Date post: | 08-May-2015 |
Category: |
Internet |
Upload: | sebastien-gioria |
View: | 389 times |
Download: | 2 times |
Document confidentiel - Advens® 2013www.advens.fr
EPISODE 4
Sécurité des Applications :Sécurité des applications dans le Cloud
ApplicationSecurity
AcademySaison 1
Document confidentiel - Advens® 2013www.advens.fr 2
Introduction
Sébastien GIORIAConsultant senior en Sécurité des SI
Chapter Leader de l'OWASP pour la France
@AppSecAcademy#AppSecAcademy
Posez vos questions dans la fenêtre de chat
Slides envoyés par email
Vidéo Replay
Document confidentiel - Advens® 2013www.advens.fr 3
Qui sommes-nous ?
Depuis plus de dix ans, nous aidons les organisations, publiques ou privées, à piloter la sécurité de l'information en parfait alignement avec leurs enjeux métiers et pour en améliorer la performance.
Nos différences
• La valorisation de la fonction sécurité
• Une approche métier s’appuyant sur des compétences sectorielles
• Une offre unique pour délivrer la sécurité de bout en bout, « as-a-service »
• Une approche pragmatique et des tableaux de bord actionnables
• Une vision globale et indépendante des technologies
Éléments clés
• Créée en 2000
• CA 8 millions euros
• 80 collaborateurs basés à Paris, Lille, Lyon
• Plus de 300 clients actifs en France et à l’international
• Organisme certificateur agréé par l’ARJEL (*)
* Autorité de Régulation des Jeux En Ligne – www.arjel.fr
Document confidentiel - Advens® 2013www.advens.fr 4
Application Security Academy – la Saison 1
Episode 1 : Une introduction à la Sécurité des Applications› Disponible en replay sur www.advens.fr/ApplicationSecurityAcademy
Episode 2 : Sécurité des applications mobiles› Disponible en replay sur www.advens.fr/ApplicationSecurityAcademy
Episode 3 : Protection des services en ligne› Disponible en replay sur www.advens.fr/ApplicationSecurityAcademy
Episode 5 : Panorama des technologies de sécurisation
ApplicationSecurity
AcademySaison 1
Document confidentiel - Advens® 2013www.advens.fr 5
Cloud ?
Gartner évalue le marché du cloud public à environ 131 milliards de dollars (monde) pour 2013, 207 milliards en 2016
5 caractéristiques essentielles définissent le Cloud
Différents modèles d’infrastructure de cloud :› Public ; grand public› Privé ; dédié à une entreprise› Partagé ; mutualisé sur une communauté› Hybride; mixe d’un des précédents
Réservoir de ressources
Accès Réseaux rapide
Facturation à l’usage
Elasticité (redimensionnement
facile)
Accès au service par l’utilisateur à la
demande
Document confidentiel - Advens® 2013www.advens.fr 6
IaaS : Infrastructure As a Service
PaaS : Platform As A Service
SaaS : Software As A Service
Différents modèles d’architecture de Cloud
Matériel
DataCenter
Abstraction
APIs
MiddleWare
Applications
Données
Présentation
APIs
Meta-Donnée
sContenu
PAAS
IAAS
SAAS
Connectivité
Document confidentiel - Advens® 2013www.advens.fr 7
Qui contrôle quoi ?
Données
Applications
Machine Virtuelle
Serveur
Stockage
Réseau
Interne
Données
Applications
Machine Virtuelle
Serveur
Stockage
Hébergeur
Données
Applications
Machine Virtuelle
Serveur
Stockage
Réseau
IaaS public
Données
Applications
Machine Virtuelle
Serveur
Stockage
Réseau
PaaS public
Données
Applications
Machine Virtuelle
Serveur
Stockage
Réseau
SaaS public
L’entreprise a le contrôlePartage du contrôle avec le
fournisseur
Le fournisseur de cloud a le contrôle
Réseau
Document confidentiel - Advens® 2013www.advens.fr 8
10 Risques sur le cloud
Auditabilité et risques sur les
données
Gestion des identités
Risques légauxGestion de la
continuité d’activité
Usage des données non autorisées
Sécurité du transfert de données
Partage des ressources
Analyse des incidents
Sécurité de l’infrastructure
Exposition des environnements de
pré-production
Source : © OWASP : OWASP Top10 Cloud Risks 2013
Document confidentiel - Advens® 2013www.advens.fr 9
Gérér les risques sur les données
• Mettre en place un processus d’audit des prestataires• Procédures de changement matériel• Tests d’intrusions• Audit globaux
• Mettre en place du chiffrement des données sensibles • VPN de connexion• Sauvegardes chiffrées
• Attention à la perte de la maitrise des données• Contractualiser l’usage• Procédures d’accès des administrateurs• Utilisation des données après fin du contrat
Sécurité du transfert de
données
Partage des ressources
Usage des données non autorisées
Auditabilité et risques sur les
données
Exposition des environnements
de pré-production
Document confidentiel - Advens® 2013www.advens.fr 10
Gérer l’accès aux données
Vérifier la possibilité de délégation des identités
Mettre en place des processus de revue des identités
Vérifier les identités externes à l’organisation
Vérifier l’infrastructure : › Redondance des équipements
Gestion des identités
Continuité d’activité
Sécurité de l’infrastructure
Document confidentiel - Advens® 2013www.advens.fr 11
Conformité et risques légaux
Vérifier les lieux de détention des données› La CNIL n’autorise pas les données en dehors de
France/Europe/Safe Harbor
Définir les mécanismes d’analyses des incidents applicatifs › Qui a accès à quoi› Qu’est-ce qui est tracé ?› Comment effectuer de l’analyse post-incident ?
