Matinée WeSpeakCloud spéciale Cloud & Securité

78605f82de8b2ea497603533d022f1e0?s=47 WeScale
February 27, 2020

Matinée WeSpeakCloud spéciale Cloud & Securité

78605f82de8b2ea497603533d022f1e0?s=128

WeScale

February 27, 2020
Tweet

Transcript

  1. Cloud & Sécurité 27 février 2020 Aurélien MAURY

  2. Me, myself and I

  3. Objectif / Plan Nouveaux risques 01 02 03 Nouvelles opportunités

    Nouvelle dynamique
  4. 0. Piqûre de rappel

  5. Rappel des objectifs Cloud & Sécurité Confidentialité Seules les personnes

    autorisées ont accès aux informations échangées.
  6. Rappel des objectifs Cloud & Sécurité Authentification Les acteurs sont

    bien ceux qu’ils prétendent être.
  7. Rappel des objectifs Cloud & Sécurité Intégrité Les données ne

    sont pas modifiées, ni fortuitement, ni intentionnellement.
  8. Rappel des objectifs Cloud & Sécurité Disponibilité L’accès aux services

    est garanti avec un cadre de performances.
  9. Rappel des objectifs Cloud & Sécurité Imputation Les acteurs ne

    peuvent nier les transactions.
  10. Rappel des objectifs Cloud & Sécurité Traçabilité Les opérations impactantes

    sont tracées, autant que les tentatives.
  11. Rappel des objectifs Cloud & Sécurité Confidentialité Authentification Intégrité Disponibilité

    Imputation Traçabilité
  12. 1. Nouveaux risques

  13. Sécurité périmétrique Cloud & Sécurité • Le réseau interne est

    une zone de confiance • Les menaces viennent de l’extérieur • Les portails et API d’administration ne sont pas exposés sur le réseau externe. d’habitude • L’interne et l’externe changent dans le temps • Le réseau peut se modifier rapidement • Les API règnent en maître et sont exposées sur Internet • Les partenaires SaaS se multiplient dans le Cloud
  14. Identités et autorisations Cloud & Sécurité • Un annuaire unique

    centralisé gère les accès à tout le parc de machines et de services • Une partie de la gestion d’accès est physique d’habitude • Il peut être complexe suivant les providers d’opérer une centralisation • La multiplication des services SaaS rend complexe la gestion centralisée • La sécurité physique est prise en charge dans le Cloud
  15. Architectures Cloud & Sécurité • Les architecture sont statiques •

    Elles sont dimensionnées pour les plus gros pics de charges • Modifier une architecture prend du temps et de l’ énergie d’habitude • En IaaS, les serveur peuvent apparaître et disparaître en fonction de la charge • Le pilotage par API permet de faire évoluer rapidement les architectures dans le Cloud
  16. Pratiques Cloud & Sécurité • Culture de l’opération manuelle •

    Tendance à créer des disparités • Difficultés à faire évoluer les mesures de sécurité à l’ échelle du SI d’habitude • Culture de la reproductibilité • Appliquer une modification à tout le parc de façon automatisée est d’une complexité abordable dans le Cloud
  17. Impact Cloud & Sécurité • Une intrusion peut donner lieu

    à une fuite de données • Une intrusion peut donner lieu à une interruption de service d’habitude • Une intrusion peut aussi donner lieu à une explosion des frais d’exploitation par de la création de ressources incontrôlées dans le Cloud
  18. Responsabilités Cloud & Sécurité • Une équipe centrale assure le

    niveau de sécurité de l’organisation d’habitude • La responsabilité est partagée avec le fournisseur Cloud • Il faut comprendre ce qui est pris en charge et ce qui vous incombe dans le Cloud
  19. Insérer votre screen d’écran en dessous de cette image

