Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Dans le cloud tout est managé mais pas la séc...

Eric Briand
October 21, 2021
Technology
0
170

Dans le cloud tout est managé mais pas la sécurité (DevFest Nantes 2021)

L’un des principes du cloud, c’est le managé. Tout est managé, l’infrastructure, les serveurs, les bases de données etc. Mais la sécurité c’est une autre histoire. La gestion des rôles, la gestion des utilisateurs, des comptes de services, des certificats, des clés de chiffrement… vous maitrisez ?

Je vous propose dans cette présentation de faire un tour d’horizon des concepts et problématiques à prendre en compte pour ne pas se retrouver dépourvu lors du premier problème de sécurité dans votre organisation cloud.

Références :
- https://www.ssi.gouv.fr/uploads/2016/05/cyberedu_module_1_notions_de_base_02_2017.pdf
- https://www.redhat.com/fr/topics/security/cloud-security
- https://www.isc2.org/Landing/cloud-security-report
- https://resilience.enisa.europa.eu/cloud-security-andresilience/Cloudstandards.pdf
- https://weave.eu/securite-offres-cloud/
- https://cloudsecurityalliance.org/research/cloud-controls-matrix/
- https://cloudsecurityalliance.org/artifacts/top-threats-egregious-11-deep-dive/
- https://www.ssi.gouv.fr/administration/qualifications/prestataires-de-services-de-confiance-qualifies/prestataires-de-service-dinformatique-en-nuage-secnumcloud/

Eric Briand

October 21, 2021
Tweet

More Decks by Eric Briand

See All by Eric Briand
Access, Assert, Act. La sécurité à l'échelle avec Falco 🦅
ebriand
0
140
Découvrir les Cloud Events avec Cloud Run
ebriand
0
90
La sécurité du Cloud
ebriand
0
140

Other Decks in Technology

See All in Technology
PdM採用とAIの製品活用を同時に頑張ってみた話 / EM oasis 20250418
rakus_dev
0
120
グループ ポリシー再確認 (2)
murachiakira
0
120
更新系と状態
uhyo
8
2k
AIとSREで「今」できること
honmarkhunt
3
340
持続可能なドキュメント運用のリアル: 1年間の成果とこれから
akitok_
1
230
ガバクラのAWS長期継続割引 ~次の4/1に慌てないために~
hamijay_cloud
1
490
QA/SDETの現在と、これからの挑戦
imtnd
0
150
品質文化を支える小さいクロスファンクショナルなチーム / Cross-functional teams fostering quality culture
toma_sm
0
150
意思決定を支える検索体験を目指してやってきたこと
hinatades
PRO
0
290
ここはMCPの夜明けまえ
nwiizo
32
12k
AWSの新機能検証をやる時こそ、Amazon Qでプロンプトエンジニアリングを駆使しよう
duelist2020jp
1
290
ワールドカフェI /チューターを改良する / World Café I and Improving the Tutors
ks91
PRO
0
140

Featured

See All Featured
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Facilitating Awesome Meetings
lara
54
6.3k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
104
19k
Large-scale JavaScript Application Architecture
addyosmani
512
110k
The Cost Of JavaScript in 2023
addyosmani
49
7.7k
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
Done Done
chrislema
184
16k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
233
17k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
31
1.1k
Scaling GitHub
holman
459
140k
Music & Morning Musume
bryan
47
6.5k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
119
51k

Transcript

  1. Dans le cloud tout est managé mais pas la sécurité

    Eric Briand @eric_briand ☁🔒

  2. CTO à Zenika Nantes GDE Cloud, formateur officiel GCP Organisateur

    du CNCF Meetup Nantes Eric Briand @eric_briand
  3. None

  4. Pourquoi autant d’intérêt pour le cloud?

  5. C’est cool mais c’est safe ?

  6. Piliers de la sécurité en informatique

  7. Des barrières moins étanches • Traditionnellement la principale sécurité était

    le verrouillage du périmètre • Mais le cloud a besoin d’être beaucoup plus connecté • Besoin de sécuriser beaucoup d’aspects, on parle de sécurité à tous les niveaux • Voir même aller jusqu’au Zero Trust

  8. Tout est software • Toute ressource est accédée via du

    software • L’isolation des ressources n’est pas matérielle (réseau, data, etc.) • Cette isolation doit être maintenue à tout moment

  9. De nouveaux enjeux et types d’attaque • La numérisation de

    la société incite de plus en plus d’acteurs malveillants à attaquer • Les attaques sur les systèmes d’information sont de plus en plus sophistiquées • La moindre faille peut provoquer des fuites et des altérations de données • Devoir de veille continue sur de nouvelles attaques

  10. Source: https://www.isc2.org/Landing/cloud-security-report

  11. Source: https://www.isc2.org/Landing/cloud-security-report

  12. Source: https://www.isc2.org/Landing/cloud-security-report

  13. Rappel sur les différents *aas … As A Service IaaS

    Infrastructure PaaS Platform SaaS Software

  14. Source: https://resilience.enisa.europa.eu/cloud-security-and-resilience/Cloudstandards.pdf

  15. Responsabilités côté provider • Garantir la sécurité physique des datacenters

    • Faire un background checks de leurs employés • Gestion de la maintenance en condition opérationnelle • Surveillance des activités suspectes dans les datacenters • Garantir une isolation forte entre les données des clients

