Dans le cloud tout est managé mais pas la sécurité (DevFest Nantes 2021)

Transcript

1. Dans le cloud tout est
   managé mais pas la
   sécurité
   Eric Briand @eric_briand
   ☁🔒
   

   View Slide

2. CTO à Zenika Nantes
   GDE Cloud, formateur officiel GCP
   Organisateur du CNCF Meetup Nantes
   Eric Briand @eric_briand
   

   View Slide

3. View Slide

4. Pourquoi autant d’intérêt pour le cloud?
   

   View Slide

5. C’est cool mais c’est safe ?
   

   View Slide

6. Piliers de la sécurité en informatique
   

   View Slide

7. Des barrières moins étanches
   ● Traditionnellement la principale sécurité
   était le verrouillage du périmètre
   ● Mais le cloud a besoin d’être beaucoup plus
   connecté
   ● Besoin de sécuriser beaucoup d’aspects, on
   parle de sécurité à tous les niveaux
   ● Voir même aller jusqu’au Zero Trust
   

   View Slide

8. Tout est software
   ● Toute ressource est accédée via du
   software
   ● L’isolation des ressources n’est pas
   matérielle (réseau, data, etc.)
   ● Cette isolation doit être maintenue à
   tout moment
   

   View Slide

9. De nouveaux enjeux et types d’attaque
   ● La numérisation de la société incite de plus
   en plus d’acteurs malveillants à attaquer
   ● Les attaques sur les systèmes d’information
   sont de plus en plus sophistiquées
   ● La moindre faille peut provoquer des fuites
   et des altérations de données
   ● Devoir de veille continue sur de nouvelles
   attaques
   

   View Slide

10. Source: https://www.isc2.org/Landing/cloud-security-report
    

    View Slide

11. Source: https://www.isc2.org/Landing/cloud-security-report
    

    View Slide

12. Source: https://www.isc2.org/Landing/cloud-security-report
    

    View Slide

13. Rappel sur les différents *aas
    … As A Service
    IaaS
    Infrastructure
    PaaS
    Platform
    SaaS
    Software
    

    View Slide

14. Source: https://resilience.enisa.europa.eu/cloud-security-and-resilience/Cloudstandards.pdf
    

    View Slide

15. Responsabilités côté provider
    ● Garantir la sécurité physique des datacenters
    ● Faire un background checks de leurs employés
    ● Gestion de la maintenance en condition opérationnelle
    ● Surveillance des activités suspectes dans les
    datacenters
    ● Garantir une isolation forte entre les données des clients
    

    View Slide

16. Les normes
    ● ISO27001, ISO27017, 27018
    ● PCI DSS (Gestion des cartes bancaires)
    ● Rapports SOC
    ● CSA STAR certification
    ● HITRUST CSF (Gestion des données de santés)
    ● Les bonnes pratiques de gestion des data centers ICREA
    

    View Slide

17. Réglementations (en France)
    ● RGPD
    ● Hébergeur de Données de Santé (HDS)
    ● SecNumCloud
    

    View Slide

18. Responsabilités côté utilisateur
    Les utilisateurs du cloud doivent mettre en place plusieurs
    types de contrôles.
    ● Preventative controls (Prévenir) : empêcher qu’un
    problème arrive
    ● Detective controls (Détecter) : lorsqu’un problème
    survient, le savoir au plus tôt
    ● Corrective controls (Corriger) : une fois identifié, les
    actions pour supprimer le problème
    

    View Slide

19. Prévenir
    ● Bien gérer les identifiants des utilisateurs, les clés d’accès
    ● Mettre en place des droits utilisateurs
    ● Mettre en place une politique de sécurité (PSSI)
    ● Du chiffrement à tous les étages
    ● De la formation, de la formation…
    

    View Slide

20. Détecter
    ● De l’audit, des traces, des évènements sur intrusion
    ● Implication du management sur les évènements (encore de
    la formation)
    ● Scan des vulnérabilités en permanence
    ● Des audits indépendants
    

    View Slide

21. Corriger
    ● Communiquer obligatoirement lorsqu’un leak de données a
    eu lieu (impact, démarche à suivre, post mortem)
    ● Révoquer les accès et reset des credentials en cause
    ● Réitérer sur la politique de sécurité en place pour éviter un
    nouveau problème
    