Qui/Comment sont gérées les infrastructures ?› Sous-Traitants ? Qui y a accès ?
Risques Légaux
Analyse des incidents
Document confidentiel - Advens® 2013www.advens.fr 12
Sécuriser l’IAAS - Une stratégie simple en 5 points
1. Une sélection rigoureuse du prestataire› Dispose de certifications (ISO 27, PCI-DSS, …)› Transparence sur les éléments fournis› Connectivité auditable
2. Une capacité applicative a toute épreuve› Scan de vulnérabilité possible› Intégration globale avec les plateformes logicielles› Mise a jour régulière et offre évolutive de logiciels
3. Une gestion de l’authentification correcte› Authentification multi-facteur› Intégration possible avec la politique et l’annuaire interne
4. Une gestion des opérations propre› Intégration des logs dans la stratégie globale de l’entreprise› Un monitoring complet et accessible
5. Un chiffrement des données› Chiffrement des disques› Chiffrement des SGBD› Chiffrement réseau› Chiffrement des sauvegardes
Document confidentiel - Advens® 2013www.advens.fr 13
Sécuriser le PAAS
En plus des éléments de l’IAAS il convient de porter attention à :
› Changer les éléments par défauts de configuration
› Sécuriser l’accès à la plateforme (SSH/IPSec/TLS)› Sécuriser l’accès aux SGBD › Mettre en place des filtres(firewalls) des différents
services› Mettre en place des mécanismes d’analyse de
logs et de d’IPS› Mettre en place les bons patchs, régulièrement› Tester et auditer les applications.
Document confidentiel - Advens® 2013www.advens.fr 14
Sécuriser le SAAS
En plus de la vision IAAS, il convient de pouvoir correctement :
› Auditer le prestataire au niveau de la sécurité applicative− Scans de vulnérabilités/Tests d’intrusions
› Disposer de la possibilité de sécuriser les interfaces d’administration (chiffrement, multi-facteur d’authentification)
› Chiffrer les données sensibles sans le prestataire.
› S’assurer d’avoir un environnement de test pour vérifier avant mise a jour
› Disposer d’une possibilité de « refuser » les montées de version non validées
› Disposer de solutions d’extractions des données sous forme standard (XML, CSV)
Document confidentiel - Advens® 2013www.advens.fr 15
Et le développement sur le PAAS ?
Développer dans le cloud == développer sur un système web/WebServices
Quelques précautions sont nécessaires :
› Utiliser les « WAF cloud »› Développer de manière sécurisé en portant attention :
− Aux données sensibles− Aux interfaces d’administration− Aux bases d’authentification
› Attention aux APIs propriétaires
La confiance, n’exclut par le contrôle !
Document confidentiel - Advens® 2013www.advens.fr 16
Sécurité des Applications dans le
Cloud
Gouvernance Conception Vérification Déploiement
Par quoi commencer ?
• Vérifier la localisation des données
• Mettre en place un contrat de réversibilité
• Chiffrer les données
• Chiffrer la transmission des données
• Tester la sécurité du prestataire
• Analyser la connectivité du prestataire
• Mettre en place un bouclier virtuel sur sur les applications
Document confidentiel - Advens® 2013www.advens.fr 17
Questions / Réponses Posez vos questions dans la fenêtre de chat
Document confidentiel - Advens® 2013www.advens.fr 18
Merci et à bientôt !
Episode 5 : Panorama des technologies de sécurisationMardi 10 décembre à 11h.
ApplicationSecurity
AcademySaison 1