  16. Les normes • ISO27001, ISO27017, 27018 • PCI DSS (Gestion

    des cartes bancaires) • Rapports SOC • CSA STAR certification • HITRUST CSF (Gestion des données de santés) • Les bonnes pratiques de gestion des data centers ICREA

  17. Réglementations (en France) • RGPD • Hébergeur de Données de

    Santé (HDS) • SecNumCloud

  18. Responsabilités côté utilisateur Les utilisateurs du cloud doivent mettre en

    place plusieurs types de contrôles. • Preventative controls (Prévenir) : empêcher qu’un problème arrive • Detective controls (Détecter) : lorsqu’un problème survient, le savoir au plus tôt • Corrective controls (Corriger) : une fois identifié, les actions pour supprimer le problème

  19. Prévenir • Bien gérer les identifiants des utilisateurs, les clés

    d’accès • Mettre en place des droits utilisateurs • Mettre en place une politique de sécurité (PSSI) • Du chiffrement à tous les étages • De la formation, de la formation…

  20. Détecter • De l’audit, des traces, des évènements sur intrusion

    • Implication du management sur les évènements (encore de la formation) • Scan des vulnérabilités en permanence • Des audits indépendants

  21. Corriger • Communiquer obligatoirement lorsqu’un leak de données a eu

    lieu (impact, démarche à suivre, post mortem) • Révoquer les accès et reset des credentials en cause • Réitérer sur la politique de sécurité en place pour éviter un nouveau problème

  22. Cloud Security Alliance (CSA)

  23. Cloud Security Alliance (CSA)

  24. None

  25. Prenons l’exemple de John

  26. C’est l’histoire (un peu romancée) de LinkedIn en 2012 •

    Un hacker ont volé des credentials d’un employé de LinkedIn • Une fois dans le réseau LinkedIn, il a récupéré et diffusé les infos utilisateurs présentes dans la base de données • Leak de 164 million de comptes • Vague d’utilisation de comptes sur d’autres services • Procès, amendes mais peu d’impact au long terme sur l’utilisation du produit

  27. https://haveibeenpwned.com/

  28. Gestion des identifiants (IAM) • Identité (utilisateur ou service account)

    • Détermine les droits sur les ressources • Bonnes pratiques : ◦ Notion de Least Privilege ◦ Multi Factor Authentication (MFA) pour tous les utilisateurs ◦ Captcha pour contrer les bots

  29. Chiffrement • Hasher des données n’est pas chiffrer • Chiffrer

    les données à tous les étages : ◦ Communications client <-> serveur ◦ Communications serveur <-> serveur ◦ Stockage • Gestionnaire de clés à mettre en place : ◦ Chez le cloud provider (KMS, Key Vault) ◦ On premise

  30. Mitiger l’intrusion

  31. Monitoring & alerting Cloud Audit Logs Azure monitor AWS CloudTrail

  32. Audit de sécurité Azure sentinel Cloud Security Command Center Cloud

    Custodian AWS Security Hub

  33. Prenons un autre exemple, celui de Maria

  34. C’est l’histoire de l’institut national électoral mexicain en 2016 •

    Un expert en cybersécurité a détecté une instance non protégée de mongoDB hébergée sur AWS contenant les informations de 93 millions d’électeurs mexicains • Toutes les données pouvaient être lues, altérées ou effacées par n’importe qui • Amendes, potentiel informations erronées d'électeurs • Impact sur la réputation du gouvernement mais aussi du produit

  35. La configuration • Toujours se poser la question : est-ce

    que la configuration par défaut n’est pas trop permissive ? • Avoir une configuration différente par environnement • Ne pas activer par défaut des aides au debugging (exemple : url qui liste les variables d’environnements)

  36. La formation

  37. Et encore, et encore... • Les comptes d’utilisateurs Disney+ revendu

    sur le dark web dès le jour de sa sortie • Les informations en accès public du Dow Jones sur les personnes politiquement exposées avec un ES non sécurisé • Des informations télémétriques de prototypes Tesla leakées à cause d’un Kubernetes non sécurisé...

  38. En résumé • De nouvelles possibilités s’ouvrent avec le cloud

    • Mais de nouveaux enjeux à prendre en compte • De nouveaux concepts à assimiler : IAM, Chiffrement, VPC, Containers, Monitoring, Alerting, Audits, Configurations • Une veille et une formation indispensable ...Mais est-ce vraiment nouveau ? 🤔

  39. #DevSecOps

  40. Merci ! ☁🔒 Eric Briand @eric_briand

  41. Références • https://www.ssi.gouv.fr/uploads/2016/05/cyberedu_module_1_notions_de_base_02_2017.pdf • https://www.redhat.com/fr/topics/security/cloud-security • https://www.isc2.org/Landing/cloud-security-report • https://resilience.enisa.europa.eu/cloud-security-and-resilience/Cloudstandards.pdf •

    https://weave.eu/securite-offres-cloud/ • https://cloudsecurityalliance.org/research/cloud-controls-matrix/ • https://cloudsecurityalliance.org/artifacts/top-threats-egregious-11-deep-dive/ • https://www.ssi.gouv.fr/administration/qualifications/prestataires-de-services-de-confiance-qu alifies/prestataires-de-service-dinformatique-en-nuage-secnumcloud/