Upgrade to Pro — share decks privately, control downloads, hide ads and more …

La sécurité du Cloud

Eric Briand
April 30, 2020
Technology
0
130

La sécurité du Cloud

L'un des principes du cloud, c'est le managé. Tout est managé, l'infrastructure, les serveurs, les bases de données etc. Mais la sécurité c'est une autre histoire. La gestion des rôles, la gestion des utilisateurs, des comptes de services, des certificats, des clefs de chiffrement... vous maitrisez ?

Nous vous proposons dans cette présentation de faire un tour d'horizon des concepts et problématiques à prendre en compte pour ne pas se retrouver dépourvu lors du premier problème de sécurité dans votre organisation sur le cloud.

Références :
-https://www.ssi.gouv.fr/uploads/2016/05/cyberedu_module_1_notions_de_base_02_2017.pdf
- https://www.redhat.com/fr/topics/security/cloud-security
- https://www.isc2.org/-/media/ISC2/Landing-Pages/2019-Cloud-Security-Report-ISC2.ashx
- https://resilience.enisa.europa.eu/cloud-security-and-resilience/Cloudstandards.pdf
- https://weave.eu/securite-offres-cloud/
- https://cloudsecurityalliance.org/research/cloud-controls-matrix/
- https://cloudsecurityalliance.org/artifacts/top-threats-to-cloud-computing-egregious-eleven/
- https://cloudsecurityalliance.org/artifacts/top-threats-to-cloud-computing-deep-dive/

Eric Briand

April 30, 2020
Tweet

More Decks by Eric Briand

See All by Eric Briand
Dans le cloud tout est managé mais pas la sécurité (DevFest Nantes 2021)
ebriand
0
140
Access, Assert, Act. La sécurité à l'échelle avec Falco 🦅
ebriand
0
100
Découvrir les Cloud Events avec Cloud Run
ebriand
0
62

Other Decks in Technology

See All in Technology
2024-04-06 AMeDAS to Lagoon SORACOM UG 2024-04-06
anysonica
0
120
Janus
bkuhlmann
0
490
Databricks における 『MLOps』
databricksjapan
2
130
Terraformあれやこれ/terraform-this-and-that
emiki
3
240
社内勉強会運営のコツ
senoo
6
1.1k
Signals Unleashed: The Full Guide
rainerhahnekamp
0
360
AIQ株式会社 エンジニア向け会社紹介資料
aiqlab
0
360
OpenTelemetry を使ったトレースエグザンプラーの活用 / otel-trace-exemplar
k6s4i53rx
2
630
Discord とビルダー&チャットボットの使い方 / How to use Discord and Builder & Chatbots
ks91
PRO
0
130
普段有償でサポート業務をしているCSAが技術知見を無料で公開する理由
07jp27
1
630
クラウドサインにおけるプロダクトマネージャーの役割と開発プロセス / 20240410_cloudsign-PdM
bengo4com
1
680
A (short) History of AI
harishpillay
0
110

Featured

See All Featured
Infographics Made Easy
chrislema
237
18k
Navigating Team Friction
lara
177
13k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
321
20k
Git: the NoSQL Database
bkeepers
PRO
422
63k
What’s in a name? Adding method to the madness
productmarketing
PRO
15
2.6k
The Cost Of JavaScript in 2023
addyosmani
14
3.8k
Building Flexible Design Systems
yeseniaperezcruz
318
37k
Side Projects
sachag
451
41k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
186
16k
Faster Mobile Websites
deanohume
297
30k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
18
6.9k
Six Lessons from altMBA
skipperchong
20
3k

Transcript

  1. La sécurité du cloud RemoteClazz du 30 avril 2020 ☁

  2. Eric Briand @eric_briand Illustration par mimikaweb.fr

  3. Pourquoi autant d’intérêt pour le cloud?

  4. C’est cool mais c’est safe ?

  5. Définition sécurité informatique

  6. Des barrières moins étanches • Traditionnellement la principale sécurité était

    le verrouillage du périmètre • Mais le cloud a besoin d’être beaucoup plus connecté • Besoin de sécuriser beaucoup d’aspects, on parle de sécurité à tous les niveaux

  7. Tout est software • Toute ressource est accédée via du

    software • L’isolation des ressources n’est pas matérielle (réseau, data, etc.) • Cette isolation doit être maintenue à tout moment

  8. De nouveaux types d’attaque • Les attaques sur les systèmes

    d’information sont de plus en plus sophistiquées • La moindre faille peut provoquer des fuites et des altérations de données • Devoir de veille continue sur de nouvelles attaques

  9. Source : https://www.isc2.org/-/media/ISC2/Landing-Pages/2019-Cloud-Security-Report-ISC2.ashx

  10. Source : https://www.isc2.org/-/media/ISC2/Landing-Pages/2019-Cloud-Security-Report-ISC2.ashx

  11. Source : https://www.isc2.org/-/media/ISC2/Landing-Pages/2019-Cloud-Security-Report-ISC2.ashx

  12. Source : https://www.isc2.org/-/media/ISC2/Landing-Pages/2019-Cloud-Security-Report-ISC2.ashx

  13. Source : https://www.isc2.org/-/media/ISC2/Landing-Pages/2019-Cloud-Security-Report-ISC2.ashx

  14. Rappels sur les différents *aas … As A Service IaaS

    Infrastructure PaaS Platform SaaS Software

  15. Source : https://resilience.enisa.europa.eu/cloud-security-and-resilience/Cloudstandards.pdf

  16. Responsabilités côté provider • Garantir la sécurité physique des datacenters

    • Faire un background checks de leurs employés • Gestion de la maintenance en condition opérationnelle • Surveillance des activités suspectes dans les datacenters • Garantir une isolation forte entre les données des clients

