Slide 1

Slide 1 text

Cloud & Sécurité 27 février 2020 Aurélien MAURY

Slide 2

Slide 2 text

Me, myself and I

Slide 3

Slide 3 text

Objectif / Plan Nouveaux risques 01 02 03 Nouvelles opportunités Nouvelle dynamique

Slide 4

Slide 4 text

0. Piqûre de rappel

Slide 5

Slide 5 text

Rappel des objectifs Cloud & Sécurité Confidentialité Seules les personnes autorisées ont accès aux informations échangées.

Slide 6

Slide 6 text

Rappel des objectifs Cloud & Sécurité Authentification Les acteurs sont bien ceux qu’ils prétendent être.

Slide 7

Slide 7 text

Rappel des objectifs Cloud & Sécurité Intégrité Les données ne sont pas modifiées, ni fortuitement, ni intentionnellement.

Slide 8

Slide 8 text

Rappel des objectifs Cloud & Sécurité Disponibilité L’accès aux services est garanti avec un cadre de performances.

Slide 9

Slide 9 text

Rappel des objectifs Cloud & Sécurité Imputation Les acteurs ne peuvent nier les transactions.

Slide 10

Slide 10 text

Rappel des objectifs Cloud & Sécurité Traçabilité Les opérations impactantes sont tracées, autant que les tentatives.

Slide 11

Slide 11 text

Rappel des objectifs Cloud & Sécurité Confidentialité Authentification Intégrité Disponibilité Imputation Traçabilité

Slide 12

Slide 12 text

1. Nouveaux risques

Slide 13

Slide 13 text

Sécurité périmétrique Cloud & Sécurité ● Le réseau interne est une zone de confiance ● Les menaces viennent de l’extérieur ● Les portails et API d’administration ne sont pas exposés sur le réseau externe. d’habitude ● L’interne et l’externe changent dans le temps ● Le réseau peut se modifier rapidement ● Les API règnent en maître et sont exposées sur Internet ● Les partenaires SaaS se multiplient dans le Cloud

Slide 14

Slide 14 text

Identités et autorisations Cloud & Sécurité ● Un annuaire unique centralisé gère les accès à tout le parc de machines et de services ● Une partie de la gestion d’accès est physique d’habitude ● Il peut être complexe suivant les providers d’opérer une centralisation ● La multiplication des services SaaS rend complexe la gestion centralisée ● La sécurité physique est prise en charge dans le Cloud

Slide 15

Slide 15 text

Architectures Cloud & Sécurité ● Les architecture sont statiques ● Elles sont dimensionnées pour les plus gros pics de charges ● Modifier une architecture prend du temps et de l’ énergie d’habitude ● En IaaS, les serveur peuvent apparaître et disparaître en fonction de la charge ● Le pilotage par API permet de faire évoluer rapidement les architectures dans le Cloud

Slide 16

Slide 16 text

Pratiques Cloud & Sécurité ● Culture de l’opération manuelle ● Tendance à créer des disparités ● Difficultés à faire évoluer les mesures de sécurité à l’ échelle du SI d’habitude ● Culture de la reproductibilité ● Appliquer une modification à tout le parc de façon automatisée est d’une complexité abordable dans le Cloud

Slide 17

Slide 17 text

Impact Cloud & Sécurité ● Une intrusion peut donner lieu à une fuite de données ● Une intrusion peut donner lieu à une interruption de service d’habitude ● Une intrusion peut aussi donner lieu à une explosion des frais d’exploitation par de la création de ressources incontrôlées dans le Cloud

Slide 18

Slide 18 text

Responsabilités Cloud & Sécurité ● Une équipe centrale assure le niveau de sécurité de l’organisation d’habitude ● La responsabilité est partagée avec le fournisseur Cloud ● Il faut comprendre ce qui est pris en charge et ce qui vous incombe dans le Cloud

Slide 19

Slide 19 text

Insérer votre screen d’écran en dessous de cette image

Slide 20

Slide 20 text

Insérer votre screen d’écran en dessous de cette image

Slide 21

Slide 21 text

Insérer votre screen d’écran en dessous de cette image

Slide 22

Slide 22 text

Principales menaces Cloud & Sécurité 241 experts 11 menaces majeures

Slide 23

Slide 23 text

Principales menaces Cloud & Sécurité stratégie sécurité incomplète suivi inadapté des modifications fuite de données gestion partielle des identités et accès

Slide 24

Slide 24 text

Principales menaces Cloud & Sécurité détournement du compte failles dans les API menace interne couche de contrôle pas assez robuste

Slide 25

Slide 25 text

Principales menaces Cloud & Sécurité usage abusif des services Cloud défaillance majeure shadow IT

