Securite des Applications dans le Cloud

Document confidentiel - Advens® 2013www.advens.fr

EPISODE 4

Sécurité des Applications :Sécurité des applications dans le Cloud

ApplicationSecurity

AcademySaison 1

Document confidentiel - Advens® 2013www.advens.fr 2

Introduction

Sébastien GIORIAConsultant senior en Sécurité des SI

Chapter Leader de l'OWASP pour la France

[email protected]

@AppSecAcademy#AppSecAcademy

Posez vos questions dans la fenêtre de chat

Slides envoyés par email

Vidéo Replay


Qui sommes-nous ?

Depuis plus de dix ans, nous aidons les organisations, publiques ou privées, à piloter la sécurité de l'information en parfait alignement avec leurs enjeux métiers et pour en améliorer la performance.

Nos différences

• La valorisation de la fonction sécurité

• Une approche métier s’appuyant sur des compétences sectorielles

• Une offre unique pour délivrer la sécurité de bout en bout, « as-a-service »

• Une approche pragmatique et des tableaux de bord actionnables

• Une vision globale et indépendante des technologies

Éléments clés

• Créée en 2000

• CA 8 millions euros

• 80 collaborateurs basés à Paris, Lille, Lyon

• Plus de 300 clients actifs en France et à l’international

• Organisme certificateur agréé par l’ARJEL (*)

* Autorité de Régulation des Jeux En Ligne – www.arjel.fr


Application Security Academy – la Saison 1

Episode 1 : Une introduction à la Sécurité des Applications› Disponible en replay sur www.advens.fr/ApplicationSecurityAcademy

Episode 2 : Sécurité des applications mobiles› Disponible en replay sur www.advens.fr/ApplicationSecurityAcademy

Episode 3 : Protection des services en ligne› Disponible en replay sur www.advens.fr/ApplicationSecurityAcademy

Episode 5 : Panorama des technologies de sécurisation

ApplicationSecurity

AcademySaison 1

http://www.advens.fr/ApplicationSecurityAcademy









Cloud ?

Gartner évalue le marché du cloud public à environ 131 milliards de dollars (monde) pour 2013, 207 milliards en 2016

5 caractéristiques essentielles définissent le Cloud

Différents modèles d’infrastructure de cloud :› Public ; grand public› Privé ; dédié à une entreprise› Partagé ; mutualisé sur une communauté› Hybride; mixe d’un des précédents

Réservoir de ressources

Accès Réseaux rapide

Facturation à l’usage

Elasticité (redimensionnement

facile)

Accès au service par l’utilisateur à la

demande


IaaS : Infrastructure As a Service

PaaS : Platform As A Service

SaaS : Software As A Service

Différents modèles d’architecture de Cloud

Matériel

DataCenter

Abstraction

APIs

MiddleWare

Applications

Données

Présentation

APIs

Meta-Donnée

sContenu

PAAS

IAAS

SAAS

Connectivité


Qui contrôle quoi ?

Données

Applications

Machine Virtuelle

Serveur

Stockage

Réseau

Interne

Données

Applications

Machine Virtuelle

Serveur

Stockage

Hébergeur

Données

Applications

Machine Virtuelle

Serveur

Stockage

Réseau

IaaS public

Données

Applications

Machine Virtuelle

Serveur

Stockage

Réseau

PaaS public

Données

Applications

Machine Virtuelle

Serveur

Stockage

Réseau

SaaS public

L’entreprise a le contrôlePartage du contrôle avec le

fournisseur

Le fournisseur de cloud a le contrôle

Réseau


10 Risques sur le cloud

Auditabilité et risques sur les

données

Gestion des identités

Risques légauxGestion de la

continuité d’activité

Usage des données non autorisées

Sécurité du transfert de données

Partage des ressources

Analyse des incidents

Sécurité de l’infrastructure

Exposition des environnements de

pré-production

Source : © OWASP : OWASP Top10 Cloud Risks 2013


Gérér les risques sur les données

• Mettre en place un processus d’audit des prestataires• Procédures de changement matériel• Tests d’intrusions• Audit globaux

• Mettre en place du chiffrement des données sensibles • VPN de connexion• Sauvegardes chiffrées