    View Slide

22. Cloud Security Alliance (CSA)
    

    View Slide

23. Cloud Security Alliance (CSA)
    

    View Slide

24. View Slide

25. Prenons l’exemple de John
    

    View Slide

26. C’est l’histoire (un peu romancée) de LinkedIn en 2012
    ● Un hacker ont volé des credentials d’un employé de LinkedIn
    ● Une fois dans le réseau LinkedIn, il a récupéré et diffusé les
    infos utilisateurs présentes dans la base de données
    ● Leak de 164 million de comptes
    ● Vague d’utilisation de comptes sur d’autres services
    ● Procès, amendes mais peu d’impact au long terme sur
    l’utilisation du produit
    

    View Slide

27. https://haveibeenpwned.com/
    

    View Slide

28. Gestion des identifiants (IAM)
    ● Identité (utilisateur ou service account)
    ● Détermine les droits sur les ressources
    ● Bonnes pratiques :
    ○ Notion de Least Privilege
    ○ Multi Factor Authentication (MFA)
    pour tous les utilisateurs
    ○ Captcha pour contrer les bots
    

    View Slide

29. Chiffrement
    ● Hasher des données n’est pas chiffrer
    ● Chiffrer les données à tous les étages :
    ○ Communications client <-> serveur
    ○ Communications serveur <-> serveur
    ○ Stockage
    ● Gestionnaire de clés à mettre en place :
    ○ Chez le cloud provider (KMS, Key Vault)
    ○ On premise
    

    View Slide

30. Mitiger l’intrusion
    

    View Slide

31. Monitoring & alerting
    Cloud Audit
    Logs
    Azure monitor
    AWS CloudTrail
    

    View Slide

32. Audit de sécurité
    Azure sentinel
    Cloud Security
    Command Center
    Cloud Custodian
    AWS Security Hub
    

    View Slide

33. Prenons un autre exemple, celui de Maria
    

    View Slide

34. C’est l’histoire de l’institut national électoral mexicain en 2016
    ● Un expert en cybersécurité a détecté une instance non
    protégée de mongoDB hébergée sur AWS contenant les
    informations de 93 millions d’électeurs mexicains
    ● Toutes les données pouvaient être lues, altérées ou
    effacées par n’importe qui
    ● Amendes, potentiel informations erronées d'électeurs
    ● Impact sur la réputation du gouvernement mais aussi du
    produit
    

    View Slide

35. La configuration
    ● Toujours se poser la question : est-ce que la configuration
    par défaut n’est pas trop permissive ?
    ● Avoir une configuration différente par environnement
    ● Ne pas activer par défaut des aides au debugging
    (exemple : url qui liste les variables d’environnements)
    

    View Slide

36. La formation
    

    View Slide

37. Et encore, et encore...
    ● Les comptes d’utilisateurs Disney+ revendu
    sur le dark web dès le jour de sa sortie
    ● Les informations en accès public du Dow
    Jones sur les personnes politiquement
    exposées avec un ES non sécurisé
    ● Des informations télémétriques de
    prototypes Tesla leakées à cause d’un
    Kubernetes non sécurisé...
    

    View Slide

38. En résumé
    ● De nouvelles possibilités s’ouvrent avec le cloud
    ● Mais de nouveaux enjeux à prendre en compte
    ● De nouveaux concepts à assimiler : IAM, Chiffrement, VPC,
    Containers, Monitoring, Alerting, Audits, Configurations
    ● Une veille et une formation indispensable
    ...Mais est-ce vraiment nouveau ? 🤔
    

    View Slide

39. #DevSecOps
    

    View Slide

40. Merci !
    ☁🔒
    Eric Briand @eric_briand
    

    View Slide

41. Références
    ● https://www.ssi.gouv.fr/uploads/2016/05/cyberedu_module_1_notions_de_base_02_2017.pdf
    ● https://www.redhat.com/fr/topics/security/cloud-security
    ● https://www.isc2.org/Landing/cloud-security-report
    ● https://resilience.enisa.europa.eu/cloud-security-and-resilience/Cloudstandards.pdf
    ● https://weave.eu/securite-offres-cloud/
    ● https://cloudsecurityalliance.org/research/cloud-controls-matrix/
    ● https://cloudsecurityalliance.org/artifacts/top-threats-egregious-11-deep-dive/
    ● https://www.ssi.gouv.fr/administration/qualifications/prestataires-de-services-de-confiance-qu
    alifies/prestataires-de-service-dinformatique-en-nuage-secnumcloud/
    

    View Slide