Matinée WeSpeakCloud spéciale Cloud & Securité

Transcript

1. Cloud & Sécurité 27 février 2020 Aurélien MAURY

2. Me, myself and I

3. Objectif / Plan Nouveaux risques 01 02 03 Nouvelles opportunités

   Nouvelle dynamique

4. 0. Piqûre de rappel

5. Rappel des objectifs Cloud & Sécurité Confidentialité Seules les personnes

   autorisées ont accès aux informations échangées.

6. Rappel des objectifs Cloud & Sécurité Authentification Les acteurs sont

   bien ceux qu’ils prétendent être.

7. Rappel des objectifs Cloud & Sécurité Intégrité Les données ne

   sont pas modifiées, ni fortuitement, ni intentionnellement.

8. Rappel des objectifs Cloud & Sécurité Disponibilité L’accès aux services

   est garanti avec un cadre de performances.

9. Rappel des objectifs Cloud & Sécurité Imputation Les acteurs ne

   peuvent nier les transactions.

10. Rappel des objectifs Cloud & Sécurité Traçabilité Les opérations impactantes

    sont tracées, autant que les tentatives.

11. Rappel des objectifs Cloud & Sécurité Confidentialité Authentification Intégrité Disponibilité

    Imputation Traçabilité

12. 1. Nouveaux risques

13. Sécurité périmétrique Cloud & Sécurité • Le réseau interne est

    une zone de confiance • Les menaces viennent de l’extérieur • Les portails et API d’administration ne sont pas exposés sur le réseau externe. d’habitude • L’interne et l’externe changent dans le temps • Le réseau peut se modifier rapidement • Les API règnent en maître et sont exposées sur Internet • Les partenaires SaaS se multiplient dans le Cloud

14. Identités et autorisations Cloud & Sécurité • Un annuaire unique

    centralisé gère les accès à tout le parc de machines et de services • Une partie de la gestion d’accès est physique d’habitude • Il peut être complexe suivant les providers d’opérer une centralisation • La multiplication des services SaaS rend complexe la gestion centralisée • La sécurité physique est prise en charge dans le Cloud

15. Architectures Cloud & Sécurité • Les architecture sont statiques •

    Elles sont dimensionnées pour les plus gros pics de charges • Modifier une architecture prend du temps et de l’ énergie d’habitude • En IaaS, les serveur peuvent apparaître et disparaître en fonction de la charge • Le pilotage par API permet de faire évoluer rapidement les architectures dans le Cloud

16. Pratiques Cloud & Sécurité • Culture de l’opération manuelle •

    Tendance à créer des disparités • Difficultés à faire évoluer les mesures de sécurité à l’ échelle du SI d’habitude • Culture de la reproductibilité • Appliquer une modification à tout le parc de façon automatisée est d’une complexité abordable dans le Cloud

17. Impact Cloud & Sécurité • Une intrusion peut donner lieu

    à une fuite de données • Une intrusion peut donner lieu à une interruption de service d’habitude • Une intrusion peut aussi donner lieu à une explosion des frais d’exploitation par de la création de ressources incontrôlées dans le Cloud

18. Responsabilités Cloud & Sécurité • Une équipe centrale assure le

    niveau de sécurité de l’organisation d’habitude • La responsabilité est partagée avec le fournisseur Cloud • Il faut comprendre ce qui est pris en charge et ce qui vous incombe dans le Cloud

19. Insérer votre screen d’écran en dessous de cette image

20. Insérer votre screen d’écran en dessous de cette image

21. Insérer votre screen d’écran en dessous de cette image

22. Principales menaces Cloud & Sécurité 241 experts 11 menaces majeures

23. Principales menaces Cloud & Sécurité stratégie sécurité incomplète suivi inadapté

    des modifications fuite de données gestion partielle des identités et accès

24. Principales menaces Cloud & Sécurité détournement du compte failles dans

    les API menace interne couche de contrôle pas assez robuste

25. Principales menaces Cloud & Sécurité usage abusif des services Cloud

    défaillance majeure shadow IT

26. Cloud & Sécurité

27. 2. Nouvelles opportunités

28. Sécurité sur étagère Activable en un clic Chiffrement at-rest Traçabilité

    anti DDOS Marketplace de solutions éditeurs Patch Management Web Application Firewall Cloud & Sécurité

