Este documento describe Inspec, un framework de código abierto para realizar pruebas y auditorías de seguridad de infraestructura y aplicaciones. Inspec permite crear pruebas fáciles de entender para validar el estado de los recursos y compararlos con las expectativas mediante comparadores integrados. Inspec incluye recursos integrados para probar muchas plataformas y también permite crear recursos personalizados. Las pruebas se pueden empaquetar en perfiles reutilizables.
6. Que es ?
• OSS framework de testing y auditoría de tu infraestructura y
apps
• Escrito en Ruby
• Tests fáciles de crear y de entender
• Extensible
• Un único lenguaje para testear múltiples plataformas
7. Anatomía de un test
Resource : Nuestro sistema a validar
Expectativas: en que estado esperamos
este nuestro sistema
Matchers: Comparadores entre mi
sistema y mis expectativas
8. Built-in Matchers
be para comparaciones numéricas
match para búsqueda texto por expresión regular
cmp para comparaciones igualdad de uso general
Include para búsqueda de un ítem dentro de una
lista
10. Profiles
• Con profiles “paquetizamos” nuestros Tests/controles para que puedan ser reusados
• Evitamos el “copy-paste”
• Se puede heredar entre profiles
• Podemos incluso usar parte de sus tests y no todos al heredar
• Podemos ejecutar o usar profiles ubicados en local, en git, en zip …
14. CIS – Center of Internet Security
• CIS es una organización que proporciona una serie de documentos conocido como CIS
Benchmarks.
• Estos documentos proporcionan una serie de recomendaciones para securizar tus
sistemas
17. DevSec Hardening Framework
• Proyecto que proporciona profiles de Inspec de seguridad
• También hay disponibles playbooks de Ansible
• Algunos de los Benchmarch del CIS han sido creados en profiles de Inspec por la gente de DevSec
Hardening framework
26. Tengo la vida en el Cloud
Lanzar profile/tests
Inspec a la plataforma
Comprobar resultados Lanzo correcciónDefino corrección
AUDITORÍA REMEDIACIÓN
REPITO CICLO
37. Visualización de los resultados
• Inspec por defecto puede volcar los resultados de varias formas
• Puedes volcarlo a un json o un xml
• Junit y visualizarlo en Jenkins
• Con Chef Automate
• Porque no usar algo que ya uses para visualizar otros datos?
41. Conclusiones
• Inspec te ayuda a realizar tests de seguridad y de
infraestructura
• Evita el síndrome “Chequeo médico”
• Automatiza lo que sea posible a ser automatizado
• Empieza poco a poco pero empieza