  17. Les normes • ISO27001, ISO27017, 27018 • PCI DSS (Gestion

    des cartes bancaires) • Rapports SOC • CSA STAR certification • HITRUST (Gestion des données de santés) • Les bonnes pratiques de gestion des data centers ICREA

  18. Réglementations (en France) • RGPD • Hébergeur de Données de

    Santé (HDS) • SecNumCloud

  19. Responsabilités côté utilisateur Les utilisateurs du cloud doivent mettre en

    place plusieurs types de contrôles. • Preventative controls (Prévenir) : empêcher qu’un problème arrive • Detective controls (Détecter) : lorsqu’un problème survient, le savoir au plus tôt • Corrective controls (Corriger) : une fois identifié, les actions pour supprimer le problème

  20. Prévenir • Bien gérer les identifiants des utilisateurs, les clés

    d’accès • Mettre en place des droits utilisateurs • Mettre en place une politique de sécurité (PSSI) • Du chiffrement à tous les étages • De la formation, de la formation…

  21. Détecter • De l’audit, des traces, des évènements sur intrusion

    • Implication du management sur les évènements (encore de la formation) • Scan des vulnérabilités en permanence • Des audits indépendants

  22. Corriger • Communiquer obligatoirement lorsqu’un leak de données a eu

    lieu (impact, démarche à suivre, post mortem) • Révoquer les accès et reset des credentials en cause • Réitérer sur la politique de sécurité en place pour éviter un nouveau problème

  23. Cloud security alliance

  24. Cloud security alliance

  25. None

  26. Prenons l’exemple de John

  27. C’est l’histoire (un peu romancée) de LinkedIn en 2012 •

    Des hackers ont volé des credentials d’un employé de LinkedIn. Une fois dans le réseau LinkedIn, ils ont récupéré et diffusé les infos utilisateurs présentes dans la base de données • Leak de 167 million de comptes • Vague d’utilisation de comptes sur d’autres services • Procès, amendes mais peu d’impact au long terme sur l’utilisation du produit

  28. Gestion des identifiants (IAM) • Identité (utilisateur ou service account)

    • Détermine les droits sur les ressources • Bonnes pratiques : ◦ Notion de Least Privilege ◦ Multi Factor Authentication (MFA) pour tous les utilisateurs

  29. Chiffrement • Hasher des données n’est pas chiffrer • Chiffrer

    les données à tous les étages : ◦ Communications client <-> serveur ◦ Communications serveur <-> serveur ◦ Stockage • Gestionnaire de clés à mettre en place : ◦ Chez le cloud provider (KMS, Key Vault) ◦ On premise

  30. Mitiger l’intrusion

  31. Monitoring & alerting Cloud Audit Logs Azure Sentinel

  32. Audit de sécurité Cloud Security Command Center Azure Security Center

    Cloud Custodian

  33. Prenons un autre exemple, celui de Maria

  34. C’est l’histoire de l’institut national électoral mexicain en 2016 •

    Un expert en cybersécurité a détecté une instance non protégée de mongoDB hébergée sur AWS contenant les informations de 93 millions d’électeurs mexicains • Toutes les données pouvaient être lues, altérées ou effacées par n’importe qui • Amendes, potentiel informations erronées d'électeurs • Impact sur la réputation du gouvernement mais aussi du produit

  35. La configuration • Toujours se poser la question : est-ce

    que la configuration par défaut n’est pas trop permissive ? • Avoir une configuration différente par environnement • Ne pas activer par défaut des aides au debugging

  36. La formation

  37. En résumé • De nouvelles possibilités s’ouvrent avec le cloud

    • Mais de nouveaux enjeux à prendre en compte • De nouveaux concepts à assimiler : IAM, Chiffrement, VPC, Containers, Monitoring, Alerting, Audits, Configurations • Une veille et une formation indispensable ...Mais est-ce vraiment nouveau ?

  38. #DevSecOps

  39. Merci ! ☁ Des questions?

  40. Références • https://www.ssi.gouv.fr/uploads/2016/05/cyberedu_module_1_notions_de_base_02_2017.pdf • https://www.redhat.com/fr/topics/security/cloud-security • https://www.isc2.org/-/media/ISC2/Landing-Pages/2019-Cloud-Security-Report-ISC2.ashx • https://resilience.enisa.europa.eu/cloud-security-and-resilience/Cloudstandards.pdf •

    https://weave.eu/securite-offres-cloud/ • https://cloudsecurityalliance.org/research/cloud-controls-matrix/ • https://cloudsecurityalliance.org/artifacts/top-threats-to-cloud-computing-egregious-eleven/ • https://cloudsecurityalliance.org/artifacts/top-threats-to-cloud-computing-deep-dive/