGSECURITY UNIT TESTSDevSecOps生命周期持续监控：符合性、有效性、网络风险指数、恶意检测持续运营：风险判断网络安全自动化：扫描，测试及验证安全参与持续监控安全控制点持续运营持续部署反馈循环持续交付持续集成持续构建计划测试发布&交付开发构建部署运行监控DevSecOps 实施流程和路线图应用安全测试工具测试参照模型CI/CD开发项目关联工具和应用测试编排修正它测试未通过，报告结果，驳回发布IASTSCASASTDAST如果测试通过，制品发布它测试通过，编译并构建开发者提交代码数据库安全扫描工具应用安全测试工具金字塔应用程序安全测试编排工具关联工具测试覆盖分析器应用安全测试作为一项服务交互式安全测试工具和混合工具移动应用安全测试工具来源/软件组成分析工具数据库安全扫描工具静态应用安全测试工具动态应用安全测试工具安全体系建设方法论用对抗入侵的方式进行安全防护工作：1）识别的资产其实就是攻击中的侦测目标2）保护是对扫描的对抗，3）检测是用黑客的方式渗透检查。4）响应是安全问题的处理，如已入侵则需先取证再修复。5）恢复是安全状态置零，以方便异常检测（可以检测已匿踪的入侵者）攻击步骤防护步骤技术因素—选择工具和技术七项DevSecOps落地实践的要求将自动化测试和控件验证嵌入到部署周期中。清点和分析可重用代码以避免重新引入缺陷。在生产中持续监控代码和结果。创建可以滚动控制的“触发”响应如果出现问题，则恢复到已知的良好状态。评估 AppSec 工具的 DevOps 功能和自动化； 根据需要更换它们。与开发、安全和 IT 运营团队保持一致和协调，并保持他们之间持续沟通。致力于有过程描述、自动化、持续监控和补救的文化。03行业案例DevSecOps安全开发案例DevSecOps应用安全案例使用云服务来保护云应用程序使用 CDN签名保护静态内容利用弹性容器服务进行蓝/绿部署使用 API Gateway