Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouveautés

1. SEC310 Azure IaaS : concevoir une architecture sécurisée en tirant bénéfice des nouveautés René Jaouen – Thales e-security Arnaud Jumelet – Microsoft France Stéphane Woillez – Microsoft France

2. tech.days 2015#mstechdays

3. tech days• 2015 #mstechdays techdays.microsoft.fr

4. La plateforme de Cloud Public • Microsoft Azure, un ensemble de data centers à travers le monde. • Le client sélectionne des ressources et des services dans la ou les régions de son choix. US US US US Europe Europe AsieAsieAsieAsie AustralieBrésil

5. Azure ADVMs Cloud Svcs Remote App Multi-factor Auth Virtual N/W Express Route Traffic Manager Blobs Tables Operational Insights Key Vault HDInsight Media Scheduler Backup StorSimple Media Machine Learning Websites Mobile SQL Azure Visual Studio BizTalk Cache Hybrid Notification Hub Service Bus … VM Extensions

6. Risques qu’un fournisseur Cloud peut aider à réduire Risques partagés Risques qu’un client doit gérer Data governance & rights management Responsibility On prem IaaS PaaS SaaS Client end-points Account & access management Identity & directory infrastructure Application Network controls Operating system Physical network Physical datacenter CustomerMicrosoft Physical hosts

7. http://www.microsoft.com/en-us/server-cloud/roadmap

10. Antivirus/antimalware dans Azure La responsabilité est partagée entre Microsoft et les utilisateurs Azure AZURE • Réalise la supervision et la gestion des alertes anti malware au niveau de la plateforme • Propose la protection antimalwares des VM, et le scan à la demande via les extensions de machines virtuelles UTILISATEURS • Installe et configure l’anti malware de Microsoft ou d’un partenaire • Extrait les événements vers un outil de centralisation • Supervise les alertes associées aux machines virtuelles • Réagit aux alertes relevées Azure Storage Customer Admin Guest VM Cloud Services Customer VMs Portal SMAPI Guest VM Enable & configure antimalware Events Extract Antimalware Health Events to SIEM or other Reporting System Event ID Computer Event Description Severity DateTime 1150 Machine1 Client in Healthy State 4 04/29/2014 2002 Machine2 Signature Updated Successfully 4 04/29/2014 5007 Machine3 Configuration Applied 4 04/29/2014 1116 Machine2 Malware Detected 1 04/29/2014 1117 Machine2 Malware Removed 1 04/29/2014 SIEM Admin View Alerting & reporting Microsoft Azure

12. • • • • • • • www.cloudlinktech.com/azure

13. tech days• 2015 #mstechdays techdays.microsoft.fr Operational Insights

14. • Centralisation et corrélation de logs en provenance des machines virtuelles • Recherche et analyses prédictives sur ces logs • Pack d’intelligence pour faciliter la supervision • Intégration avec System Center Operations Manager

15. Supervision Opérationnelle et prédictive des logs de machines virtuelles Microsoft Azure Operational Insights Preview Serveurs connectés à SCOM Windows & Linux Windows & Linux Serveurs connectés en direct VMs Azure Event Logs | Logs IIS | Logs Sécurité Performances | Syslog | & plus… Données Machines Log Management Sources de données multiples Contexte opérationnel Audits système Prévisions de capacité Gestion du changement Supervision de l’identité Intégration System Center

16. • Antimalware • Security • Active Directory • System Update

18. Operational Insights Appli Mobile VM Extensions Sécurité

19. tech days• 2015 #mstechdays techdays.microsoft.fr Key Vault

20. Microsoft Azure Microsoft Confidential IaaS SaaSPaaS

21. Microsoft Azure IaaS SaaSPaaS Microsoft Confidential Key Vault offre un moyen facile, abordable pour protéger les clés et les autres secrets utilisés par les applications cloud à l'aide de boitiers HSMs. Importer clés HSM KeyVault

22. KeyVault Vos applications Fournir à vos applications métiers un accès sécurisé aux clés pour signer et chiffrer les données. SQL Server Mettre en œuvre et gérer des clés pour SQL Server à demeure ou sous forme de machines virtuelles dans le Cloud avec Transparent Data Encryption (TDE), Column Level Encryption (CLE) et les sauvegardes Machines virtuelles Chiffrer les données des disques OS et DATA des machines virtuelles Azure Chiffrer les certificats utilisés par les machines virtuelles Azure pour plus de sécurité

24. • • • • • • •

25. • • • • •

26. HSM HSM

27. o Delivers High Performance / High Quality Key Generation o Provides Certified Full Lifecycle Hardware Key Management o Mitigates Risks Of Non-Compliance With Regulatory Mandates o Facilitates Security Auditing Taking Systems Out Of Scope o Maintains Your Control Of Key Protecting Your Tenant Key o Ensures Control Over The Security Of Your Data Enables You to Use The Cloud With Confidence!