• Attention à la perte de la maitrise des données• Contractualiser l’usage• Procédures d’accès des administrateurs• Utilisation des données après fin du contrat

Sécurité du transfert de

données

Partage des ressources

Usage des données non autorisées

Auditabilité et risques sur les

données

Exposition des environnements

de pré-production


Gérer l’accès aux données

Vérifier la possibilité de délégation des identités

Mettre en place des processus de revue des identités

Vérifier les identités externes à l’organisation

Vérifier l’infrastructure : › Redondance des équipements

Gestion des identités

Continuité d’activité

Sécurité de l’infrastructure


Conformité et risques légaux

Vérifier les lieux de détention des données› La CNIL n’autorise pas les données en dehors de

France/Europe/Safe Harbor

Définir les mécanismes d’analyses des incidents applicatifs › Qui a accès à quoi› Qu’est-ce qui est tracé ?› Comment effectuer de l’analyse post-incident ?

Qui/Comment sont gérées les infrastructures ?› Sous-Traitants ? Qui y a accès ?

Risques Légaux

Analyse des incidents


Sécuriser l’IAAS - Une stratégie simple en 5 points

1. Une sélection rigoureuse du prestataire› Dispose de certifications (ISO 27, PCI-DSS, …)› Transparence sur les éléments fournis› Connectivité auditable

2. Une capacité applicative a toute épreuve› Scan de vulnérabilité possible› Intégration globale avec les plateformes logicielles› Mise a jour régulière et offre évolutive de logiciels

3. Une gestion de l’authentification correcte› Authentification multi-facteur› Intégration possible avec la politique et l’annuaire interne

4. Une gestion des opérations propre› Intégration des logs dans la stratégie globale de l’entreprise› Un monitoring complet et accessible

5. Un chiffrement des données› Chiffrement des disques› Chiffrement des SGBD› Chiffrement réseau› Chiffrement des sauvegardes


Sécuriser le PAAS

En plus des éléments de l’IAAS il convient de porter attention à :

› Changer les éléments par défauts de configuration

› Sécuriser l’accès à la plateforme (SSH/IPSec/TLS)› Sécuriser l’accès aux SGBD › Mettre en place des filtres(firewalls) des différents

services› Mettre en place des mécanismes d’analyse de

logs et de d’IPS› Mettre en place les bons patchs, régulièrement› Tester et auditer les applications.


Sécuriser le SAAS

En plus de la vision IAAS, il convient de pouvoir correctement :

› Auditer le prestataire au niveau de la sécurité applicative− Scans de vulnérabilités/Tests d’intrusions

› Disposer de la possibilité de sécuriser les interfaces d’administration (chiffrement, multi-facteur d’authentification)

› Chiffrer les données sensibles sans le prestataire.

› S’assurer d’avoir un environnement de test pour vérifier avant mise a jour

› Disposer d’une possibilité de « refuser » les montées de version non validées

› Disposer de solutions d’extractions des données sous forme standard (XML, CSV)


Et le développement sur le PAAS ?

Développer dans le cloud == développer sur un système web/WebServices

Quelques précautions sont nécessaires :

› Utiliser les « WAF cloud »› Développer de manière sécurisé en portant attention :

− Aux données sensibles− Aux interfaces d’administration− Aux bases d’authentification

› Attention aux APIs propriétaires

La confiance, n’exclut par le contrôle !


Sécurité des Applications dans le

Cloud

Gouvernance Conception Vérification Déploiement

Par quoi commencer ?

• Vérifier la localisation des données

• Mettre en place un contrat de réversibilité

• Chiffrer les données

• Chiffrer la transmission des données

• Tester la sécurité du prestataire

• Analyser la connectivité du prestataire

• Mettre en place un bouclier virtuel sur sur les applications


Questions / Réponses Posez vos questions dans la fenêtre de chat


Merci et à bientôt !

Episode 5 : Panorama des technologies de sécurisationMardi 10 décembre à 11h.

ApplicationSecurity

AcademySaison 1

Date post:	08-May-2015
Category:	Internet
Upload:	sebastien-gioria
View:	389 times
Download:	2 times

Securite des Applications dans le Cloud

Internet