Webinaires sécurité AWS : Sécurisez votre architecture de A à Z

Webinaires sécurité AWS : Sécurisez votre architecture de A à Z



bonjour à tous je m'appelle walid ben abderrahmane je suis architecte solutions chez amazon web services depuis deux ans et demi et aujourd'hui nous allons voir ensemble comment sécuriser votre architecture de a à z il est ici c'est de voir comment on inclut la sécurité dans la conception dès le départ dans la conception de votre environnement à wsd ressources que vous avez déployés et des applications que vous allez mettre sur adoubuzz pour cela nous allons essayer de voir les sept points suivants nous allons voir des actions à la fin de chaque point on fera une démo à la fin de la présentation est d'astra optant pour des questions et réponses a donc n'hésitez pas à me poser des questions que je prendrai à la fin alors on va commencer par comment on implémente une gouvernance sur alves ici l'idée est d'adapter monter une structure multi compte l'idée d'une structure multi quand c'est de vous permettre de maps et votre organisation actuelle on premise sur adoubuzz donc dans cet esprit là on va avoir un certain nombre de comptes qu'on va utiliser surratt baisse un compte et en internet ont tjrs et non pas un compte utilisateur donc ça sera un compte où on voit on verra des ressources à boulez qui vont tourner et dans ce cas on va avoir deux catégories de compte d'un côté des comptes on appellera des comptes d'entreprises dont ses comptes là on va avoir plusieurs comptes qui vont être spécialisés notamment un compte pour la sécurité un conte pour les services partagés et un compte justement pour des dogues le compte de sécurité combinant indique ça sera un conte qui va être utilisé par les équipes de sécurité qui ont seulement est selon eux l'accès à ce compte là dedans ce compte ils peuvent déployer des outils de sécurité des outils comme des siennes des outils que vous avez pas consciemment en prime est ce que vous voulez reprendre sur un os ou des services de sécurité proposées par nouvelle ce qu'on verra justement tout le long de la présentation qu'ils vont utiliser pour justement voir et prendre des actions sur l'ensemble des comptes de la l'organisation sur adoubuzz on aura un compte de deux services partagés et combien noms l'indiquent ou si c'est un canton lequel on va avoir des ressources qui vont à partager entre les différentes organisations autres contes et les différents workshops des applications sur votre organisation un exemple simple soit par exemple l'activé directory le dns ou tout autre service qui pourra être utilisé par les applications dont votre organisation dont sa globalité donc on va dédier un compte et on va avoir des ressources à la terre de ce compte là pour l'ensemble de l'organisation et un autre compte que j'aimerais bien encore citer c'est le compte de logging c'est un conte qui va être où on va mettre tous les logs applicatif ou les logs sur les ressources albi vs congard agissements par la suite on va les mettre au niveau de ce compte là et on va mettre en place un ensemble de règles de sécurité d'une telle sorte à ce que ce compte là où c log là deviennent votre source de vérité donc demain si quelque chose arrive demain si vous avez un audit de masse si vous avez une recherche à faire donc vous pouvez vous appuyer sur des log que vous avez enregistré au niveau de ce compte là ce qui vous permettra justement de faire des investigations à danser log comment les archives et on voit les sécurisant on va mettre des on va appliquer des règles de sécurité à ce niveau il y en a d'autres d'autres compte qu'on peut appeler des comptes entreprises comme par exemple un compte pour la partie réseau un compte pour la partie audit interne à un compte pour la partie bing donc il ya ici de ses comptes là qu'on va appeler des comptes entreprises c'est que ce sera des comptes dédiés pour les fonctions corps que vous allez avoir sur lui et ensuite on va avoir en parallèle des comptes qui vont être utilisés pour exemple la production des comptes qui vont être utilisés pour l'edf des comptes qui vont être utilisés pour l'après baudu production donc ses comptes là qui vont être spécialisés que vous allez mettre pas un business unit par projet par or claude par équipes selon votre organisation c'est contre là on va les avoir en parallèle et il y aura un accès directement de vos collaborateurs directement sur ce compte là pour justement déployer des applications ces contrats sont reliés aux comptes organisational par exemple par le comte sécurité aura un accès tout le temps à ses comptes pour justement avoir une visibilité et prendre des actions en cas de dates à coups de menaces d'un pack et par ce biais là vous voyez on a essayé de créer une organisation une gouvernance on appelle une gouvernance par l' approche multi quand donc on va créer une gouvernance qu'on va utiliser à l'intérieur d'un w s et on va appliquer des règles de sécurité des règles de gouvernance à ce niveau là qui nous permettra d'être efficace et de déployer de nouveaux recours à des pratiques d'une manière sécurisée pour le faire on a justement un service on annoncé dans le dernier en date qui s'appelle control tower qui vous permet de déployer cette organisation-là et de justement appliquer les best practice en termes de sécurité et de gouvernance à l'ensemble de ces comptes d'accor donc vous pouvez l'utiliser donc il n'est pas encore jay mais il sera très bientôt en attendant il ya une solution qu'on appelle la landing zone solution qui vous permettra d'une manière automatisée donc on a un template des tempêtes qui sont fournies par alves qui vous permet justement de déployer l'ensemble de cette gouvernance voilà une première approche que je vous invite à faire dès maintenant que vous ayez des comptes sur radio est où vous commencez justement des surverses prochainement de d'appliquer cette organisation a pour a pour avoir une gouvernance du premier jour alors une fois qu'on a compris cette partie là de la proche gouvernance par les les comptes ou par plusieurs comptes on va justement à un peu parler de l'identité l'identité qui est un élément important dans votre approche sera debout baisse et quand on parle d'identité sur elle blesse on parle d'une baisse identité access management c'est le