Faites le bonheur de votre directeur sécurité grâce au cloudAWS+Enterpri… · La sécurité...
Transcript of Faites le bonheur de votre directeur sécurité grâce au cloudAWS+Enterpri… · La sécurité...
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Stephan Hadinger, Sr Mgr, Solutions Architecture, AWS
Jeudi 27 octobre 2016
Faites le bonheur de votre directeur
sécurité grâce au cloud
Au menu
Construisez sur des bases solides
La sécurité du cloud
Améliorez la sécurité de vos applications
La sécurité dans le cloud
Automatisez la sécurité
DevSecOps
1
2
3
Au menu
Construisez sur des bases solides
La sécurité du cloud
1
Questions de RSSI…
Où sont localisées les données et applications?
L’infrastructure est-elle redondée?
Suis-je conforme à la règlementation européenne?
Peut-on stocker des données personnelles?
Est-ce que AWS a accès à mes données?
L’infrastructure est-elle certifiée ISO 27001? PCI-DSS?
Les certificats sont-ils consultables?
Est-ce que le cloud est sécurisé?
Un modèle de
sécurité familierValidé et orienté par les experts
sécurité de nos clientsBénéficie l’ensemble
de nos clients
PEOPLE & PROCESS
SYSTEM
NETWORK
PHYSICAL
La sécurité est la première priorité d’AWS
14 Régions
38 Zones de disponibilité
63 Emplacements périphériques
Où sont localisées les données et applications?
Infrastructure globale AWS
L’infrastructure est-elle redondée?
Zones de disponibilité et haute disponibilité
GÉRÉ PAR
LES CLIENTS
GÉRÉ PAR
AWS
Est-ce que AWS a accès à mes données?
Le modèle de sécurité partagée AWS
L’infrastructure est-elle certifiée ISO 27001? PCI-DSS?
Certifications AWS
SOC 1 SOC 2 SOC 3
Suis-je conforme à la règlementation européenne?
AWS EU Data Protection
Data Processing Addendum
Le 6 mars 2015, le AWS data
processing addendum, incluant les
Model Clauses, a été approuvé par le
groupe des autorités européennes
sur la protection des données, connu
sous le nom de « Article 29 Working
Party ».
DoD
SRG
FedRAMP
FIPS
IRAP
ISO 9001
ISO 27001
ISO 27017
ISO 27018
MLPS Level 3
MTCS
PCI DSS Level 1
SEC Rule 17-a-4(f)
SOC 1
SOC 2
SOC 3
UK Cyber Essentials Plus
DNB [Netherlands]
EAR
EU Model Clauses
FERPA
GLBA
HIPAA
HITECH
IRS 1075
ITAR
My Number Act [Japan]
U.K. DPA – 1988
VPAT / Section 508
EU Data Protection Directive
Privacy Act [Australia]
Privacy Act [New Zealand]
PDPA - 2010 [Malaysia]
PDPA - 2012 [Singapore]
Privacy Shield
Spanish DPA Authorization
CJIS
CLIA
CMS EDGE
CMSR
CSA
FISC
FISMA
G-Cloud
GxP (FDA CFR 21 Part 11)
ICREA
IT Grundschutz
MITA 3.0
MPAA
NIST
PHR
Uptime Institute Tiers
UK Cloud Security Principles
Certifications /
Attestations
Lois / Règlementations /
Données privées
Alignements /
Cadres
Les certificats sont-ils consultables?
Gartner
Clouds Are Secure:
Are You Using Them Securely?22 septembre 2015
http://amzn.to/20S2Qqg
Est-ce que le cloud est sécurisé?
Avis d’experts
IDC
You can be more secure in the
cloud than in your own data centerjuin 2015
http://amzn.to/1HN2mWLdf
Questions de RSSI…
Où sont localisées les données et applications?
L’infrastructure est-elle redondée?
Suis-je conforme à la règlementation européenne?
Peut-on stocker des données personnelles?
Est-ce que AWS a accès à mes données?
L’infrastructure est-elle certifiée ISO 27001? PCI-DSS?
Les certificats sont-ils consultables?
Est-ce que le cloud est sécurisé?
