SEC310
Azure IaaS : concevoir une architecture
sécurisée en tirant bénéfice des
nouveautés
René Jaouen – Thales e-security...
tech.days 2015#mstechdays
tech days•
2015
#mstechdays techdays.microsoft.fr
La plateforme de Cloud Public
• Microsoft Azure, un ensemble de data centers à travers le monde.
• Le client sélectionne d...
Azure ADVMs
Cloud Svcs
Remote App
Multi-factor
Auth
Virtual N/W
Express
Route
Traffic
Manager
Blobs
Tables
Operational
Ins...
Risques qu’un fournisseur
Cloud peut aider à réduire
Risques partagés
Risques qu’un client doit gérer
Data governance &
ri...
http://www.microsoft.com/en-us/server-cloud/roadmap
tech days•
2015
#mstechdays techdays.microsoft.fr
Antivirus/antimalware dans Azure
La responsabilité est partagée entre Microsoft et les utilisateurs Azure
AZURE
• Réalise ...
•
•
•
•
•
•
•
www.cloudlinktech.com/azure
tech days•
2015
#mstechdays techdays.microsoft.fr
Operational Insights
• Centralisation et corrélation de
logs en provenance des
machines virtuelles
• Recherche et analyses
prédictives sur ces ...
Supervision Opérationnelle et prédictive des logs de machines virtuelles
Microsoft Azure
Operational Insights Preview
Serv...
• Antimalware
• Security
• Active Directory
• System Update
Operational Insights
Appli Mobile
VM Extensions Sécurité
tech days•
2015
#mstechdays techdays.microsoft.fr
Key Vault
Microsoft Azure
Microsoft Confidential
IaaS SaaSPaaS
Microsoft Azure
IaaS SaaSPaaS
Microsoft Confidential
Key Vault offre un moyen facile, abordable
pour protéger les clés et ...
KeyVault
Vos applications
Fournir à vos applications métiers un accès sécurisé aux clés pour signer
et chiffrer les donnée...
tech.days 2015#mstechdays
•
•
•
•
•
•
•
•
•
•
•
•
HSM
HSM
o Delivers High Performance / High Quality Key Generation
o Provides Certified Full Lifecycle Hardware Key Management
o Mi...
tech.days 2015#mstechdays
Microsoft Confidential
HSM
App
Propriétaire de la clé
Key Vault
Opérateur de l’App
Key Vault
Service
Azure Active
Directory
SQL Server
Admin
Operations
de sécurité
Auditeur
SQL Server
Connector
E
K
M
1. In...
tech.days 2015#mstechdays
tech.days 2015#mstechdaysTitre session pied de page
tech.days 2015#mstechdaysTitre session pied de page
tech.days 2015#mstechdaysTitre session pied de page
tech.days 2015#mstechdays
tech.days 2015#mstechdaysTitre session pied de page
Add-AzureKeyVaultKey -VaultName 'MyHSMKeyVault' –Name ‘SQLMasterKeyHW' –Destination 'HSM'
tech.days 2015#mstechdaysTitre session pied de page
Azure Key Vault + SQL
Server 2014
•
•
•
Extensible Key Management Using Azure Key Vault (SQL Server)
tech days•
2015
#mstechdays techdays.microsoft.fr
AzureVirtual Network
VPN
GW
FrontauxApplicationBackend
Internet
Connectivité vers
Mon réseau Privé
Connectivité
vers/depui...
AZURE
• Contrôle le trafic réseau en
provenance d’Internet
• Propose une configuration par
défaut autorisant uniquement
l’...
•
•
•
•
•
•
•
•
•
•
Virtual
Network
Backend
10.3/16
Mid-tier
10.2/16
Frontend
10.1/16
VPN
GW
Internet
On Premises 10.0/16
S2S
VPNs
Internet
Pr...
Filtrage Réseau
1.
New-AzureNetworkSecurityGroup -Name “Backend Policy" -Location europenorth -Label “NSG
pour controler la securite backe...
Jusqu’à 4 adresses IP par VM
Les multi adresses MAC et IP
des VMs sont persistantes
Les scénarios possibles en
multi NIC
V...
Implémentation réelle du
scénario « extension privée de
DataCenter sur Azure »
“Force” ou redirige le trafic
Internet des ...
tech days•
2015
#mstechdays techdays.microsoft.fr
tech.days 2015#mstechdays
Examen 70-532 Examen 70-533 Examen 70-534
tech.days 2015#mstechdays
© 2015 Microsoft Corporation. All rights reserved.
tech days•
2015
#mstechdays techdays.microsoft.fr
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouveautés
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouveautés
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouveautés
Prochain SlideShare
Chargement dans…5
×

Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouveautés

477 vues

Publié le

Panorama des fonctionnalités disponibles et des nouveautés dans Azure IaaS comme les groupes de sécurité réseau, la centralisation des événements de sécurité ou le nouveau service de protection Azure Key Vault en partenariat avec Thalès.

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
477
Sur SlideShare
0
Issues des intégrations
0
Intégrations
6
Actions
Partages
0
Téléchargements
26
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouveautés

  1. 1. SEC310 Azure IaaS : concevoir une architecture sécurisée en tirant bénéfice des nouveautés René Jaouen – Thales e-security Arnaud Jumelet – Microsoft France Stéphane Woillez – Microsoft France
  2. 2. tech.days 2015#mstechdays
  3. 3. tech days• 2015 #mstechdays techdays.microsoft.fr
  4. 4. La plateforme de Cloud Public • Microsoft Azure, un ensemble de data centers à travers le monde. • Le client sélectionne des ressources et des services dans la ou les régions de son choix. US US US US Europe Europe AsieAsieAsieAsie AustralieBrésil
  5. 5. Azure ADVMs Cloud Svcs Remote App Multi-factor Auth Virtual N/W Express Route Traffic Manager Blobs Tables Operational Insights Key Vault HDInsight Media Scheduler Backup StorSimple Media Machine Learning Websites Mobile SQL Azure Visual Studio BizTalk Cache Hybrid Notification Hub Service Bus … VM Extensions
  6. 6. Risques qu’un fournisseur Cloud peut aider à réduire Risques partagés Risques qu’un client doit gérer Data governance & rights management Responsibility On prem IaaS PaaS SaaS Client end-points Account & access management Identity & directory infrastructure Application Network controls Operating system Physical network Physical datacenter CustomerMicrosoft Physical hosts
  7. 7. http://www.microsoft.com/en-us/server-cloud/roadmap
  8. 8. tech days• 2015 #mstechdays techdays.microsoft.fr
  9. 9. Antivirus/antimalware dans Azure La responsabilité est partagée entre Microsoft et les utilisateurs Azure AZURE • Réalise la supervision et la gestion des alertes anti malware au niveau de la plateforme • Propose la protection antimalwares des VM, et le scan à la demande via les extensions de machines virtuelles UTILISATEURS • Installe et configure l’anti malware de Microsoft ou d’un partenaire • Extrait les événements vers un outil de centralisation • Supervise les alertes associées aux machines virtuelles • Réagit aux alertes relevées Azure Storage Customer Admin Guest VM Cloud Services Customer VMs Portal SMAPI Guest VM Enable & configure antimalware Events Extract Antimalware Health Events to SIEM or other Reporting System Event ID Computer Event Description Severity DateTime 1150 Machine1 Client in Healthy State 4 04/29/2014 2002 Machine2 Signature Updated Successfully 4 04/29/2014 5007 Machine3 Configuration Applied 4 04/29/2014 1116 Machine2 Malware Detected 1 04/29/2014 1117 Machine2 Malware Removed 1 04/29/2014 SIEM Admin View Alerting & reporting Microsoft Azure
  10. 10. • • • • • • • www.cloudlinktech.com/azure
  11. 11. tech days• 2015 #mstechdays techdays.microsoft.fr Operational Insights
  12. 12. • Centralisation et corrélation de logs en provenance des machines virtuelles • Recherche et analyses prédictives sur ces logs • Pack d’intelligence pour faciliter la supervision • Intégration avec System Center Operations Manager