service adverse qui vous permet de gérer les identités sur abs et de leur donner des autorisations sur adoubuzz alors le service permet de définir des utilisateurs de définir des méthodes d'authentification et de leur donner des autorisations pour justement à utiliser leurs ressources à brûler chose importante c'est pour utiliser les ressources de baisse et non pas pour la partie applicative donc c'est pas utilisée pour vous connecter papa papa pour vos applications d'autres services sbs qui nous permettent de faire notamment je pense alves couteau ou les services comme manager de service ou là des manager parade baisse ici elle vous permet de définir des utilisateurs de définir des groupes d'utilisateurs et de leur donner des autorisations qu'est-ce qu'on vous recommande à voir il s'agit d'autorisations c'est de leur donner des autorisations et plus granulaire justement et d'ordonner le moins de privilèges d'une telle sorte à ce qu'ils ne fassent à l'objectif c'est qu'il termine c'est qu'ils fassent leurs preuves ce qui est attendu carottes avec le moins de privilèges et pouvait leur donner bien sûr plus de privilèges par la suite alors si on va plus loin soit parti il ya un an on va avoir des utilisateurs et m que vous allez justement de définir de manière la première c'est de créer des utilisateurs nominatif directement sur yann pouvez créer des utilisateurs seraient yen qui vont être qu'ils vont se connecter vouloir activer le hamas est une recommandation forte de notre part il ya du type de hama familiale et auquel logique et de tokat physique donc à ce niveau là vous leur donnez à la possibilité de le faire et vous leur appliquer des stratégies de passes des rotations pas s'instituer donc ça c'est la première manière de faire la deuxième aussi que je vous invite à voir c'est d'utiliser la fédération d'identités si vous avez une âme un référentiel d'identité à l'extérieur ou sur un good as c'est de l'utiliser pour justement vous connecter pour pour accéder pour pour avoir joué un seul et unique référentiel central puis lesquels on va gérer ses utilisateurs là et on va faire par la fédération d'identités avec dû à ça même si vous créez des utilisateurs sur douve est ce que je vous invite à faire aussi c'est de créer des groupes viennent donc vous avez créé des groupes d'utilisateurs vous allez leur donner des droits à ces groupes là et vous affecter les utilisateurs à ces groupes ce qui vous permettra justement de gérer d'une manière plus simple et plus efficace ses utilisateurs des droits que vous donnez à ses utilisateurs un troisième point très important dans le cadre d une identité sur agout assez le rôle c'est quoi un rose c est une entité logique qui vous permet justement on va parler d'assumer un rôle quand on utilise alves ce rôle-là a contrairement à un utilisateur n'a pas du vernet n'y a pas de password il a juste la possibilité ou définition rhône et ce rôle vous le l'affecté où vous donnez du manière temporaire ou permanente un utilisateur donc ce qui me permettra justement de d'effectuer une tâche sur hadoop est un exemple simple on a un utilisateur qui peut être un administrateur réseau cinéma vous voulez lui donner plus de droits la plateforme pour créer des par exemple des machines virtuelles vous pouvez lui donner un rôle temporaire ou permanent qui nous permettra de démarrer des instants sur google d'arrêter des instances ainsi tu es bien sûr on parle de politique donc c'était assez laid les politiques que vous avez définies on a deux types de politique et on a des policiers managée par une veste qui sont proposés par louvain ce qui vous permettra seulement de faciliter donc vous allez avoir des propos ici de rigoni des politiques nous permettre d'avoir des tâches pour la partie réseau pour la partie sécurité pour la partie de base de données qui sont à spécifiques à certains services donc ça c'est des policiers manager vous pouvez utiliser et vous pouvez bien seront parallèle créer vos propres policiers et les affecter à ses utilisateurs donc voilà une vue d'horizon sur l'ensemble des options que vous pouvez trouver sur un google alors les actions que je vous invite à faire à la fin de cette de cette présentation si vous avez un compte google ou si vous allez créer un compte à de bouddha ce c'est première chose un compte utilisateur qui s'appelle route c'est assez un conte très très spécifique très important alors c'est le conte qui va créer le sait le compte utilisateur qui va créer un compte à w s et ce compte là et nous cet utilisateur là est très très important ce que je vous invite à faire c'est de ne jamais n'utiliser où on va dire d'utiliser que dans certains cas qui sont d'ailleurs énumérés sur un os il ya certains cas où certains services ou certaines actions que seul le route peut faire donc ces actions là à son ivresse et une canne than donc en dehors de ça ce que je vous invite à faire c'est de créer un un super administrateur on parlait de lui donner les droits et à partir de là deux traits d'autres utilisateurs de redonner le moins de privilèges possible et de pouvoir l'utiliser activer le hamas assure cet utilisateur route qui vient tocane physique ce que je vous invite à faire c'est de faire un token physique vous pouvez trouver d'ailleurs sur le site d'amazon et à partir de là de sauvegarde ou de garder ce taux qu'un physique dans un lieu sûr si vous avez un coffre-fort mettez le dans un coffre-fort et ne l'utilisé pas je suis bien sûr confie lui ai tout ce qu'on vient de dire une stratégie de passe à des informations et audités justement ce qui est important ce n'est pas juste de farce et d'audit et l'accès à ces routes là pour savoir si vraiment il n'est pas utilisé sur un patron donc comme on l'a dit tout à l'heure aussi définissez des utilisateurs et donnez leur le moins de privilèges donnez-leur dnf a défini ses politiques de match des mots de passe des longueurs à spécifique d une rotation a défini pour à l'ailé pour des mots de passe il ya un autre point important que j'aimerais bien citer ici c'est que les méthodes d'accès à awc les méthodes d'accès à votre votre votre compte baisser on a dit du ternen password un utilisateur et un mot de passe et vous avez aussi une autre façon de sa via les accès ce qui est secrète qui qui sont elles qui sont utilisés pour