Bereits seit Jahrzehnten existieren etablierte Anforderungen für die Härtung von Infrastrukturen. Allerdings ist es selbst 2017 noch kompliziert, Sicherheitsregeln kontinuierlich durchzusetzen. Aus diesem Grund sind noch immer sehr viele Server in ihrer Grundkonfiguration unsicher und nicht für den produktiven Einsatz geeignet.
Dieser Talk ist eine Einführung in das Open-Source-Tool InSpec, das eine menschen- und maschinenlesbare Sprache zur automatischen Auswertung von Sicherheits- und Compliance-Anforderungen bereitstellt. Durch die Nutzung von InSpec lassen sich Anforderungen automatisieren und leicht auf die gesamte Infrastruktur ausweiten.
Skills
Grundkenntnisse in Operations
Lernziele
* Vermittlung von Herausforderungen in Bezug auf Sicherheits- und Compliance-Anforderungen im Bereich automatisierter Infrastrukturen
* Zusammenarbeit zwischen DevOps, Security- und Compliance-Abteilungen
* Wie lassen sich Anforderungen der IT-Compliance automatisieren?
* Nutzung von Best Practices
* Einbinden von IT-Compliance in CI/CD und Continuous Compliance
// Referenten
Christoph Hartmann
@chri_hartmann
leitet die Produktentwicklung von Chef Compliance, ist Unternehmer und Experte für Automatisierung und Entwicklung. Zuvor war er Gründer von VulcanoSec, das von Chef Software übernommen wurde, um das Angebot im Bereich Compliance auszubauen. Er ist Mitgründer der offenen Systemhärtung dev-sec.io und des Test- und Compliance-Frameworks InSpec.
Patrick Münch
@atomiczero111
ist als IT-Security-Consultant insbesondere für die Themen Penetration Testing, Web Security (Web Application Firewall, Denial-of-Service Protection), Software Defined Networks, Virtualisierung, Container-Technologien (Docker) und Automatisierung (Chef, Ansible, Puppet) für die SVA Vertrieb Alexander GmbH tätig. Darüber hinaus ist er Co-Founder und Entwickler des Open Source Hardening Framework (http://dev-sec.io). Das zugrunde liegende strategische Ziel ist die Schaffung einer standardisierten Sicherheitsschicht mit voller Automatisierung, die sich ebenfalls nahtlos in den DevOps-Ansatz integriert.