#88 DevSecOps colaborativo
Subscribe to get the latest
on Mon May 23 2022 17:00:00 GMT-0700 (Pacific Daylight Time)
with Darren W Pulsipher, Mike Fraser, Callen Sapien,
En este episodio, Darren habla con Callen Sapien de Sophos, Director de Gestión de Productos de la Sophos Factory, y Mike Fraser, Vicepresidente de DevSecOps, acerca de su producto que permite una colaboración verdaderamente colaborativa de SecDevOps.
Keywords
#cybersecurity #devsecops #rpa #technology #compute #zerotrust #zta
La experiencia de Mike como ingeniero de ciberseguridad en la Fuerza Aérea y luego trabajando en desarrollo, seguridad, operaciones y servicios administrados lo llevó a tener la meta de crear un producto que pudiera ser colaborativo para construir automatización moderna en torno a lo que él llama “TI como código”. Quería ver a DevSecOps de manera holística, reuniendo a todos.
Su producto resultante, Sophos Factory, crea soluciones modernas mediante la combinación de elementos básicos con características, funcionalidades y experiencia de usuario que pueden ser utilizadas por todas las habilidades técnicas. Resolver este problema fue complejo e incluyó a personas que trabajan visualmente, desarrolladores que codifican, entre otros… También tenía que cerrar la brecha entre hardware y software, utilizando un proceso ágil en todos los equipos.
Sophos Factory es más que solo un pipeline de CI/CD. Esa es una pequeña parte de todo el sistema, el cual funciona de principio a fin desde el desarrollo, la seguridad, las operaciones y el despliegue, con características como un constructor visual, un DSL y soporte para todo el contenido en su formato nativo. También se integra con sistemas existentes. Incorpora a todos los diferentes equipos y las diferentes herramientas que utilizan, por lo que va mucho más allá de simplemente crear un pipeline o automatización.
Los usuarios individuales se les presentan las piezas con las que están familiarizados, pero todas con la misma interfaz. Por ejemplo, se puede crear un conjunto de scripts desde un formato visual. Una persona de seguridad puede utilizar la misma interfaz con las herramientas y artefactos que esperan. Un desarrollador full-stack o un ingeniero DevOps pueden incorporar y construir todos los artefactos de manera que los demás equipos puedan utilizar. No se trata de la creación de un pipeline para una automatización, sino de una tela interconectada entre sistemas dispares.
La integración significa el movimiento de datos, pero también implica acciones. Por ejemplo, supongamos que alguien utiliza Jira en el lado de programación, ServiceNow en el lado de operaciones de IT y un componente de respuesta de incidentes en el lado de seguridad. En ese caso, puedes integrar todas esas piezas y enviar algo a Slack, para que todos puedan tener visibilidad y responder casi en tiempo real.
Sophos Factory empaqueta módulos en tuberías para su reutilización, convirtiéndose en bloques de construcción. Estos pueden construirse alrededor de varios casos de uso, pero el objetivo es crear algo que se pueda usar una y otra vez. Por ejemplo, supongamos que estás usando ServiceNow y quieres crear un ticket. En ese caso, lo usas en varios otros casos de uso relacionados con la automatización de redes, automatización de infraestructura, nube, seguridad nativa, etc. Se trata de construir soluciones en lugar de simplemente automatizar estas cosas juntas. La última pieza es la futurización, no solo la repetibilidad. Puedes agregar o quitar de la tubería general, lo cual no es posible con hardware, pero también es muy difícil con los sistemas existentes como los sistemas CI/CD que están diseñados para lanzar software a producción, no para construir de manera integral una solución y mantener su ciclo de vida a lo largo del tiempo.
Con la tecnología Sophos Factory, puedes empaquetar diferentes herramientas para ayudar a cumplir con estándares como CIF o NIST 853 y tenerlas disponibles como canalizaciones de bajo código o sin código. Sophos Factory se diferencia de otras tecnologías de automatización con su compartición a través de catálogos de soluciones. Puedes publicar bloques de construcción de automatización, soluciones completas o consumir la automatización creada por otros equipos. Esto crea una tremenda cantidad de flexibilidad.
El control de versiones está integrado en los pipelines y los catálogos de soluciones. Si estás utilizando un pipeline de soluciones de un registro que alguien más publicó, puedes establecerlo en la versión que desees o actualizar a la última versión para obtener cualquier actualización. RBAC también forma parte del sistema en caso de que solo desees que usuarios específicos tengan, por ejemplo, acceso de solo lectura. Con la interoperabilidad de Sophos Factory, también puedes integrar herramientas de escaneo para mantener visibilidad en el pipeline. También puedes ejecutar diferentes canales en torno a herramientas de políticas.
Sophos Factory entrelaza los flujos de seguridad y tecnología de la información, creando un excelente punto de integración entre el monstruo de tres cabezas de Desarrollo (Dev), Seguridad (Sec) y Operaciones (Ops).
Para mejorar la seguridad, Sophos Factory cuenta con un producto de confianza cero y certificación, pero también trabaja con otros productos de seguridad como HashiCorp Console. La capacidad de confianza cero y certificación es la evolución natural para autenticar entre diferentes sistemas. En lugar de credenciales estáticas, ahora existen mejores formas de comunicar y compartir certificaciones entre otros de manera segura.
Sophos Factory cuenta con un sistema de acreditación incorporado para la gestión de claves y admite HashiCorp Vault y plantillas nativas de la nube. También pueden ayudar con servicios de gestión críticos para la nube y empaquetados alrededor de un tubería. No solo hay una variable de acreditación en tiempo de ejecución, sino también un paso de acreditación que solo se evalúa en tiempo de ejecución. Pueden integrarse con estas herramientas de seguridad, por lo que se convierten naturalmente en parte de tu solución de construcción.
Sophos Factory está en el espacio de RPA, pero va mucho más allá de ser un simple ejecutor de RPA típico. Técnicamente, es RPA porque, aunque todavía hay intervención humana en la producción, se aprovechan las máquinas para automatizar el proceso. Los clientes buscan formas de escalar y obtener valor de manera segura de la tecnología que adquieren. Sophos Factory se compromete a ayudar al talento técnico a mejorar y darles acceso a conjuntos de herramientas para aprovechar al máximo su potencial, y hacerlo de manera segura.