chiffres pour justement signé les appels à pays donc tout ce qui se passe sur glace c'est des api et donc pour pouvoir le faire on va signer ses appels à pays donc les accès ce qui est secret depuis qu'ils sont aussi importants justement que vont user en aime un autre parce que je vous invite à faire c'est de les deux justement les protéger pourquoi les protéger parce qu'on a eu quelques cas où les clients les stocks sur des guides public les stocks sur un code qu'ils ont déployés pourquoi ils ne font pas ce qu'ils ont besoin de signer des appels un pays via le sdk de bs sur adverse d'entériner stocks et les ou donc ce que je vous invite à faire c'est de ne pas considérer enfin ne pas les mettre sur d'éviter de faire attention à ce niveau donc au lieu d'utiliser des accès ce qui est secrète kid qui sont dans ce cas la statique je vous invite à voir des accès ce qui se pratique qui sont plutôt dynamiques donc on va utiliser quoi on va utiliser à du sst est ce qui vous permet de définir ses skis secrète qui d'une manière temporaire de quelques minutes à plusieurs heures et la fin de cette période là on va justement désactivé c'est ça que c'est ce qui est ce que ce qui ce qui sera d'un point de vue sécurité le plus intéressant pour essayer d'utiliser cette partie et un dernier point par rapport à l'identité à d'authentification c'est justement d'audit et donc on a dit de donner de moins de privilèges mais en même temps d'auditer les accès sur la grèce est un service qui sera axée salvador qui peut vous donner une idée qui peut vous donner quels sont les appels à pays quelles sont les actions qui sont utilisés pas vos utilisateurs avec les droits que vous leur avez 2 et n'hésitez pas à utiliser des rôles pour justement leur donner plus de privilèges et justement de voir de quelle manière vous allez voilà on s'y concerne la partie identique ce management voilà quelques ressources à la partie aérienne la partie à ce qui est organisation qu'on a vu justement pour tout ce qui a été un orgue gouvernance multi tentes et il ya une vidéo de rien de vin qui peut vous permettre d'aller plus loin sur la stratégie multi compte que je vous invite aussi à voir après l'identité on va parler de la traçabilité c'est une composante très importante celle du ps la traçabilité l'idée derrière c'est de pouvoir détecter ce qui se passe au niveau de votre compte vous êtes ou au niveau de votre organisation au niveau de tous les comptes que vous aurez sûr à edf donc là ils essaient de pouvoir à capturer analyser les log pour identifier une peut-on y potentielles menaces de sécurité sur votre organisme donc on va d'abord à capturer les loques donc il faut activer lord sur adoubuzz les log que nbs vous fournir ou les log applicatifs que vous avez au niveau de vos applications donc on est capture d'un en premier et ensuite on les analytes c'est une chose très importante on les analyse par la suite et on prend des actions de rémédiation suite à cette analyse de l'homme alors on va parler d'abord des détections quels sont les services a dû s qui vous permettent de le faire et de quelle manière on va le faire donc le premier service que je vous invite à voir et à utiliser ces admet ce clan très basses cloud drive vous permet de tracer de log et la majorité des appels à pays sûr on vient de lire tout ce qui se passe sur des cd ap que vous y accéder depuis la console baisse avec une série ou avec des api ou des sdk du verre est tout et appelle ap à partir de là on va tracer de la majorité des appels à payer sur cloud c'est donc ce que je vous invite à faire c'est de personnaliser donc quand je vous dis personnalisé parce que claranet activés par défaut sur un groove est ce que je l'invite à personnaliser c'est justement il est stocké sur des deux catastrophes de pouvoir les analyser par la suite d'appliquer du chiffrement sur ces quatre là et de les archiver par exemple dans les comptes de log on vient de voir à haut début encore la cloud drive vous permet justement de log et de nos gammes majorité des appels après un deuxième service que je vous invite à explorer ces amazones guardiola d'ailleurs amazon un outil qu'on verra à la fin de la présentation dans la démo c'est un service à douvez que vous activez avec un clic et qui vous permet de canaliser d'une manière automatique et continue les log l'autre à élever pc prologue et les et anas doc et de vous analyser ça et vous analysez les menaces potentielles en se basant sur l'intelligence artificielle et autres services tiers que je vous je partagerai à la fin de la présentation est donc justement de d'analyser ça est ce qui est important bien sûr c'est de prendre des actions suite à ça c'est pas juste d'analysé c'est de prendre les accidents par rapport à ça à notre service qui est intéressant qui est important à connaître ses atouts baisse confirme ce conflit qui a principalement de on va dire deux fonctionnalités majeures la première c'est qu'on peut le considérer comme une cmdb donc ça vous permet d'avoir à l'ensemble des ressources qui assure bastille demain on parle de règles firewall donc via justement alves confie que vous avez la possibilité d'avoir une timeline que vous pouvez voir dans le temps de revenir en arrière de voir la configuration des règles de sécurité de raguse faille rôle que vous avez appliqué donc ça vous permet d'avoir une cmdb que vous pouvez utiliser en cas d'audit et le deuxième point qui est intéressant c'est que ça vous permet d'avoir des rapports d'activité sur à w donc il ya un certain nombre de rapports ou un certain nombre d'actions qu'on a déjà pré définis sur un tube est que vous pouvez utiliser du type je veux chiffré à mes disques mais volume 10 qui sera debout est donc j'aimerais bien avoir rapport de savoir quels sont tous les disques qui sont chiffrés ou pas c'est qu'ils sont conformes aux chiffres manquent à celles qui sont pas conformes au chiffrement et de quelle manière justement une fois qu'on a c'est ce rapport apa il faut prendre des actions pour chiffre et déchiffre chiffrer les les cons parce qu'on vous recommande justement de chiffrer tout sur abc on reviendra sur le point qui feront donc à double less confie vous permet de faire ces deux actions là donc c'est un service aussi que je vous invite à faire donc les trois services là justement je