29. Microsoft Confidential HSM App Propriétaire de la clé Key Vault Opérateur de l’App

30. Key Vault Service Azure Active Directory SQL Server Admin Operations de sécurité Auditeur SQL Server Connector E K M 1. Inscrit l’instance SQL Server dans Azure AD 2a. Créer le Vault 2b. Créer la clé 2c. Autoriser l’accès au Vault à SQL Server 4. Authentification 3. Configurer le chiffrement SQL Server 5. Protection des clefs 6. Auditer l’utilisation des clés (bientôt) • SQL Server 2014 RTM Enterprise • SQL Server 2012 SP2 Enterprise • SQL Server 2012 SP1 CU6 Enterprise • SQL Server 2008 R2 SP2 CU8 Enterprise

32. tech.days 2015#mstechdaysTitre session pied de page

37. Add-AzureKeyVaultKey -VaultName 'MyHSMKeyVault' –Name ‘SQLMasterKeyHW' –Destination 'HSM'

39. Azure Key Vault + SQL Server 2014

40. • • • Extensible Key Management Using Azure Key Vault (SQL Server)

42. AzureVirtual Network VPN GW FrontauxApplicationBackend Internet Connectivité vers Mon réseau Privé Connectivité vers/depuis Internet • IP Load-balancés ou directes • protection ACLs & DDoS • Traffic Manager • Support IaaS + PaaS • Topologies multi tiers • ACLs Réseau (Access Groups) • Connectivité multiple inter VNET • Connectivité VPN IPSec via Internet • Passerelles classiques et premium • Connectivité privée via Azure ExpressRoute

43. AZURE • Contrôle le trafic réseau en provenance d’Internet • Propose une configuration par défaut autorisant uniquement l’admin remote des serveurs • Implémente l’état de l’art de la protection anti DDOS • Exécute des tests de sécurité réguliers UTILISATEURS • Contrôlent le firewall de protections des services et VMs • Etablissent les liens de connectivité entre réseaux • Configurent les règles de filtrage réseau Customer 2 INTERNET Isolated Virtual Networks Customer 1 Isolated Virtual Network Deployment X Deployment X Deployment Y Portal Smart API Administration par l’utilisateur VNET to VNET Cloud Access Layer Web Endpoint (public access) RDP Endpoint (password access) Client Client VPN Corp 1 Microsoft Azure Portal SMAPI Protection et filtrage réseau La responsabilité est partagée entre Microsoft et les utilisateurs Azure

44. • • • • • • • • • •

45. Virtual Network Backend 10.3/16 Mid-tier 10.2/16 Frontend 10.1/16 VPN GW Internet On Premises 10.0/16 S2S VPNs Internet Priorité Source Src.Port Destination Dest. Port Protocol Accès 65000 * * * 80 TCP ALLOW 32000 * * * * TCP DENY

46. Filtrage Réseau

47. 1. New-AzureNetworkSecurityGroup -Name “Backend Policy" -Location europenorth -Label “NSG pour controler la securite backend" 2. Get-AzureNetworkSecurityGroup -Name "MyVNetSG" | Set-AzureNetworkSecurityRule -Name WEB -Type Inbound -Priority 100 -Action Allow -SourceAddressPrefix 'INTERNET' - SourcePortRange '*' -DestinationAddressPrefix '*' -DestinationPortRange '*' -Protocol TCP 3. Get-AzureVM -ServiceName "MyWebsite" -Name "Instance1" | Set- AzureNetworkSecurityGroupConfig -NetworkSecurityGroupName "MyVNetSG" | Update- AzureVM Get-AzureNetworkSecurityGroup -Name "MyVNetSG" | Set- AzureNetworkSecurityGroupToSubnet -VirtualNetworkName 'VNetUSWest' -SubnetName 'FrontEndSubnet' Virtual Network DB-Tier 10.1.3/24 App-tier 10.1.2/24 Web-Tier 10.1.1/24 Internet Internet Ressource : https://msdn.microsoft.com/en-us/library/azure/dn848316.aspx

48. Jusqu’à 4 adresses IP par VM Les multi adresses MAC et IP des VMs sont persistantes Les scénarios possibles en multi NIC Virtual Appliances Séparation des types de trafic réseau Implémentation de Firewalls spécifiques Analyse des flux réseau Azure Virtual Machine NIC2 NIC1 Default Azure Virtual Network Frontend Subnet App Subnet Backend Subnet Internet 10.2.2.2210.2.3.33 10.2.1.11 VIP: 133.44.55.66 Add-AzureNetworkInterfaceConfig -Name "Ethernet1" -SubnetName "Midtier" -StaticVNetIPAddress "10.1.1.11" -VM $vm Add-AzureNetworkInterfaceConfig -Name "Ethernet2" -SubnetName "Backend" -StaticVNetIPAddress "10.1.2.22" -VM $vm

49. Implémentation réelle du scénario « extension privée de DataCenter sur Azure » “Force” ou redirige le trafic Internet des VMs Azure vers le réseau privé, au travers d’ExpressRoute Permet le contrôle et l’analyse du traffic internet des VMs Azure par les outils habituels des utilisateurs Virtual Network Backend 10.3/16 Mid-tier 10.2/16 Frontend 10.1/16 VPN GW Internet On Premises S2S VPNs Forced Tunneled via S2S VPN Internet

51. tech.days 2015#mstechdays Examen 70-532 Examen 70-533 Examen 70-534

Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouveautés

Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouveautés

Recommandé

Contenu connexe

Tendances

Tendances(20)

En vedette

En vedette(20)

Similaire à Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouveautés

Similaire à Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouveautés(20)

Plus de Microsoft Décideurs IT

Plus de Microsoft Décideurs IT(20)

Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouveautés