Vergangenes Meetup

5. DevOps Meetup Bern: Infrastructure Test Automation

Dieses Meetup liegt in der Vergangenheit

75 Personen haben teilgenommen

Impact Hub Bern

Spitalgasse 28 · Bern

Wie du uns findest

Eingang im Ryffligässchen, Lift benutzen. Raum Loft (vom Eingang her der roten Linie folgen).

Bild des Veranstaltungsortes

Details

17:45 Open Doors

Impact Hub Bern, Spitalgasse 28
Eingang im Ryffligässchen, Lift benutzen
Raum Loft (vom Eingang her der roten Linie folgen)

18:00 - ca. 19:15 Talks

Topics

***Web Application Firewall und deren Tests in der CI Pipeline***
Franziska Bühler, Post CH AG

DevOps und Infrastrukturkomponenten wie eine Web Application Firewall (WAF) passen nicht zusammen - leider wird das oft befürchtet. Zu Unrecht, wie ich meine. Problematisch wird es, wenn eine WAF erst in der Produktion eingeführt wird. Eine WAF kann potenziell auch legitime HTTP Requests blocken. Und wenn nun sowohl Entwickler als auch Betreiber erst in der Produktion Feedback erhalten, ist das zu spät. Die Applikation funktioniert nicht wie gewünscht und die WAF wird notfallmässig wieder ausgeschaltet.

Wichtig ist, dass die WAF früh in den DevOps Prozess eingebunden wird. Denn gerade die automatisierten Applikationstests können auch dazu genutzt werden, die WAF und deren Auswirkung auf die Applikation zu prüfen. Ich werde eine Möglichkeit aufzeigen, wie eine WAF, konkret ModSecurity mit dem OWASP ModSecurity Core Rule Set, in eine CI Pipeline eingebunden werden kann. Sie sollte bereits ein integraler Bestandteil der Applikationstests sein, bevor eine Applikation produktiv gehen kann. Denn eine WAF ist eine gute Sache. Sie schützt gegen Applikationsschwachstellen, wie sie beispielsweise von den OWASP Top Ten beschrieben werden.

Bei der Post setzen wir ModSecurity und das Core Rule Set seit Jahren produktiv ein. Automatisierung ist für unsere grosse Reverse Proxy Plattform unumgänglich.

***Qualitäts-Steigerung in der Infrastruktur durch Automated Testing***
Olivier Fournier, Swisscom AG

"Welcher Einfluss wird mein Code Change auf der gesamten Umgebung haben?" - "Werden alle meine Applikationen nach einem OS oder Service Upgrade immer noch sauber funktionieren?" - Das sind typische Fragen die beim täglichen Geschäft in unserem Team regelmässig auftreten, aber bis jetzt sehr schwierig zu beantworten waren. Seit ein paar Monaten hat sich die Situation stark verbessert, dank der Entwicklung und der Einführung von Automated QA Testing für unsere Infrastruktur-Definitionen.

Das Grundprinzip ist folgendes: Jede Nacht wird eine ganze Server Infrastruktur in unserem Lab mittels CI-Server und Deployment-Orchestrator frisch gebaut, und auf diesen Maschinen wird die letzte Version unserer wichtigsten Dienste mittels Puppet hochgefahren. Danach läuft eine ganze Reihe von Tests mittels Serverspec und prüft, ob alle Funktionalitäten immer noch sauber vorhanden sind. Am Schluss des Prozesses, wenn alle Tests erfolgreich sind, wird ein neues Release gebaut und für die nächsten Stages (Integration, Produktion) freigegeben.

Dank dieser neuen Funktionalität hat sich in den letzten Monaten die Qualität und Stabilität unserer Management-Plattformen verbessert. Zurzeit unterstützt unser Framework Red-Hat-basierte Services. Der Windows-Teil ist im Aufbau und wird in den kommenden Wochen eingeführt.

Die Talks finden in deutscher Sprache statt.

19:15+ Erfahrungsaustausch & Apéro

Vernetze dich mit der DevOps-Community im Grossraum Bern, tausche Erfahrungen aus und/oder geniess einfach ein kühles Getränk.

Das DevOps Meetup Bern ist ein Tribe des Impact Hub Berns - besten Dank auch an den Impact Hub fürs Sponsoring der tollen und zentralen Location!

Anmeldung: Direkt in Meetup oder gerne auch einfach kurz per Mail (matthias.fritschi at avega.ch). Deine Anmeldung hilft uns, Räumlichkeiten und Apéro zu planen, besten Dank.