vous invite à faire et à n'utiliser vivement sur albi texte alors on parle de détection parle aussi de metric et de journalisation ici le service phare quand je pense qu'il est incontournable à utiliser c'est amazon cloud amazon cloud il ya trois fonctionnalités la première c'est d'avoir des métriques donc avoir des métriques sur l'ensemble des services et des métriques sont prédéfinis par doug est vous donne un exemple simple si on démarre une machine virtuelle vous allez avoir des métriques par exemple sur la partie cpu par exemple sur l'activité réseau par exemple sur l'activité disques donc c'est à ce niveau là qu'on va remonter les métriques sh thur adboulaye c'est de cette manière là remontons ses métriques vous allez avoir une vous allez avoir une vue opérationnel de ce qui se passe sur les workflow des applications donc à partir de là on va aussi prendre des actions on va voir des notifications on voit ajustements a enclenché un process automatique si demain je découvre qu'il ya quelque chose d'anormal avec les métriques que je remonte avec la gauche après on a parti donc ça c'est la première la première justement gronde options de clouds la deuxième c'est que la doite locks comme le droit indique l'idée c'est de récupérer d'un justement ça nous permet de remonter les log applicatifs sur amazon cloudwatch donc de cette de sorte à ce que vous pouvez les analyser et vous pouvez justement prendre des actions suite à ça le troisième c'est amazon watch events celui là il vous permet d'avoir les log ont presque temps réel donc là l'idée c'est qu'à celle des docks appelle donc les appels à pied ont presque temps réel à chaque fois qu'il ya un appel à pays vous pouvez le capturer directement avec amazon cloud watch events est derrière donc longer des actions apple a une fonction lambda alerte avec une autre fille ans notification internet on va faire appel à une société et ainsi de suite donc l'idée ici c'est justement on capture des appels à pays ont presque sont réels et on l'est on actionne quelque chose derrière voilà les quelques services qui sont sur un nouvel ace donc on a parlé des log on a parlé de cloud trail pour la majorité des appels à pays que vous pouvez en est que vous devez analyser on apparaître que la droite pour pouvoir les récupérer de config l'idée suivante que je disais je répète c'est l'analyse de la bac la landaise de log on a on a cité quelques points on voyait des alertes il ya par exemple amazon a sonné ce qui permet d'envoyer des sms des mails ou des notifications push d'automatiser les actions derrière avec nouvelle honda notamment où d'autres workflow que vous démarrez et surtout pourquoi pas justement désintégrer pas pourquoi pas ils font d intégrer un ciel si vous avez un ciel vous pouvez le déployés par exemple sur le conte sécurité qu'on vient de voir au début sur l'organisation et de pousser tous les logs au niveau de sociable à l'enrichir et prend des actions suite à auzat darty va vous remontez alors un service que justement que je vous invite aussi à explorer ces sécurités sécurité up est un service qu'on a lancé il ya quelques mois sur rien métier toujours en preview mais vous pouvez le l'explorer dès maintenant c'est il vous permet justement d'agréger on le verra la demande agrégée des alertes ou d'agréger les logs qui sont remontés pargoire duty par inspecteur part mais aussi par d'autres partenaires sécurité qui peut vous remontez c log d'une manière unifiée avec un format justement unifiée c'est ça la puissance souci de sécurité up et d'avoir un seul dashboard sur lequel vous allez avoir la vue globale de la sécurité sur vos comptes adoubé est donc vous pouvez avoir une vue globale unifiée sur ce qui se passe au niveau de votre compte ou des comptes de votre organisation de telle sorte à prendre des actions justement par la suite ce qui est important d sur scène prend des actions et d'avoir aussi ce dashboard qui vous permettra de voir est d'analyser à l'ensemble des règles de sécurité et en parallèle bien sûr chaque service pourra le faire mais il sait l'idée c'est d'avoir un seul dash pas unifier le service a pas de sécurité up et on verra on aura un aperçu justement pendant la démo tout à l'heure alors passer à l'action on l'a dit donc justement là vous avez un certain nombre d'actions que je vous laisserai lire mais l'idée est d'adapter la configuration de 90 il est active et donc de l'adapter de récupérer d'utiliser amazon gloire d'outils pour l'analyse de menaces de frappes de configurer les log applicatifs et d'infrastructures pour les récupérer sur amazon cloud flox de d'utiliser des ciels ainsi de suite dans quoi à une liste d'actions que je vous invite à avoir quand vous aurez à la prestation où vous pouvez la revoir par la suite alors bien sûr quelques ressources pour aller plus loin l'idée si c'est pas de faire un dribble sur chaque composant si vous voulez donc il ya un signal à vous pouvez vous pouvez y aller pour naviguer et voir l'ensemble des de ses services donc voilà on vient de voir maintenant à la partie traçabilité donc c'est des choses donc si je reprends dans l'ordre une structure multi quand une identité forte une traçabilité tout cela vous devez le faire du premier jour donc si vous l'avez fait bien si vous n'avez pas fait faites le maintenant et vous commencez à utiliser la plateforme peut-être dès maintenant alors maintenant on va aller par dans la partie applicatifs et on va voir la sécurité et l'idée ici c'est d'appliquer à sécurité à tourner quand on parle d' appliquer sécurité est tout nouveau on va voir le premier mot c'est le niveau physique donc là on part doit quoi on parle de datacenter on parle de déploiement sur data center on parle d'arrivée réseau d'arrivée électrique de déploiement sur plusieurs sites séparés de plusieurs kilomètres avec des profits de rs c'est pareil classe que je viens de vous dire c'est une définition de zones de disponibilité sur une bonne nouvelle par rapport à ça c'est sous la responsabilité des troupes est donc ca do us qui gère cette partie là tout ce qui est région donc c'est là où il ya les datacenters nous reste tout ce qu'ils ont de disponibilité où se trouvent nos data center donc tout cela est géré par à w ça c'est une bonne nouvelle pour vous et c'est ça répond aux standards de sécurité les plus