29. Sécurité sur étagère Votre responsabilité Tout est disponible mais rien

    par défaut. Vous êtes aux commandes. Cloud & Sécurité

30. Le modèle de responsabilités partagées Cas de IaaS Cloud &

    Sécurité https://aws.amazon.com/compliance/shared-responsibility-model/

31. Software Defined Security Code is everything • Automatisation • Auditable

    • Versionnable • Reproductible • Testable Cloud Custodian Cloud & Sécurité

32. Sécurité événementielle Principe ajout suppression modification archivage notification remédiation Cloud

    & Sécurité

33. Sécurité événementielle Exemple 1 1 - create Load balancer Auto-association

    WAF et LB Cloud & Sécurité

34. Sécurité événementielle Auto-association WAF et LB 1 - create 2

    - publish Load balancer Event Exemple 1 Cloud & Sécurité

35. Sécurité événementielle Auto-association WAF et LB 1 - create 2

    - publish 3 - trigger Load balancer Event Remediation Exemple 1 Cloud & Sécurité

36. Sécurité événementielle Auto-association WAF et LB 1 - create 2

    - publish 3 - trigger 4 - configure Load balancer Event Remediation Web Application Firewall Exemple 1 Cloud & Sécurité

37. Sécurité événementielle Exemple 2 VM non-conforme 1 - create Server

    Cloud & Sécurité

38. Sécurité événementielle VM non-conforme 1 - create 2 - publish

    Server Event Exemple 2 Cloud & Sécurité

39. Sécurité événementielle VM non-conforme 1 - create 2 - publish

    3 - trigger Server Event Remediation Exemple 2 Cloud & Sécurité

40. Sécurité événementielle VM non-conforme 1 - create 2 - publish

    3 - trigger Server Event Remediation 4 - delete Exemple 2 Cloud & Sécurité

41. Zero Trust Changement d’approche Moindre privilège Authentification systématique Observabilité complète

    Gestion centralisée Cloud & Sécurité

42. Zero Trust Cloud & Sécurité Changement d’approche Appliquer la sécurité

    au niveau de chaque service.

43. Encore plus loin Cloud & Sécurité Artificial Intelligence Machine Learning

    DataOps

44. 3. Nouvelle dynamique

45. Trop souvent Cloud & Sécurité

46. Repenser le rôle sécurité Cloud & Sécurité • Partenaire des

    projets • Force de proposition • Innovateur • Veille permanente • Amélioration continue

47. Diffuser l’importance de la sécurité Cloud & Sécurité • Conscience

    des risques • Généraliser la responsabilité • Occasion de gagner en qualité • Occasion de faire des projets intéressants

48. Le Cloud Center of Excellence Cloud & Sécurité • Dev-Sec-Ops

    par nature • Passer d’une centralisation de la connaissance à un partage de la connaissance • Identifier les briques de SI récurrentes et en faire des modules Infrastructure-as-Code • Comprendre les attentes des équipes pour faire évoluer le catalogue de module

49. Tous ensemble Cloud & Sécurité • Même terrain de jeu

    pour tous • Mêmes objectifs principaux • Open-Source for the Win

50. Le mot de la fin

51. Renaissance Cloud & Sécurité Le Cloud vient avec : •

    de nouveaux défis • de nouveaux outils • une refonte des équipes • … une occasion rêvée de reforger votre sécurité

52. Merci de votre attention 23 rue Taitbout 75009 Paris www.wescale.fr

    | blog.wescale.fr et merci à Stéphane Teyssier pour sa participation active à la préparation de cette présentation