Infrastructure as Code et Sécurité

Transcript

1. Infrastructure as Code Sécurité Cloud Automatiser la conformité et protéger

   l'écosystème Azure

2. Who am I ? Michel Hubert Chief Solution Architect @michelhubert

   Expert on IaC, DevSecOps, Platform Engineering, IA

3. 01. Pourquoi l'IaC ? Définition et valeur métier pour le

   développeur moderne. 02. Les Risques de Sécurité Analyse des menaces spécifiques à l'automatisation infra. 03. L'Écosystème Azure Azure Bicep, ARM et l'intégration native de la sécurité. 04. DevSecOps & Gouvernance Shift-Left, Policy as Code et monitoring continu. Agenda

4. Définition : Gestion et provisionnement de l'infrastructure via des fichiers

   de configuration lisibles par machine. Vitesse : Déploiements reproductibles en quelques minutes au lieu de jours. Consistance : Élimination de la dérive (drift) entre les environnements de Dev, Test et Prod. Les Fondamentaux de l'IaC

5. Le passage au cloud impose une abstraction totale du matériel.

   L'infrastructure n'est plus un actif physique, mais un service dynamique. Dans l'écosystème Microsoft, cela se traduit par une interaction directe avec l'Azure Resource Manager (ARM), le cerveau derrière chaque ressource déployée. Vers une Infrastructure Cloud Native

6. Opportunités Auditalité totale, versions d'infrastructure (Git), tests unitaires pour infra,

   et scalabilité infinie. Risques Propagation rapide des erreurs, secrets exposés dans le code, et permissions trop larges par défaut. Opportunités vs Risques

7. Section 02 Anatomie des Risques IaC

8. Privilèges Excessifs Déployer des ressources avec des droits 'Owner' ou

   'Contributor' permanents au lieu d'utiliser le RBAC granulaire. Secrets Exposés Clés API ou mots de passe stockés en clair dans les fichiers .bicep ou .tf poussés sur Git. Misconfigurations Ports ouverts par défaut (SSH/RDP), stockage non chiffré ou absence de logs d'audit activés. Top 3 des Vulnérabilités

9. 80% Des failles Cloud L'erreur de configuration est reine Selon

   Gartner, d'ici 2025, 99% des défaillances de sécurité dans le cloud seront la faute du client, principalement via une mauvaise configuration de l'infrastructure. Le Coût du "Human Error"

10. Plus on détecte tôt, moins c'est coûteux. C'est le principe

    du "Shift Left". Coût de la Remédiation

11. Section 03 L'Écosystème Microsoft

12. Pourquoi Bicep ? Bicep est le langage de domaine (DSL)

    pour déployer des ressources Azure. Il offre : • Validation au moment de la compilation. • Support "Day Zero" pour toutes les ressources Azure. • Gestion automatique de l'état (State) via ARM. Azure Bicep : Sécurité Native

13. Azure Bicep Idéal pour les environnements 100% Microsoft. Intégration profonde

    avec Azure Policy et RBAC. Terraform Le standard multi-cloud. Puissant mais nécessite une gestion manuelle et sécurisée du "State File". Choisir son Arme

14. Fonctionnalité Azure Bicep Terraform Gestion de l'état Géré par Azure

    (Gratuit/Safe) Fichier local/distant (Risque) Types de Sécurité Forte (Natif ARM) Moyenne (Besoin de Providers) Politiques Azure Policy Intégré Sentinel / OPA Sécurité : Bicep vs Terraform

15. Section 04 Stratégie DevSecOps

16. PLAN Threat Modeling des ressources. CODE IDE Linting & Pre-commit

    hooks. SCAN SAST (Checkov, PSRule). DEPLOY RBAC & Azure Policy. Le Cycle de Vie Sécurisé

17. Analyse Statique (SAST) Vérifier la conformité du code avant qu'il

    n'atteigne Azure. Détecte les stockages non chiffrés ou les réseaux trop ouverts. PSRule for Azure Le module PowerShell recommandé par Microsoft pour valider vos fichiers Bicep par rapport aux bonnes pratiques de l'Azure Well-Architected Framework. Scanners IaC : PSRule & Checkov

18. Automatisation CI/CD L'intégration de la sécurité dans GitHub Actions ou

    Azure Pipelines est cruciale. Chaque Pull Request doit déclencher un scan de conformité. Si une ressource ne respecte pas les critères de sécurité, le déploiement est bloqué automatiquement.

19. Section 05 Gouvernance & Policy

20. Policy as Code Définir des règles d'entreprise (ex: "Toute VM

    doit être dans l'Europe") et les appliquer à l'ensemble du tenant Azure. Audit vs Deny Mode 'Audit' pour la visibilité, mode 'Deny' pour empêcher toute création de ressource non- conforme via l'IaC. Azure Policy : Garde-fous Continus

21. Le Drift survient quand l'infra réelle diverge du code initial.

    Maitriser la Dérive (Drift)

22. Concept : Nouvelle ressource Azure pour gérer le cycle de

    vie complet d'une collection de ressources. Protection : Empêcher la suppression accidentelle ou la modification de ressources critiques, même par un administrateur. Clean-up : Suppression automatique des ressources orphelines quand elles sont retirées du code Bicep. Azure Deployment Stacks

23. Section 06 Gestion des Secrets & IAM

24. Zéro Secret dans le Code L'IaC doit référencer des variables

    dynamiques. Key Vault permet de : • Stocker les certificats et clés de chiffrement. • Injecter des secrets au runtime du déploiement. • Gérer la rotation automatique des mots de passe. Azure Key Vault : Le Coffre-fort

25. Identité pour Services Plus besoin d'identifiants stockés. Une ressource Azure

    (ex: une VM) s'authentifie auprès d'autres services via Azure AD nativement. Moindre Privilège Attribuer des rôles spécifiques aux MSI. Exemple : L'App Service peut uniquement lire les secrets du Key Vault. Managed Identities (MSI)

26. Section 07 Monitoring & Remédiation

27. Microsoft Defender for Cloud Le CSPM (Cloud Security Posture Management)

    moderne scanne vos dépôts de code Bicep/Terraform pour identifier les vulnérabilités avant déploiement. Il fournit un score de sécurité (Secure Score) et des recommandations actionnables pour vos développeurs.

28. Objectif : Continuous Compliance L'IaC permet de revenir à l'état

    conforme par un simple redéploiement du code source. Ressources aux normes Azure Ressources avec 'Drift' Suivi de la Conformité

29. Linting & validation syntaxique. Scan SAST dans la CI/CD. Utilisation

    de paramètres sécurisés. Pas de secrets en dur. Azure Policy en mode 'Deny'. Revue de code par les pairs. Checklist Sécurité IaC

30. L'IaC n'est pas qu'un outil de déploiement, C'est votre première

    ligne de défense. Standardisez Automatisez Sécurisez En résumé

31. Questions ? Merci pour votre attention !