élevées par rapport à ça décès de l'architecturé d'une manière a déployé par exemption de zones de disponibilité au sein de la même région 3 pour avoir de la haute disponibilité après on va entrer dans les détails par rapport à partir réseau dont comment on va utiliser tous qu'ils aient raison on le verra de la couche extérieure jusqu'à la couche intérieure en passant par les accès internet vers votre réseau sur un peu justement par la suite suite on a un parti à l'intérieur c'est les amis à l'intérieur la partie à la partie plutôt machine virtuelle ou la partie conteneurs ou autre donc ça c'est un ou une autre partie a justement sécurisé et bien sûr la donne et la donne et qui est toujours le point à sécuriser on verra par exemple en partie chiffrement à qui on a dressera dans la suite de la présentation donc on va commencer par la partie extérieure et là on va parler de protection des dos alors des doses pour distribuer elle pourra détruire denial of service donc l'idée ici c'est que on va justement et deuxième bonne nouvelle après la partie réjean vous êtes protégé sans que vous ayez rien à faire sans aucun coût supplémentaire sur les attaques des doses de couche 3 et 4 jusqu'à 83% des attaques des dos vous êtes protégé nativement sur alves vous n'avez aucune action à faire à nouveau à prague protège nativement contre 83% des attaques soit via le service adverse çi lui qui décide de vous protéger contre satan 102,2 d'attac alors vous allez me dire qu'est ce que je fais des 17 pour son tir est justement on a le service se décline en chine standard que je viens de citer et cheddad danse donc là justement c'est un autre c'est une partie du service qui vous permettent d'accéder à des experts de sécurité et qui travaillent avec vous pour justement qu'on essaie 17% et de vous protéger protéger vos applications contre ces 17 pour son tir est donc c'est la première chose à considérer est donc voilà protection des 200 stands à adouber laisse vous protège contre 83% a retenu 17 % qui restent vous avez la partie adverse tu que vous pouvez l'utiliser par la suite alors en même temps qu'on parle de la partie des doses qui a parti applicatifs et là on va parler justement de waf web application firewall il ya un service manager a trouvé ce qui s'appelle des soifs justement qu'il ya un certain nombre de fonctionnalités que vous voyez ici comme la protection contre les scanners contre les bots contre les injections sql contre du cros taille scripting et d'autres c'est des règles oif que vous pouvez implémenté sur un service manager vous avez juste à implémenter les règles oif qui vous intéressent donc vous avez la possibilité de le faire directement sur un service ou bien vous avez la possibilité d'utiliser des règles prédéfinies par des partenaires de sécurité à w est qui qui vit à un marc et s vous propose des racques par exemple sur si vous avez du world press vous aurez des règles prédéfinies par des partenaires sécurité qui ont une expérience sur le loi fossiles et qui nous propose des règles manager de leur côté que vous pouvez activer donc sans avoir à vous même configurer les règles oif et les suivre avec nous vous pouvez soit de le faire même soit faire appel à ses partenaires la et via marketplace directement les utilisent alors là c'est la partie périphérique donc là on est à l'extérieur on rentre un petit peu plus à l'intérieur et on va voir la partie réseau et quand on parle de réseau sur ps on parle de amazon vpc ou virtuels privés de classe et votre bulle réseau logique isolées chez ubs donc là vous allez définir votre topologie réseau donc vous allez définir des réseaux des sous-réseaux vous invite à faire justement à ce niveau là c'est de créer des sous-réseaux public qui ont accès comme le nom l'indiqué à internet des réseaux privés qui sont derrière qu'ils n'accèdent pas internet en tout cas pas directement qui n'ont pas d'adressé ip publique mais qui peuvent y accéder il ya par exemple des proxy ou des nattes gateway et après peut-être des zones aussi qui sont privées qui n'ont pas du tout accès à internet de type des bases de données que vous pouvez faire là je viens de vous décrire justement une architecture 3 tiers donc là c'est la première approche donc justement de définir cette topologie et ensuite on va utiliser des règles fairuz forcément on parlera de règles fajr on parlera de sécurité groupe on parla de l'année c'est à sécurité books et des règles de failles road state foule et anna clc derrag sécurité stakes donc je vous invite à les utiliser pour sécuriser les agglos faille rôle et les accès le trafic réseau sur adoubuzz ensuite on va parler à l'intérieur on va entrer dans la partie machines virtuelles et là c'est votre responsabilité sont prendre la responsabilité partagée et à ce niveau là donc là je vous invite à utiliser des prospects agents d argent que vous avez déployés avec des partenaires nous laisse ou bien utiliser des services comme inspecteur qui vous permet d'analyser les vulnérabilités au niveau de vos machines virtuelles de vous remonter ces vulnérabilités là pour pouvoir les allées corrigé justement il faut pas juste les anisés mais il faut des corrige donc voilà les actions que je vous invite à faire qui est un ensemble d'actions qui reprennent on vient de dire donc il faut les prendre et les revoir un an maintenant passons à la partie plutôt protection des données donc là vous voyez on rentre un peu dans les couches extérieures réseau est maintenant d'aller parler de la partie données données qui est très importante pour vous est ici l'idée est simple c'est de chiffres et où la recommandation qu'on vous donne c'est de tout chiffre est en transit et europe alors on transite première bonne nouvelle aussi c'est que les 1.5 v sont tous en https ok on a rien à faire vous allez me dire qu'est ce que je fais maintenant l'idée c'est d'utiliser un la connectivité une connectivité vpn donc un vpn ip sec si tous it managés par ubs 2 d'utiliser du tls ssl pour tous qui est communication applicatifs 3 justement pour la partie quand on parle de tls on va avoir besoin de certificat est là-dessous simplifie la tâche et vous propose un service c'est pas à douai certificates manager ou à cm qui nous permet de provisionner ces certificats la de les gérer de les déployer sur des adversaires