Au menu
Améliorez la sécurité de vos applications
La sécurité dans le cloud
2
TECHNICAL &
BUSINESS
SUPPORT
Account
Management
Support
Professional
Services
Training &
Certification
Security
& Pricing
Reports
Partner
Ecosystem
Solutions
Architects
MARKETPLACE
Business
Apps
Business
IntelligenceDatabases
DevOps
ToolsNetworkingSecurity Storage
RegionsAvailability
Zones
Points of
Presence
INFRASTRUCTURE
CORE SERVICES
ComputeVMs, Auto-scaling,
& Load Balancing
StorageObject, Blocks,
Archival, Import/Export
DatabasesRelational, NoSQL,
Caching, Migration
NetworkingVPC, DX, DNS
CDN
Access
Control
Identity
Management
Key
Management
& Storage
Monitoring
& Logs
Assessment
and reporting
Resource &
Usage Auditing
SECURITY & COMPLIANCE
Configuration
Compliance
Web application
firewall
HYBRID
ARCHITECTURE
Data
Backups
Integrated
App
Deployments
Direct
Connect
Identity
Federation
Integrated
Resource
Management
Integrated
NetworkingENTERPRISE
APPS
DEVELOPMENT & OPERATIONSMOBILE SERVICESAPP SERVICESANALYTICS
Data
Warehousing
Hadoop/
Spark
Streaming Data
Collection
Machine
Learning
Elastic
Search
Virtual
Desktops
Sharing &
Collaboration
Corporate
Backup
Queuing &
Notifications
Workflow
Search
Transcoding
One-click App
Deployment
Identity
Sync
Single Integrated
Console
Push
Notifications
DevOps Resource
Management
Application Lifecycle
Management
Containers
Triggers
Resource
Templates
API
Gateway
IoT
Rules
Engine
Device
Shadows
Device
SDKs
Registry
Device
Gateway
Streaming Data
Analysis
Business
Intelligence
Mobile
Analytics
TECHNICAL &
BUSINESS
SUPPORT
Account
Management
Support
Professional
Services
Training &
Certification
Security
& Pricing
Reports
Partner
Ecosystem
Solutions
Architects
MARKETPLACE
Business
Apps
Business
IntelligenceDatabases
DevOps
ToolsNetworkingSecurity Storage
RegionsAvailability
Zones
Points of
Presence
INFRASTRUCTURE
CORE SERVICES
ComputeVMs, Auto-scaling,
& Load Balancing
StorageObject, Blocks,
Archival, Import/Export
DatabasesRelational, NoSQL,
Caching, Migration
NetworkingVPC, DX, DNS
CDN
Access
Control
Identity
Management
Key
Management
& Storage
Monitoring
& Logs
Assessment
and reporting
Resource &
Usage Auditing
SECURITY & COMPLIANCE
Configuration
Compliance
Web application
firewall
HYBRID
ARCHITECTURE
Data
Backups
Integrated
App
Deployments
Direct
Connect
Identity
Federation
Integrated
Resource
Management
Integrated
NetworkingENTERPRISE
APPS
DEVELOPMENT & OPERATIONSMOBILE SERVICESAPP SERVICESANALYTICS
Data
Warehousing
Hadoop/
Spark
Streaming Data
Collection
Machine
Learning
Elastic
Search
Virtual
Desktops
Sharing &
Collaboration
Corporate
Backup
Queuing &
Notifications
Workflow
Search
Transcoding
One-click App
Deployment
Identity
Sync
Single Integrated
Console
Push
Notifications
DevOps Resource
Management
Application Lifecycle
Management
Containers
Triggers
Resource
Templates
API
Gateway
IoT
Rules
Engine
Device
Shadows
Device
SDKs
Registry
Device
Gateway
Streaming Data
Analysis
Business
Intelligence
Mobile
Analytics
Access
Control
Identity
Management
Key
Management
& Storage
Monitoring
& Logs
Assessment
and reporting
Resource &
Usage Auditing
SECURITY & COMPLIANCE
Configuration
Compliance
Web application
firewall
Questions de RSSI…
Qui a accès à quelles ressources?
Qui a accédé à quelles ressources?
Comment mes administrateurs sont-ils authentifiés?
Comment les réseaux sont-ils isolés?
Quels sont les flux réseaux entre les machines?
Est-ce que les données sensibles sont chiffrées?
Comment se protège-t-on des attaques DDoS?
Qui a accès à quelles ressources?
Comment mes administrateurs sont-ils authentifiés?
AWS Identity and Access Management (IAM)
Qui? Utilisateur, groupe ou rôle
Quoi? Ressource AWS
Comment? Opération dans l’API
Où? Depuis quelle IP
Quand? Plage horaire
Qui a accédé à quelles ressources?
AWS CloudTrail
Qui a invoqué l’API?
Quand l’appel a été fait?
Quelle opération?
Quelles ressources étaient concernées?
(depuis et vers) Où l’appel a été fait ?
Web app
server
DMZ public subnet
SSH
bastion
NAT
ELBUsers
Admin
Internet
Amazon EC2security group
security group
security group
security group
Front-end private subnet
TCP: 8080
Amazon EC2
TCP: 80/443
Back-end private subnet
security group
TCP: 3306
MySQL db
TCP: Outbound
TCP: 22
Comment les réseaux sont-ils isolés?
Amazon VPC + Security Groups + NACL
Quels sont les flux réseaux entre les machines?
VPC Flow Logs
• Visibilité sur votre VPC
• Problèmes de connectivité?
• Analyse du traffic
• Alertes
Est-ce que les données sensibles sont chiffrées?
AWS KMS
AWS Key Management Service (KMS) simplifie le
chiffrement dans vos applications, et vous permet
d’importer vos propres clefs.