  20. Insérer votre screen d’écran en dessous de cette image

  21. Insérer votre screen d’écran en dessous de cette image

  22. Principales menaces Cloud & Sécurité 241 experts 11 menaces majeures

  23. Principales menaces Cloud & Sécurité stratégie sécurité incomplète suivi inadapté

    des modifications fuite de données gestion partielle des identités et accès
  24. Principales menaces Cloud & Sécurité détournement du compte failles dans

    les API menace interne couche de contrôle pas assez robuste
  25. Principales menaces Cloud & Sécurité usage abusif des services Cloud

    défaillance majeure shadow IT
  26. Cloud & Sécurité

  27. 2. Nouvelles opportunités

  28. Sécurité sur étagère Activable en un clic Chiffrement at-rest Traçabilité

    anti DDOS Marketplace de solutions éditeurs Patch Management Web Application Firewall Cloud & Sécurité
  29. Sécurité sur étagère Votre responsabilité Tout est disponible mais rien

    par défaut. Vous êtes aux commandes. Cloud & Sécurité
  30. Le modèle de responsabilités partagées Cas de IaaS Cloud &

    Sécurité https://aws.amazon.com/compliance/shared-responsibility-model/
  31. Software Defined Security Code is everything • Automatisation • Auditable

    • Versionnable • Reproductible • Testable Cloud Custodian Cloud & Sécurité
  32. Sécurité événementielle Principe ajout suppression modification archivage notification remédiation Cloud

    & Sécurité
  33. Sécurité événementielle Exemple 1 1 - create Load balancer Auto-association

    WAF et LB Cloud & Sécurité
  34. Sécurité événementielle Auto-association WAF et LB 1 - create 2

    - publish Load balancer Event Exemple 1 Cloud & Sécurité
  35. Sécurité événementielle Auto-association WAF et LB 1 - create 2

    - publish 3 - trigger Load balancer Event Remediation Exemple 1 Cloud & Sécurité
  36. Sécurité événementielle Auto-association WAF et LB 1 - create 2

    - publish 3 - trigger 4 - configure Load balancer Event Remediation Web Application Firewall Exemple 1 Cloud & Sécurité
  37. Sécurité événementielle Exemple 2 VM non-conforme 1 - create Server

    Cloud & Sécurité
  38. Sécurité événementielle VM non-conforme 1 - create 2 - publish

    Server Event Exemple 2 Cloud & Sécurité
  39. Sécurité événementielle VM non-conforme 1 - create 2 - publish

    3 - trigger Server Event Remediation Exemple 2 Cloud & Sécurité
  40. Sécurité événementielle VM non-conforme 1 - create 2 - publish

    3 - trigger Server Event Remediation 4 - delete Exemple 2 Cloud & Sécurité
  41. Zero Trust Changement d’approche Moindre privilège Authentification systématique Observabilité complète

    Gestion centralisée Cloud & Sécurité
  42. Zero Trust Cloud & Sécurité Changement d’approche Appliquer la sécurité

    au niveau de chaque service.
  43. Encore plus loin Cloud & Sécurité Artificial Intelligence Machine Learning

    DataOps
  44. 3. Nouvelle dynamique

  45. Trop souvent Cloud & Sécurité

  46. Repenser le rôle sécurité Cloud & Sécurité • Partenaire des

    projets • Force de proposition • Innovateur • Veille permanente • Amélioration continue
  47. Diffuser l’importance de la sécurité Cloud & Sécurité • Conscience

    des risques • Généraliser la responsabilité • Occasion de gagner en qualité • Occasion de faire des projets intéressants
  48. Le Cloud Center of Excellence Cloud & Sécurité • Dev-Sec-Ops

    par nature • Passer d’une centralisation de la connaissance à un partage de la connaissance • Identifier les briques de SI récurrentes et en faire des modules Infrastructure-as-Code • Comprendre les attentes des équipes pour faire évoluer le catalogue de module
  49. Tous ensemble Cloud & Sécurité • Même terrain de jeu

    pour tous • Mêmes objectifs principaux • Open-Source for the Win
  50. Le mot de la fin

  51. Renaissance Cloud & Sécurité Le Cloud vient avec : •

    de nouveaux défis • de nouveaux outils • une refonte des équipes • … une occasion rêvée de reforger votre sécurité
  52. Merci de votre attention 23 rue Taitbout 75009 Paris www.wescale.fr

    | blog.wescale.fr et merci à Stéphane Teyssier pour sa participation active à la préparation de cette présentation