View
2
Download
0
Category
Preview:
Citation preview
De DevOps vers DevSecOps
MMartin Sauvé
Martin Sauvé
Architecte principal
13 novembre, 2019
msauve@redhat.com 1
???
2
“Depuis plus de 20 ans, la sécurité n’est considérée qu’à la toute fin du cycle de livraison”
Anonyme
3
ÉlaborationConception ÉlaborationAssurance
QualitéDéploiementValidation
Sécurité ?
4
ÉlaborationConception ÉlaborationAssurance
Qualité
Déploiement
Validation
Sécurité
5
Conception ÉlaborationAssurance
QualitéValidation Sécurité
6
Petits morceaux - Haute vélocitéPriorisation
ObservationVisibilitéRetour d’information
Petits morceaux - Haute vélocitéPriorisation
ObservationVisibilitéRetour d’information
Automatisation
Source: IT Revolution, DevOps Enterprise abstract word cloud, 2016
Source: IT Revolution, DevOps Enterprise abstract word cloud, 2016
Source: IT Revolution, DevOps Enterprise abstract word cloud, 2016
Processus
FréquenceDéploiements
Risques
Volume
Changements
Approche Traditionnelle
Réduction Augmentation
AugmentationAugmentation
Automatisation
FréquenceDéploiements
Risques
Volume
Changements
Approche DevOps
Augmentation Réduction
RéductionRaffinement
Automatisation
Validation
Sécurité
Intrusions et attaques
Risques, vulnérabilités
et failles
Approche Dev(Sec)Ops
Augmentation Réduction
RéductionRaffinement
Serveurs
physiquesVirtualisation Conteneurs
Centre de
données
Centre
partagé
Infonuagique
hybride
MonolitheN-Tier, AoS MSA,
Distribuée
● Haute vélocité
● Parallélisme des équipes
● Architecture hautement distribuée
● Environnements hétérogènes
● Culture négligeant la sécurité
● Haute vélocité
● Parallélisme des équipes
● Architecture hautement distribuée
● Environnements hétérogènes
● Culture encourageant l’innovation
DevSecOps
17
Comment réussir ?
Développeurs Testeurs Opérations Sécurité
Développeurs Testeurs Opérations Sécurité
Développeurs Testeurs Opérations Sécurité
Agile
Développeurs Testeurs Opérations Sécurité
Transformation Numérique
Développeurs Testeurs Opérations Sécurité
Développeurs Testeurs Opérations Sécurité
DevTestOpsSec?
23
Développeurs Testeurs Sécurité Opérations
DevOps
24
Développeurs Testeurs Sécurité Opérations
Culture + Processus + Technologie
26
PROCESSUS
SÉCURITÉ EN CONTINUet intégrée au cycle de vie de vos applications
Politiques et processus de
sécurité
CONCEVOIR
BÂTIR
EXÉCUTER
GÉRER
ADAPTER
Définition de la gouvernance et besoin en sécurité
Sécurité intégrée
depuis le début; pas
ajoutée
Déploiement sur des
plateformes avec des
capacités de sécurité
élevées
Automatisation de la
sécurité et la conformité
Révision, mise à
jour, correctifs
Est-ce DevOps sans ces étapes ?
SÉCURITÉ EN CONTINUet intégrée au cycle de vie de vos applications
Politiques et processus de
sécurité
CONCEVOIR
BÂTIR
EXÉCUTER
GÉRER
ADAPTER
Gouvernance
Politiques
Processus
Artéfacts
Audit
SÉCURITÉ EN CONTINUExample
Politiques et processus de
sécurité
CONCEVOIR
BÂTIR
EXÉCUTER
GÉRER
ADAPTER
Points de contrôle● Membranes perméables● Automatiser● Validation des politiques● Exercise de la gouvernance● Log, audit
Petits morceaux - Haute vélocitéPriorisation
ObservationVisibilitéRetour d’information
AUTOMATISATION DE LA LIVRAISON
Gestion du code source
AWS ECR
BÂTIR APPLICATION
EXÉCUTER TESTS GRADUER BINAIRE
BÂTIR IMAGE ÉXECUTER TESTS GRADUER IMAGE
DÉPOT DE BINAIRE
CORPORATIF
REGISTRE D’IMAGE
CORPORATIF
31
TESTSUNITAIRES
QUALITÉ DU CODE
DÉTECTIONDES
VULNÉRABILITÉS
-Cucumber-Arquillian-Junit
-Sonarqube-Fortify-App Scan
-Aqua Security-Black Duck-Clair-Sonatype-Twistlock
LIVRAISONAUTOMATISÉE
GRADUER EN PRODUCTION
☒
☑
GRADUER EN UAT
GRADUER EN QA
BÂTIR et DÉPLOYER
IMAGE
AUTOMATISATION DE LA SÉCURITÉ(CI/CD)
● Tests de sécurité intégrés à la
livraison
● Utilisation de politiques
automatisées comme marqueur
● Signature des images
REGISTREPRIVÉ
IMAGESEXTERNES
SÉCURITÉ ET AUTOMATISATIONLa confiance est temporelle; bâtir et déployer au besoin
Git
METADONNÉES
ÉVÉNEMENTS
CONTENUCERTIFIÉ
CONTENU INCONNU
CI CD
Petits morceaux - Haute vélocitéPriorisation
ObservationVisibilitéRetour d’information
Petits morceaux - Haute vélocitéPriorisation
ObservationVisibilitéRetour d’information
REGISTREPRIVÉ
IMAGESEXTERNES
Gouvernance
Automatisation
Agilité des développeurs
Confiance des opérations
REGISTREPRIVÉ
36
TECHNOLOGIE
37
Plateforme(écosystème est le différentiateur)
Emergeant(expérimentation)
Produit(compétition est la source d’innovation)
Maturité technologiqueV
ale
ur,
Perf
orm
ance
3.0(Automatisation environnement hybrides)
1.0(Logiciel libre comme plateforme)
2.0(Innovation sur Linux)
InnovationV
ale
ur,
Perf
orm
ance
Linux Virtualisation Conteneurs
39
1. Plateforme sécurisée par défaut
a. Gestion des identitités
b. Rôles et contrôles des accès
c. Politiques réseau
d. Gestion des informations confidentielles
e. Logs, audit, archivage
40
Petits morceaux - Haute vélocitéPriorisation
ObservationVisibilitéRetour d’information
42
CULTURE
43
CULTURE
1. Support exécutif
2. Choix des ressources - enthousiasme, désir de
changement, désir de bien faire les choses
3. Bâtir des équipes multi-disciplinaires
4. Considérer les obstacles (humains,
technologiques…)
5. Commencer petit et améliorer à chaque cycle
6. Les échecs vont arriver … et le succès
7. OUVERTURE
a. Ouverture à la rétroaction
b. Ouverture aux erreurs
c. Ouverture aux changements
45
MERCI!
Validation de la qualité du code
Idées
Analyse des dépendances
Cycle de Développement
Changement détecté
Déplacer vers la Branche Release
Analyse du code (Static Code)
Balayage de l’image
Bâtir application
Déploiement en développement
Déploiement en assurance qualité
Tests d’exécution et validation
Déploiement en production
Tests de validation !
Validation et expérimentation
Bâtir et enregistrer image
Créer nouveau binaire
Recommended