Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Matinée WeSpeakCloud spéciale Cloud & Securité

WeScale
February 27, 2020

Matinée WeSpeakCloud spéciale Cloud & Securité

WeScale

February 27, 2020
Tweet

More Decks by WeScale

Other Decks in Technology

Transcript

  1. Rappel des objectifs Cloud & Sécurité Confidentialité Seules les personnes

    autorisées ont accès aux informations échangées.
  2. Rappel des objectifs Cloud & Sécurité Intégrité Les données ne

    sont pas modifiées, ni fortuitement, ni intentionnellement.
  3. Sécurité périmétrique Cloud & Sécurité • Le réseau interne est

    une zone de confiance • Les menaces viennent de l’extérieur • Les portails et API d’administration ne sont pas exposés sur le réseau externe. d’habitude • L’interne et l’externe changent dans le temps • Le réseau peut se modifier rapidement • Les API règnent en maître et sont exposées sur Internet • Les partenaires SaaS se multiplient dans le Cloud
  4. Identités et autorisations Cloud & Sécurité • Un annuaire unique

    centralisé gère les accès à tout le parc de machines et de services • Une partie de la gestion d’accès est physique d’habitude • Il peut être complexe suivant les providers d’opérer une centralisation • La multiplication des services SaaS rend complexe la gestion centralisée • La sécurité physique est prise en charge dans le Cloud
  5. Architectures Cloud & Sécurité • Les architecture sont statiques •

    Elles sont dimensionnées pour les plus gros pics de charges • Modifier une architecture prend du temps et de l’ énergie d’habitude • En IaaS, les serveur peuvent apparaître et disparaître en fonction de la charge • Le pilotage par API permet de faire évoluer rapidement les architectures dans le Cloud
  6. Pratiques Cloud & Sécurité • Culture de l’opération manuelle •

    Tendance à créer des disparités • Difficultés à faire évoluer les mesures de sécurité à l’ échelle du SI d’habitude • Culture de la reproductibilité • Appliquer une modification à tout le parc de façon automatisée est d’une complexité abordable dans le Cloud
  7. Impact Cloud & Sécurité • Une intrusion peut donner lieu

    à une fuite de données • Une intrusion peut donner lieu à une interruption de service d’habitude • Une intrusion peut aussi donner lieu à une explosion des frais d’exploitation par de la création de ressources incontrôlées dans le Cloud
  8. Responsabilités Cloud & Sécurité • Une équipe centrale assure le

    niveau de sécurité de l’organisation d’habitude • La responsabilité est partagée avec le fournisseur Cloud • Il faut comprendre ce qui est pris en charge et ce qui vous incombe dans le Cloud
  9. Principales menaces Cloud & Sécurité stratégie sécurité incomplète suivi inadapté

    des modifications fuite de données gestion partielle des identités et accès
  10. Principales menaces Cloud & Sécurité détournement du compte failles dans

    les API menace interne couche de contrôle pas assez robuste
  11. Sécurité sur étagère Activable en un clic Chiffrement at-rest Traçabilité

    anti DDOS Marketplace de solutions éditeurs Patch Management Web Application Firewall Cloud & Sécurité
  12. Sécurité sur étagère Votre responsabilité Tout est disponible mais rien

    par défaut. Vous êtes aux commandes. Cloud & Sécurité
  13. Le modèle de responsabilités partagées Cas de IaaS Cloud &

    Sécurité https://aws.amazon.com/compliance/shared-responsibility-model/
  14. Software Defined Security Code is everything • Automatisation • Auditable

    • Versionnable • Reproductible • Testable Cloud Custodian Cloud & Sécurité
  15. Sécurité événementielle Auto-association WAF et LB 1 - create 2

    - publish Load balancer Event Exemple 1 Cloud & Sécurité
  16. Sécurité événementielle Auto-association WAF et LB 1 - create 2

    - publish 3 - trigger Load balancer Event Remediation Exemple 1 Cloud & Sécurité
  17. Sécurité événementielle Auto-association WAF et LB 1 - create 2

    - publish 3 - trigger 4 - configure Load balancer Event Remediation Web Application Firewall Exemple 1 Cloud & Sécurité
  18. Sécurité événementielle VM non-conforme 1 - create 2 - publish

    Server Event Exemple 2 Cloud & Sécurité
  19. Sécurité événementielle VM non-conforme 1 - create 2 - publish

    3 - trigger Server Event Remediation Exemple 2 Cloud & Sécurité
  20. Sécurité événementielle VM non-conforme 1 - create 2 - publish

    3 - trigger Server Event Remediation 4 - delete Exemple 2 Cloud & Sécurité
  21. Repenser le rôle sécurité Cloud & Sécurité • Partenaire des

    projets • Force de proposition • Innovateur • Veille permanente • Amélioration continue
  22. Diffuser l’importance de la sécurité Cloud & Sécurité • Conscience

    des risques • Généraliser la responsabilité • Occasion de gagner en qualité • Occasion de faire des projets intéressants
  23. Le Cloud Center of Excellence Cloud & Sécurité • Dev-Sec-Ops

    par nature • Passer d’une centralisation de la connaissance à un partage de la connaissance • Identifier les briques de SI récurrentes et en faire des modules Infrastructure-as-Code • Comprendre les attentes des équipes pour faire évoluer le catalogue de module
  24. Tous ensemble Cloud & Sécurité • Même terrain de jeu

    pour tous • Mêmes objectifs principaux • Open-Source for the Win
  25. Renaissance Cloud & Sécurité Le Cloud vient avec : •

    de nouveaux défis • de nouveaux outils • une refonte des équipes • … une occasion rêvée de reforger votre sécurité
  26. Merci de votre attention 23 rue Taitbout 75009 Paris www.wescale.fr

    | blog.wescale.fr et merci à Stéphane Teyssier pour sa participation active à la préparation de cette présentation