Este documento describe Inspec, un framework de código abierto para realizar pruebas y auditorías de seguridad de infraestructura y aplicaciones. Inspec permite crear pruebas fáciles de entender para validar el estado de los recursos y compararlos con las expectativas mediante comparadores integrados. Inspec incluye recursos integrados para probar muchas plataformas y también permite crear recursos personalizados. Las pruebas se pueden empaquetar en perfiles reutilizables.

1. Audita y evalúa la
seguridad de tu
infraestructura con Inspec

2. whoami
ALEJANDRO GARCíA
Development Architect en Analyticalways
Co-organizador Meetup MadnightCoders
www.recetasdevops.com
@alexmiravet

3. Agenda
• Situación actual
• Inspec
• Inspec y el cloud
• CI/CD
• Otros casos de uso

4. Situación actual
State of DevOps 2019

5. Tests de seguridad automatizados
Auditorí
a
Remediació
n
Automatización

6. Que es ?
• OSS framework de testing y auditoría de tu infraestructura y
apps
• Escrito en Ruby
• Tests fáciles de crear y de entender
• Extensible
• Un único lenguaje para testear múltiples plataformas

7. Anatomía de un test
Resource : Nuestro sistema a validar
Expectativas: en que estado esperamos
este nuestro sistema
Matchers: Comparadores entre mi
sistema y mis expectativas

8. Built-in Matchers
be para comparaciones numéricas
match para búsqueda texto por expresión regular
cmp para comparaciones igualdad de uso general
Include para búsqueda de un ítem dentro de una
lista

9. Built-in resources
Apache
chocolatey_package
command
docker
docker_container
docker_image
file
http
iis_app
iis_site
json
nginx
nginx_conf
os
package
port
powershell
registry_key
ssh_config
windows_feature
windows_hotfix
Y MUCHOS MAS…

10. Profiles
• Con profiles “paquetizamos” nuestros Tests/controles para que puedan ser reusados
• Evitamos el “copy-paste”
• Se puede heredar entre profiles
• Podemos incluso usar parte de sus tests y no todos al heredar
• Podemos ejecutar o usar profiles ubicados en local, en git, en zip …

11. Profiles
Tests del profile
Descripción profile, si hereda de otro profile
Dependencias, etc..
Resources nuevos custom creados

12. DEMO

13. Tests de seguridad
¿POR DONDE
EMPEZAMOS?

14. CIS – Center of Internet Security
• CIS es una organización que proporciona una serie de documentos conocido como CIS
Benchmarks.
• Estos documentos proporcionan una serie de recomendaciones para securizar tus
sistemas

15. CIS – Center of Internet Security

16. CIS – Center of Internet Security

17. DevSec Hardening Framework
• Proyecto que proporciona profiles de Inspec de seguridad
• También hay disponibles playbooks de Ansible
• Algunos de los Benchmarch del CIS han sido creados en profiles de Inspec por la gente de DevSec
Hardening framework

18. DevSec Hardening Framework

19. DEMO

20. Inspec y el cloud
¿Qué pasa con el
?

21. Cloud
• Actualmente hay disponibles resources oficiales para:

22. Cloud - AWS

23. Cloud - Azure

24. Cloud - GCP

25. TENGO LA VIDA EN EL CLOUD

26. Tengo la vida en el Cloud
Lanzar profile/tests
Inspec a la plataforma
Comprobar resultados Lanzo correcciónDefino corrección
AUDITORÍA REMEDIACIÓN
REPITO CICLO

27. DEMO

28. Empiezo nuevo proyecto Cloud

29. Cloud
Infra / Config as Code Inspec CI/CD

30. DEMO

31. Cloud – AZURE

32. Cloud – AZURE

33. Cloud – GCP
GKE BUCKET

34. Cloud – GCP

35. Cloud – AWS
ELB
EC2
NGINX

36. Cloud – AWS

37. Visualización de los resultados
• Inspec por defecto puede volcar los resultados de varias formas
• Puedes volcarlo a un json o un xml
• Junit y visualizarlo en Jenkins
• Con Chef Automate
• Porque no usar algo que ya uses para visualizar otros datos?

38. Visualización de los resultados - Grafana

39. OTROS CASOS DE USO

40. PFSENSE

41. Conclusiones
• Inspec te ayuda a realizar tests de seguridad y de
infraestructura
• Evita el síndrome “Chequeo médico”
• Automatiza lo que sea posible a ser automatizado
• Empieza poco a poco pero empieza

42. GRACIAS
@alexmiravet