C’est aussi simple que de cocher une case
EBS
volume
Data key 2
Customer master
keys
AWS KMS
Comment se protège-t-on des attaques DDoS?
Amazon CloudFront + AWS WAF + Amazon Route53
Bénéficiez de 63 emplacements
périphériques CloudFront / Route53
Filtrage natif de la plupart des
attaques volumétriques.
AWS WAF bloque dynamiquement
les requêtes illégitimes Volumetric State exhaustion Application layer
65%Volumetric
20%State exhaustion
15%Application layer
Questions de RSSI…
Qui a accès à quelles ressources?
Qui a accédé à quelles ressources?
Comment mes administrateurs sont-ils authentifiés?
Comment les réseaux sont-ils isolés?
Quels sont les flux réseaux entre les machines?
Est-ce que les données sensibles sont chiffrées?
Comment se protège-t-on des attaques DDoS?
AWS Marketplace : partenaires sécurité
Infrastructure
Security
Logging and
Monitoring
Identity and
Access Control
Configuration and
Vulnerability
Analysis
Data
Protection
Au menu
Automatisez la sécurité
DevSecOps
3
Questions de RSSI
Comment concilier sécurité et agilité?
Comment intégrer la sécurité dans le déploiement continu?
Comment assurer une conformité en continu?
Les serveurs sont-ils vulnérables?
OUET
Agilité
Sécurité
Comment concilier sécurité et agilité?
DevSecOps
• Comités ?
• Procédures ?
• Check-lists ?
Page 3 of 433
“Security as code”
Version
Control
CI
Server
Package
Builder
Deploy
ServerCommit to
repoDev
Pull
Code
AMIs
Send build report to dev and
stop everything if build failed
Staging Env
Test Env
Code
Config
Tests
Prod Env
Push
Config Install
Create
Repo
AWS CloudFormation
templates for Env
Generate
Comment intégrer la sécurité dans le déploiement continu?
DevOps DevSecOps
Security
Repository
Vulnerability
and pen
testing
•Security Infrastructure
tests
•Security unit tests in
app
Config
• Inventaire des ressources
• Découverte
• Enregistrement en continu
• Notification des changements
Comment assurer une conformité en continu?
AWS Config & Config Rules
Config Rules
• Vérifier les changements
• Règles pré-configurées
• Règles ad-hoc avec AWS
Lamba
• Contrôle continu
Tableau de bord pour visualiser la conformité et
identifier les changements interdits
Les serveurs sont-ils vulnérables?
Amazon Inspector
Service d’évaluation des vulnérabilités
• Construit pour supporter le DevSecOps
• Automatisable via APIs
• Intégrable avec les outils CI/CD
• Facturation à la demande
• Règles statiques et dynamiques
• Génère des constats
• Linux et Windows
Constats priorisés
Questions de RSSI
Comment concilier sécurité et agilité?
Comment intégrer la sécurité dans le déploiement continu?
Comment assurer une conformité en continu?
Les serveurs sont-ils vulnérables?
En bref
Construisez sur des bases solides
La sécurité du cloud
Améliorez la sécurité de vos applications
La sécurité dans le cloud
Automatisez la sécurité
DevSecOps
1
2
3
Formez-vous à la sécurité sur AWS
Formation
Security Fundamentals on AWS
(en-ligne et gratuit)
Security Operations on AWS
(cours de 3 jours)
aws.amazon.com/training
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Camille TYAN, CEO @PayPlug
Jeudi 27 octobre 2016
Applications stratégiques
sur le Cloud
2012 30 5 M€
Des outils simples pour rapidement
gagner plus de ventes
Personnalisation de
la page en deux clics
Aucune expérience
en design requise
Ergonomie conçue pour faciliter
la saisie du numéro de carte
Expérience d’achat adaptée au
mobile avec clavier numérique
Le paiement en un clic pour
fidéliser les clients
Sans contrat VAD
À partir de 0,5% + 0,15€
3D Secure debrayable
Alertes échecs de paiement
Sandbox intégrée
Librairies PHP, Python, .NET…
Prédiction de la fraude en
temps réel
Une approche basée sur le
« machine learning »
3-D Secure intelligent
Proxy, TOR, etc.
Navigation
Comportement
Données émetteur
Vélocité
ClusteringFingerprinting
Géolocalisation
Le challenge : construire une infrastructure
financière de nouvelle génération
Infrastructure
transactionnelle
Sécurité
informatique
Conformité et
KYC / LABFT
Lutte contre la
fraude
Certifications et
agréments
Moteur de
paiement
+
Scalability
43 14 19Instances EC2 BDD RDS Buckets S3
Business
intelligence
Devises et
change Prélèvement
récurrent
SEPA
Cartes de
paiement
Investissement
et crédit
Conformité
règlementaire
Paiement
en ligne
Infrastructure
sécurisée
Prédiction
de fraude
Nous construisons une banque en ligne pour les PME
Votre avis nous intéresse, n’hésitez pas à remplir
notre questionnaire de satisfaction.
Merci !