  13. 13. Supervision Opérationnelle et prédictive des logs de machines virtuelles Microsoft Azure Operational Insights Preview Serveurs connectés à SCOM Windows & Linux Windows & Linux Serveurs connectés en direct VMs Azure Event Logs | Logs IIS | Logs Sécurité Performances | Syslog | & plus… Données Machines Log Management Sources de données multiples Contexte opérationnel Audits système Prévisions de capacité Gestion du changement Supervision de l’identité Intégration System Center
  14. 14. • Antimalware • Security • Active Directory • System Update
  15. 15. Operational Insights Appli Mobile VM Extensions Sécurité
  16. 16. tech days• 2015 #mstechdays techdays.microsoft.fr Key Vault
  17. 17. Microsoft Azure Microsoft Confidential IaaS SaaSPaaS
  18. 18. Microsoft Azure IaaS SaaSPaaS Microsoft Confidential Key Vault offre un moyen facile, abordable pour protéger les clés et les autres secrets utilisés par les applications cloud à l'aide de boitiers HSMs. Importer clés HSM KeyVault
  19. 19. KeyVault Vos applications Fournir à vos applications métiers un accès sécurisé aux clés pour signer et chiffrer les données. SQL Server Mettre en œuvre et gérer des clés pour SQL Server à demeure ou sous forme de machines virtuelles dans le Cloud avec Transparent Data Encryption (TDE), Column Level Encryption (CLE) et les sauvegardes Machines virtuelles Chiffrer les données des disques OS et DATA des machines virtuelles Azure Chiffrer les certificats utilisés par les machines virtuelles Azure pour plus de sécurité
  20. 20. tech.days 2015#mstechdays
  21. 21. • • • • • • •
  22. 22. • • • • •
  23. 23. HSM HSM
  24. 24. o Delivers High Performance / High Quality Key Generation o Provides Certified Full Lifecycle Hardware Key Management o Mitigates Risks Of Non-Compliance With Regulatory Mandates o Facilitates Security Auditing Taking Systems Out Of Scope o Maintains Your Control Of Key Protecting Your Tenant Key o Ensures Control Over The Security Of Your Data Enables You to Use The Cloud With Confidence!
  25. 25. tech.days 2015#mstechdays
  26. 26. Microsoft Confidential HSM App Propriétaire de la clé Key Vault Opérateur de l’App
  27. 27. Key Vault Service Azure Active Directory SQL Server Admin Operations de sécurité Auditeur SQL Server Connector E K M 1. Inscrit l’instance SQL Server dans Azure AD 2a. Créer le Vault 2b. Créer la clé 2c. Autoriser l’accès au Vault à SQL Server 4. Authentification 3. Configurer le chiffrement SQL Server 5. Protection des clefs 6. Auditer l’utilisation des clés (bientôt) • SQL Server 2014 RTM Enterprise • SQL Server 2012 SP2 Enterprise • SQL Server 2012 SP1 CU6 Enterprise • SQL Server 2008 R2 SP2 CU8 Enterprise
  28. 28. tech.days 2015#mstechdays
  29. 29. tech.days 2015#mstechdaysTitre session pied de page
  30. 30. tech.days 2015#mstechdaysTitre session pied de page
  31. 31. tech.days 2015#mstechdaysTitre session pied de page
  32. 32. tech.days 2015#mstechdays
  33. 33. tech.days 2015#mstechdaysTitre session pied de page
  34. 34. Add-AzureKeyVaultKey -VaultName 'MyHSMKeyVault' –Name ‘SQLMasterKeyHW' –Destination 'HSM'
  35. 35. tech.days 2015#mstechdaysTitre session pied de page
  36. 36. Azure Key Vault + SQL Server 2014
  37. 37. • • • Extensible Key Management Using Azure Key Vault (SQL Server)
  38. 38. tech days• 2015 #mstechdays techdays.microsoft.fr
  39. 39. AzureVirtual Network VPN GW FrontauxApplicationBackend Internet Connectivité vers Mon réseau Privé Connectivité vers/depuis Internet • IP Load-balancés ou directes • protection ACLs & DDoS • Traffic Manager • Support IaaS + PaaS • Topologies multi tiers • ACLs Réseau (Access Groups) • Connectivité multiple inter VNET • Connectivité VPN IPSec via Internet • Passerelles classiques et premium • Connectivité privée via Azure ExpressRoute