sur un cachet d et une fois qu'ils sont déployés de les gérer et de gérer la rotation parce qu'il ya une difficulté par rapport à ça mais j'irai à l'échelle tout cela gratuitement et après si vous voulez avoir un service privé pour avoir une paix quel prix mais il ya une partie donc là je viens dire c'est la partie publique après vous pouvez avoir sur la partie privée pour voir déployer une équipe qui sera géré par acer alors ça c'est la partie chiffrement transitent par la partie chiffrement repos là aussi à la recommandation est simple c'est de tout chiffre est de chiffrer tout type 2 ou tous supports de stockage sur google ce soit des volumes disque fichiers ou disco directement ce soit des des objets par culture en au service haase 3 ce soit sur des bases de données ou des datawarehouse donc l'idée ici c'est de pouvoir chiffrer tout sur un an et en parlant de chiffrement bien sûr on parlera de chypre est donné mais vous allez poser la question qu'est ce que je fais 2 mais comme on se fait à pour mes clés de chiffrement les clés maths qui m'ont permis deux chiffres est décédé hier la douve s vous aide avec deux services notamment dsk mais ce qui m'a jamais de service et des esclaves d'achat serbe qui vous permettent de stocker vos clés de chiffrement m de pouvoir les gérer manière scalable d'une manière résiliente sur adoubuzz alors deux services qui vous permette justement qui répondent à des standards fips 140-2 les belles 2 pour kms et fips 140-2 level 3 pour clore d'achat ça qu'ils sont ils sont intégrés banques si je prends par exemple canassons parler de chiffres et des 10 mds d'aidés volume disque attachés à vos instances ou à vos machines virtuelles vous avez juste à côté à cocher une case et vous aurez le disque qui sera chiffré au repos car d'achat c'est même si vous voulez avoir aller plus loin dans la conformité en parts de fip 140 2-2 level 3 d'avoir une scalabilité en termes de chiffrement déchiffrement d'avoir une sera édité en termes de achat simple ce sera déjà ça les partitions physique dédié pour vous et vous pouvez avoir une scalabilité augmenter le nombre de la chasse est de les réduire de pays à la demande ça vous pouvez le faire directement avec cloud a chassé m il répond aux standards aussi de l'industrie en termes de design vous pouvez utiliser pas casillas 11 et et d'autres standards pour pour interagir avec claire d'achat donc voilà deux services qui vous permettent d'avoir un chiffrement europe n'y a pas d' excuses je pense qu'à partir de là il ya juste à les utiliser sur un modeste quelques ressources pour aller plus loin par rapport à la plate forme alors on parle d'automatisation on parle d'automatisation qui fait partie des meilleures pratiques à considérer chaque plateforme quand on parle d'automatisation sera ne versant pas d'abord des temps plein qui vont servir déployer un environnement que vous allez utiliser utilisé par exemple plateforme et jeu on va parler de pipelines celle ci dit que vous pouvez déployer vais justement à déclencher quand il ya un service contient une attaque par rapport à ça utilisez des règles config que l'on convient qu'on vient de voir au départ et de déployer des réponses un exemple par rapport à ça on a parlé de guardiola il confiera justement par la suite voir duty qui va analyser en temps réel et on continue les attaques ou des menaces ou les log il va détecter potentiellement des menaces il va vous notifier diack la doite shebeens voilà on retrouve claude wild bunch et la partir de la cad au jeudi 26 va faire quoi il va déclencher une lente à es7 lambda là qui va contenir votre logique par rapport à ça cela permettra justement de corriger la tacc et de déclencher une action automatique ce qu'on vous invite à faire c'est automatiquement vous pouvez bien s'envoyer une âme à une personne ou de votre sac mais en même temps de prendre une action automatique avec un script automatique alors maintenant on va dire on a tout fait mais peut-être que voilà on a pas qu'on n'a pas tout prévu c'est un peu le souci avec la sécurité c'est qu'on peut tout faire mais parfois on prévoit pas tout l'idée ici c'est comment on se prépare pour réagir en cadettes d'accident ou d'incident ainsi bien sûr il ya ainsi donc on a prévu comment on réagit et comment réagir quand on n'a pas prévu un cas d'usagé donc là on va parce qu'un pipeline roues c'est un concept qui me permet de d'isoler certaines ressources de créer un environnement vierge en parallèle et d'appliquer dufour ainsi que sur cette partie d ici c'est quoi c'est on va d'abord planifié pour l'ensemble des scénarios donc si on a planifié très bien ont planifié on va prévoir la réponse qu'on va mettre place via un non-violent vierge on va déployer des outils des services qui vont permettre d'analyser ce qui se passe et en même temps justement si j'ai pas prévu qu'est ce que je fais je notifie quand je modifie j'ai une alerte une alerte et après je fais quoi j'ai un rôle de bouc j'ai déjà un procès ce que j'ai écrit un process avec des scripts que j'ai déjà pré défini que je vais déployer en parallèle sur des comptes à part sur des vpc a pas sur des parties à part qui sont n'ont rien à voir avec la production et je vais isoler ses ressources pour pouvoir analyser ce qui se passe au niveau de mon compte est justement de prendre des actions par rapport à ce qu en plus de ce qu'on vient de dire au départ ce qu'ils sont des actions préventif et de détection je prévois justement ce que je n'ai pas prévu et donc dans ce cas là de prévoir un script des road book qui permettent de pouvoir répondre à ça est un point très important c'était les stalles a toujours toujours avoir un process d escalade notamment pour les réponses de sécurité voilà quelques actions que je vous invite à lire par la suite et de les prendre en compte pour vos actions par impasse donc voilà pour la partie théorique bon j'arrête on va essayer d'aller sur la console et on va voir les quelques services convient de citer notamment guardiola alors voir duty qu'est-ce-qu'il qu'est ce qu'il fait on l'a dit il arrive à il tout simplement une analyse trois types de l'ocs les cloud drive et benz les log réseau et les docks dns donc vous l'activez sur un compte ou plusieurs comptes et il le fait pour vous d'une manière continue en se basant sur la machine