Slide 26

Slide 26 text

Cloud & Sécurité

Slide 27

Slide 27 text

2. Nouvelles opportunités

Slide 28

Slide 28 text

Sécurité sur étagère Activable en un clic Chiffrement at-rest Traçabilité anti DDOS Marketplace de solutions éditeurs Patch Management Web Application Firewall Cloud & Sécurité

Slide 29

Slide 29 text

Sécurité sur étagère Votre responsabilité Tout est disponible mais rien par défaut. Vous êtes aux commandes. Cloud & Sécurité

Slide 30

Slide 30 text

Le modèle de responsabilités partagées Cas de IaaS Cloud & Sécurité https://aws.amazon.com/compliance/shared-responsibility-model/

Slide 31

Slide 31 text

Software Defined Security Code is everything ● Automatisation ● Auditable ● Versionnable ● Reproductible ● Testable Cloud Custodian Cloud & Sécurité

Slide 32

Slide 32 text

Sécurité événementielle Principe ajout suppression modification archivage notification remédiation Cloud & Sécurité

Slide 33

Slide 33 text

Sécurité événementielle Exemple 1 1 - create Load balancer Auto-association WAF et LB Cloud & Sécurité

Slide 34

Slide 34 text

Sécurité événementielle Auto-association WAF et LB 1 - create 2 - publish Load balancer Event Exemple 1 Cloud & Sécurité

Slide 35

Slide 35 text

Sécurité événementielle Auto-association WAF et LB 1 - create 2 - publish 3 - trigger Load balancer Event Remediation Exemple 1 Cloud & Sécurité

Slide 36

Slide 36 text

Sécurité événementielle Auto-association WAF et LB 1 - create 2 - publish 3 - trigger 4 - configure Load balancer Event Remediation Web Application Firewall Exemple 1 Cloud & Sécurité

Slide 37

Slide 37 text

Sécurité événementielle Exemple 2 VM non-conforme 1 - create Server Cloud & Sécurité

Slide 38

Slide 38 text

Sécurité événementielle VM non-conforme 1 - create 2 - publish Server Event Exemple 2 Cloud & Sécurité

Slide 39

Slide 39 text

Sécurité événementielle VM non-conforme 1 - create 2 - publish 3 - trigger Server Event Remediation Exemple 2 Cloud & Sécurité

Slide 40

Slide 40 text

Sécurité événementielle VM non-conforme 1 - create 2 - publish 3 - trigger Server Event Remediation 4 - delete Exemple 2 Cloud & Sécurité

Slide 41

Slide 41 text

Zero Trust Changement d’approche Moindre privilège Authentification systématique Observabilité complète Gestion centralisée Cloud & Sécurité

Slide 42

Slide 42 text

Zero Trust Cloud & Sécurité Changement d’approche Appliquer la sécurité au niveau de chaque service.

Slide 43

Slide 43 text

Encore plus loin Cloud & Sécurité Artificial Intelligence Machine Learning DataOps

Slide 44

Slide 44 text

3. Nouvelle dynamique

Slide 45

Slide 45 text

Trop souvent Cloud & Sécurité

Slide 46

Slide 46 text

Repenser le rôle sécurité Cloud & Sécurité ● Partenaire des projets ● Force de proposition ● Innovateur ● Veille permanente ● Amélioration continue

Slide 47

Slide 47 text

Diffuser l’importance de la sécurité Cloud & Sécurité ● Conscience des risques ● Généraliser la responsabilité ● Occasion de gagner en qualité ● Occasion de faire des projets intéressants

Slide 48

Slide 48 text

Le Cloud Center of Excellence Cloud & Sécurité ● Dev-Sec-Ops par nature ● Passer d’une centralisation de la connaissance à un partage de la connaissance ● Identifier les briques de SI récurrentes et en faire des modules Infrastructure-as-Code ● Comprendre les attentes des équipes pour faire évoluer le catalogue de module

Slide 49

Slide 49 text

Tous ensemble Cloud & Sécurité ● Même terrain de jeu pour tous ● Mêmes objectifs principaux ● Open-Source for the Win

Slide 50

Slide 50 text

Le mot de la fin

Slide 51

Slide 51 text

Renaissance Cloud & Sécurité Le Cloud vient avec : ● de nouveaux défis ● de nouveaux outils ● une refonte des équipes ● … une occasion rêvée de reforger votre sécurité

Slide 52

Slide 52 text

Merci de votre attention 23 rue Taitbout 75009 Paris www.wescale.fr | blog.wescale.fr et merci à Stéphane Teyssier pour sa participation active à la préparation de cette présentation