  40. 40. AZURE • Contrôle le trafic réseau en provenance d’Internet • Propose une configuration par défaut autorisant uniquement l’admin remote des serveurs • Implémente l’état de l’art de la protection anti DDOS • Exécute des tests de sécurité réguliers UTILISATEURS • Contrôlent le firewall de protections des services et VMs • Etablissent les liens de connectivité entre réseaux • Configurent les règles de filtrage réseau Customer 2 INTERNET Isolated Virtual Networks Customer 1 Isolated Virtual Network Deployment X Deployment X Deployment Y Portal Smart API Administration par l’utilisateur VNET to VNET Cloud Access Layer Web Endpoint (public access) RDP Endpoint (password access) Client Client VPN Corp 1 Microsoft Azure Portal SMAPI Protection et filtrage réseau La responsabilité est partagée entre Microsoft et les utilisateurs Azure
  41. 41. • • • • • • • • • •
  42. 42. Virtual Network Backend 10.3/16 Mid-tier 10.2/16 Frontend 10.1/16 VPN GW Internet On Premises 10.0/16 S2S VPNs Internet Priorité Source Src.Port Destination Dest. Port Protocol Accès 65000 * * * 80 TCP ALLOW 32000 * * * * TCP DENY
  43. 43. Filtrage Réseau
  44. 44. 1. New-AzureNetworkSecurityGroup -Name “Backend Policy" -Location europenorth -Label “NSG pour controler la securite backend" 2. Get-AzureNetworkSecurityGroup -Name "MyVNetSG" | Set-AzureNetworkSecurityRule -Name WEB -Type Inbound -Priority 100 -Action Allow -SourceAddressPrefix 'INTERNET' - SourcePortRange '*' -DestinationAddressPrefix '*' -DestinationPortRange '*' -Protocol TCP 3. Get-AzureVM -ServiceName "MyWebsite" -Name "Instance1" | Set- AzureNetworkSecurityGroupConfig -NetworkSecurityGroupName "MyVNetSG" | Update- AzureVM Get-AzureNetworkSecurityGroup -Name "MyVNetSG" | Set- AzureNetworkSecurityGroupToSubnet -VirtualNetworkName 'VNetUSWest' -SubnetName 'FrontEndSubnet' Virtual Network DB-Tier 10.1.3/24 App-tier 10.1.2/24 Web-Tier 10.1.1/24 Internet Internet Ressource : https://msdn.microsoft.com/en-us/library/azure/dn848316.aspx
  45. 45. Jusqu’à 4 adresses IP par VM Les multi adresses MAC et IP des VMs sont persistantes Les scénarios possibles en multi NIC Virtual Appliances Séparation des types de trafic réseau Implémentation de Firewalls spécifiques Analyse des flux réseau Azure Virtual Machine NIC2 NIC1 Default Azure Virtual Network Frontend Subnet App Subnet Backend Subnet Internet 10.2.2.2210.2.3.33 10.2.1.11 VIP: 133.44.55.66 Add-AzureNetworkInterfaceConfig -Name "Ethernet1" -SubnetName "Midtier" -StaticVNetIPAddress "10.1.1.11" -VM $vm Add-AzureNetworkInterfaceConfig -Name "Ethernet2" -SubnetName "Backend" -StaticVNetIPAddress "10.1.2.22" -VM $vm
  46. 46. Implémentation réelle du scénario « extension privée de DataCenter sur Azure » “Force” ou redirige le trafic Internet des VMs Azure vers le réseau privé, au travers d’ExpressRoute Permet le contrôle et l’analyse du traffic internet des VMs Azure par les outils habituels des utilisateurs Virtual Network Backend 10.3/16 Mid-tier 10.2/16 Frontend 10.1/16 VPN GW Internet On Premises S2S VPNs Forced Tunneled via S2S VPN Internet
  47. 47. tech days• 2015 #mstechdays techdays.microsoft.fr
  48. 48. tech.days 2015#mstechdays Examen 70-532 Examen 70-533 Examen 70-534
  49. 49. tech.days 2015#mstechdays
  50. 50. © 2015 Microsoft Corporation. All rights reserved. tech days• 2015 #mstechdays techdays.microsoft.fr

×