learning on se basant sur des informations qu'on reçoit des tiers des partenaires tiers de sécurité donc on va agréger ces informations là et on va détecter les menaces il ya une ses contacts de menaces qu'on détecte l'idée c'est qu'on vous notifie par rapport à ça on vous notifie directement via events est bien sûr encore une fois déclenché une onde a décroché un workflow qui permet de répondre à ces actions donc là vous voyez un certain nombre de menaces qu'on voit sur un cloud pendant ce long convoi sur guardiola qui qui sont considérés par grégoire duty et on enrichit on continue justement ces menaces on va aller je demande tout de suite voir voir duty alors voici la console blesse pour ceux qui ne la connaissent pas donc on va voir rapidement il ya l'on semble vous voyez ici la liste des des services de sécurité que vous pouvez utiliser sur un nouvel ace donc là on va aller voir guardiola alors à ce niveau là voilà la console et ça moi je les ai déjà activé pouvez l'activer dalle clic justement il ya un clic à faire vous donner l'autorisation de voir du type et c'est fini partir de là il va le faire d'une manière continue et là vous voyez un certain nombre ce qu'on appelle des familles goût des trouvailles qui là qu'il a analysé sur votre réseau donc là vous aurez sur cette console à l'ensemble des 3 donc je vais essayer de voir quelques-uns donc là si je prends celui là donc là je peux aller lire ce qui s'est passé donc là c'est quoi c'est qu'il ya une instance ec2 qui est contre un qui a un port qui n'est pas protégé quand on est un porc non protégés sait qu il ya quelque chose qui est ouverte qui est ouvert à l'extérieur et qui est qui et on va dire scanner tout le temps là il s'agit de quoi on peut lire là le port c'est le portel 2 donc le port 22 est ouvert et il est scanné en continu par un par une autre instance à l'intérieur de votre votre pc alors justement pour vous dire ce qui s'est passé c'est ce que j'ai préparé ce scénario j'ai justement ses mille et une attaque sur un des pc donc j'ai dès que j'ai déployé les instances et j'ai justement ces mules ya une attaque pour vous permettre de voir stéphanie donc là je vois un certain nombre d'informations qui sont intéressantes on à la sévérité donc on a une sévérité qui est proposée par guardian ont l'eau le médium et à et donc céder ses vérités qui ont un score qui est définie par ward utile qui vous permet d'avoir une action justement de prioriser sur quelles actions je vais prendre la low medium ou ride d'ailleurs quand il s'agit de raï prendre l'action par rapport à ça directement dans quelle région le nombre de fois où il ya une preuve il ya une as cannes de ce port là pour l'afrique est donc là vous voyez il y en a 24 donc elle compte qu'elle était la ressource qui a fait ça quelle est la liste de frappe donc ça c'est une classification de menaces sur rade de brest il apprend voilà ressources qui a été attaquée à ce qui a été affectée donc là on a vu qu'elle est l'instance quel est le port le type de l'instance aller à ce qu'elle est donc elle est allée à ce qu'elle touron 20 tours ne pas donc là vous pouvez prendre ces informations là pour pouvoir les utiliser par la suite et après on va voir les tags qui sont associés à l'instance donc là ensuite on va voir ce qu'elle a une adresse ip publique elle n'a pas d'adressé ip publique et l'action qui a été utilisé par un nouvel par un poids sain donc là si on voit bien un propre est ce que la la le réseau a bloqué sa ou pas donc lawani a été bloqué et là on voit l'acteur noah l'acteur qui a qui a fait cette partie dame qui a fait cette partie là c'est une adresse de chine ah je dirais même que c'est pas forcément moi alors je vous ai dit alors ceux que j'ai faits sont justement par la suite là on peut le voir notamment ici donc je vais revenir par là donc hop je vais clause donc là il ya quoi il ya 9 minutes et 9 minutes à peine on voit en attaque justement qui est lui est à 9 minutes et on voit qu'elle était faite depuis depuis justement la chine avec s'adapte à ce type est donc là on voit qu'il ya une attaque ou un scan qui on continue sur assure mais sur les instances qui sont sur google vous voyez donc là c'est une attaque que je ne va pas simulé qui est arrivé il ya neuf minutes donc juste pendant notre présentation qui nous permet de voir dans est ce qui se passe sur guardiola voilà je vous invite à voir il ya un ensemble de deux informations qui sont définis dont vous pouvez aussi la voir le format du finding donc cela c'est le fromage john key et qui ont envoyé par par guardiola pour vous permettre justement de lire ce qui se passe au niveau de ward utile on a un possibilité de voir ça vous pouvez avoir un compte voire plusieurs comptes sur un but vs a malheureusement bien d'être déconnecté ça tombe bien on va se d'acter la jutice voyez le hénaff a et g 1 mafa logique up qui me permet de me connecter et j'ai même ce qui prouve que j'ai une politique de sécurité derrière c'est bien donc quand on fait des démos à de ce type là on a la possibilité de pré voilà donc voilà je reviens sur guardiola store voir duty on a la possibilité de voir cet ensemble de finding de ses mulets defining si on va sur des sur des comptes on a la possibilité d'ajouter des comptes dans votre organisation d'avoir un seul compte master qui vous permettra justement d'avoir une vue globale dans un camp de sécurité comme on l'a vu au début de la présentation ce qui est intéressant c'est justement d'avoir cet ensemble de vue de tous les deux tout les comptes et on va voir un deuxième service sécurité autre que je vous ai aussi présente et qui ont prévu un béti de peut-être utilisé pour son pour ceux qui ont déjà un des contrats de bouder ce sécurité et hop c'est votre dashboard unifiée on que vous avez à voir sur adobuzz donc c'est un dashboard unifié que vous pouvez utiliser sur adverse qui permet de récupérer des cds locke des services de sécurité comme boire du thé inspecteurs messi ou des partenaires externes qui a partenaires sécurité qui sont sur un ps que je vous montrerai justement par la suite voilà vous avez cette vue là on va avoir un certain nombre de failles ning a cédé top insight donc c'est en bus que vous avez sur serein sur votre compte sur mon compte la voyez tout ce qui est gloire du tim spector