Continuous DevOps IT Security Integration
Geht das?
Geht das?
IT-SECX 2018
René Pfeiffer / @deepsec / DeepSec
IT-SECX 2018, FH St. Pölten
Software & Forschung
Software veraltet ständig
Brief History of CI
- Merge Code über alle Branches täglich (CI, 1991)
- Extreme Programming (XP) – täglich mehrere Merges
- Vielzahl an Frameworks & Methoden
- Quintessenz
- schnellere Reaktion
- engere Feedbackschleifen
- häufige(re) Tests der Änderungen
Continous Integration
- Code Repository
- automatisierter Build
- Build testet sich selbst
- tägliche Commits
- Tests in realistischer Umgebung
- Verteilung der Builds
- automatisiertes Deployment
Continous Integration
Komponenten
Umgang mit Fehlern
Security?
Security?
- Tests prüfen, ob Build funktioniert
- Testfälle orientiert an Use Cases / Fixed Bugs
- reine Sicherheitstests sind selten,
- da „Angriffsdaten“ fehlen
- weil Tests länger dauern
- unbekannte Schwachstellen sind unbekannt
Sicherheitstests
- Testfälle müssen erweitert werden
- Einbau bekannter Sicherheitslücken
- automatische Stresstests über längeren Zeitraum
- automatische Generierung von Testdaten
- Ziel: maximale Abdeckung der Code Pfade
- Wichtig: Kriterien für Testergebnisse
Fuzzing
Cloud Fuzzing
Komponenten Teil 2
Engineers statt Consultants
Security Developer/Engineer
- Fuzzing benötig Security- & Development-Erfahrung
- (Interpreter/Compiler arbeiten auch nicht alleine)
- Rolle braucht Platz in Prozess / Team
- Prozess benötigt Zeit! – Gegensatz?
- Rolle kann Komponenten vor Integration testen
- Security Developer müssen Stimme haben!
DevOps ist keine Rolle!
DevOps ist ein Konzept!
- Entwicklerinnen und Sysadmins arbeiten eng zusammen
- Applikation und Infrastruktur agieren als Team
- Jede(r) kennt Komponenten der anderen
- Automatisierung benötigt beide Seiten
- Sysadmins haben Programmierkenntnisse
(zumindest in der UNIX® Welt)
Fazit
- Security muss in Entwicklungsprozesse eingebaut werden– als Rolle mit echten Menschen
- Security bedarf interdisziplinärer Spezialistinnen
- Secure Coding betrifft trotzdem alle Bereiche
- Architektur des Projekts muss passen – Secure Design!
- Continuous Integration kann ein ständiger Sicherheitstest werdendouble sell – heißer Tip für Controlling
Fragen?
Über die DeepSec
Die DeepSec GmbH veranstaltet seit 2007 jährlich im November die DeepSec In-Depth Security Conference in Wien. Die DeepSec bringt als neutrale Plattform die Sicherheitsexperten aus allen Bereichen zum Gedanken- und Erfahrungsaustausch zusammen. Dort erhalten IT- und Security-Unternehmen, Anwender, Behördenvertreter, Forscher und die Hacker-Community in über 42 Vorträgen und Workshops die Chance, sich über die aktuellen und zukünftigen Sicherheitsthemen auszutauschen. Die Konferenz möchte insbesondere dem verbreiteten Vorurteil entgegen wirken, dass Hacker zwangsläufig Kriminelle sind.
Über den Autor
René Pfeiffer ist selbstständiger Systemadministrator und Vortragender an der Fachhochschule Technikum Wien im Bereich Computer- und Datensicherheit. Mit über 15 Jahren Berufs- und 30 Jahren Computererfahrung sowie einem akademischen Hintergrund in theoretischer Physik verbindet er in Schulungen und Projekten erfolgreich Theorie und Praxis.
Seine Themenschwerpunkte liegen im Bereich IT Administration, Aufbau sicherer Infrastrukturen (Host-/Netzwerkbereich), sichere Kommunikation in Organisationen und Infrastruktur (VPN Technologien, Nachrichtensysteme), Wireless Security, technische Dokumentation, Betreuung von Forschungsarbeiten in der IT Security, technischem Auditing und Evaluierung von Software.
Herr Pfeiffer hält seit 2000 jährlich Fachvorträge und Schulungen auf Tagungen und Seminaren (Institute for International Research (I.I.R.), Business Circle, Confare, Linuxwochen Österreich, SAE Institute Wien, DeepSec In-Depth Security Conference, Bundesverband Sicherheitspolitik an Hochschulen, Kundenveranstaltungen).