et les autres profondeur un point très important s'essayait ce qui est un standard qui les proposait qui est un benchmark qui est proposée par une pâle par l'organisation à qui permet justement de vérifier d'un point de vue rapide les best practice la cité dès le début donc en fin de compte route on parle de d'activer la mefa non pas justement de rotation de moi passons pas de de la politique de mots de passe ainsi de suite donc là vous voyez d'un point de vue d'un seul point de vue avait là l'axé vous avez l'ensemble des des services qui sont complètes ou pas justement qu'ils sont cons tête ou pas par rapport à votre à votre usage et donc à partir de là vous prenez des actions par rapport à cela vous avez la possibilité de le faire donc là vous voyez l'ensemble des camps qui sont pas forcément complète et qui vous permettent justement de lire et de les appliquer sur votre compte sur plusieurs contres là aussi vous avez la possibilité d'avoir une vue sur plusieurs comptes donc voilà donc vous avez la possibilité de le faire d'agréger c'est contre la ici d'avoir des inside donc de créer vous-même defining de créer vous même votre dashboard par rapport à ce que vous souhaitez voir sur sur ce thème c'est intéressant parce que à partir de là vous avez une seule vue unifiée tout le monde on voit les log dont le même format fini d'avoir des formats différents et à partir de là vous pouvez l'utiliser sur diverses donc là on a la possibilité de faire je vous montre rapidement la fin différents provide les autres partenaires de sécurité adverse vous voyez donc il ya déjà les services de sécurité un tu seras tu baisse et ensuite vous savez d'autres fournisseurs de sécurité que vous connaissez par ailleurs qui sont ici à l'écran que vous pouvez à auxquelles vous pouvez souscrire et justement recevoir les informations directement depuis depuis depuis lors depuis ses services sur un noir du team donc voilà une présentation rapide de sécurité web et 2 et 2 guardian alors pour finir justement on a un nom sont deux services de sécurité j'aimerais bien passer à la partie c'est que la partie questions réponses on a un ensemble de services de sécurité sur adoubuzz donc on a parlé de quelques-uns mais sachez qu'il ya un ensemble assez intéressant pour vous pour pouvoir les utiliser par la suite bien sûr je finis par les partenaires que vous avez vu rapidement sur boire du thé on a pas mal d'autres que vous pouvez trouver sur la marque et de tcw est-ce qui vous permettent de justement utiliser ses services à la demande dont l'esprit club et d'avoir une seule facture à la fin du moins pour un emploi pour avoir juste une vue qui unifie merci pour votre écoute maintenant place aux questions alors alors à première caisse best practice en termes de sécurité l'ordre la mise en oeuvre de vpc avec un cloud privé donc on l'a vu justement pendant la présentation je sais pas s'il ya qu'ils sont et avant ou après ma présentation mais l'idée comme on l'a vu c'est de définir votre réseau d'une manière avoir une topologie réseau qui ne valait pas avec vos adresses ip si vous êtes en prime si vous avez une connectivité avec data center ne voit on pas avoir d'eau vers la pink d'avoir une politique de l'adressage ip qui soit on va dire réfléchir dès le départ qu'ils soient pas trop petit que soi pas trop grand comme ça ça vous permet de dont l'ensemble des pc vous avez créé sur radio est d'avoir vous poétique dip est intéressante ensuite de créer des sous-réseaux donc on a dit des sous-réseaux public des sources privées des sous-réseaux qui n'ont pas accès sur internet de ceux qui ont accès sur internet d'appliquer des règles de failles rôle anna cl states pour les trafics entre les différents semaine est d'avoir des sécurités et groupe donc ça c'est quelques best practice et de la documentation sachez qu'on aura les questions on va essayer de répondre à quelques-unes pour aller plus loin on va prendre les questions et on va essayer de vous répondre par la suite directement par mail comme ça je vous envoie à sète une réponse avec un lien vers la documentation alors trouver de bonnes dock pour mettre place correctement sur la documentation des glaces et je vous enverrai sur la documentation à degouve s et des blocs poste est-ce que je vous invite aussi à voir je vous envoie aussi c'est donc là alors quelle quelle est la méthode de tarification pour gloire du titre alors d'une manière générale toutes les tarifications des mauvaises sont sont sur rade vives sont sur la documentation indigo est donc vous avez la possibilité d'avoir pour chaque service les prix associés pour boire d'outils ça va être malade il analyse de l'ofppt réclament trail de l'analyse de log réseau et l'analyse de l'ocs dns donc à partir de là ça va être la volumétrie des log qu'on va analyser d'accord donc vous avez la possibilité justement d'avoir trente jours que vous pouvez essayer guardi pour voir effectivement quelle est la volumétrie qui a et donc pour prévoir par rapport à suite et je vous ai justement à les voir là la tarification sur un nouvel art quid de la possibilité de chiffrer un route volume que c'est de lui il est possible de chiffrer un volume réseau info une route sur ec2 si on pas nativement sera dit mais s'il faut partir d'une a émis ou amazon machine image qui est chiffrée et à partir de ça le root voulions on peut le chiffrer donc il faut que l'année soit chiffré pour que le root volumes soient chiffrées alors on aura je prends une dernière question alors merci pour ouahbi n'en ou peut-on trouver oui alors on va vous partagez la présentation et on va vous partager aussi l'enregistrement de la présentation comme ça vous pouvez le revoir à tête reposée et de revoir les différentes actions convient de citer donc voila merci il n'y a pas mal pas mal de questions je vous remercie pour votre écoute je vais on va essayer de répondre à ces questions là et vous aurez les réponses et les liens quand il s'agit de liens merci encore et bonne journée


One thought on “Webinaires sécurité AWS : Sécurisez votre architecture de A à Z

  1. bon contenu overview de la sécurité sur aws en fr et quelques bonnes pratiques, par contre je me suis endormi ton trop monotone ou pas assez d'action.

Leave a Reply

Your email address will not be published. Required fields are marked *