SlideShare une entreprise Scribd logo
1  sur  11
IaaS, PaaS :
Sécuriser ses données et flux
Matthieu Klotz
Un peu de contexte : GPDR et Fuite de données
Le réglement européen sur la protection des données arrive bientôt :
25 mai 2018
Pour l’IT, cela implique :
• Secure & Privacy by Design :
les exigences relatives à la sécurité doivent être prise en compte dès
le début du projet
La donnée : c’est de l’argent.
Nous assistons à de nouvelles vagues d’attaques :
• Récupération des données à des fins de reventes
• Mise en place de rançons
Un use case pas si simple
Une entreprise X veut fournir de la BI sur ses ventes à ses commerciaux.
Ses ventes représente un volume de 3 millions de transactions / jour sur différents
produits.
Ces données contiennent :
• Des données personnelles (nom, prénom, numéro de dossier, etc…)
• Des informations sur la commande
Les données initiales sont stockées On-Prem, le calcul se fera sur Azure.
On-Premise
Datacenter
Ingestion des
données
Data Lake
Store
VM de Calcul
Résultats
Logs
Fichiers
Attachés
Un use case pas si simple : architecture
Sécuriser les accès au PaaS : NVA
Nous souhaitons bloquer les accès publics au Data Lake Store, active le
firewall pour ne permettre que les VMs d’y accéder mais nous ne
souhaitons pas active des IP publiques pour chaque VM.
La solution : Network Virtual Appliance (Checkpoint, Palo Alto, etc…)
Ingestion des
données
VM de Calcul
Data Lake Store
Sécuriser dans le PaaS : Data Lake Store
Trois techniques à appliquer :
• Firewall : Autoriser que les IP des NVAs
• Les Access Control List pour l’accés aux données :
• Donner à chaque appli (ingestion et calcul) des Services Principals
• Ingestion : droit de Write
• Calcul : droit de Read
• Cryptage des données par certificat
Service Endpoint
Azure Storage et SQL Database sont par défaut exposés sur Internet.
Comment y bloquer cet accès public et n’y autoriser que mes VMs ? Les Services Endpoints
Services Endpoints :
• Connecte les services PaaS à votre virtual network
• Bloque l’accès internet à ces ressources
• Monte un tunneling entre votre VNET et vos ressources
Service Tags & NSGs Augmented Rules
Par défaut, les NSGs autorisent l’outbound internet.
Afin d’éviter les fuites de données, nous bloquons l’outbound internet.
Comment accéder à Application Insights ? Les Services Tags ou NSG Augmented Rules
Services Tags :
• Apporte de la simplicité sur les règles NSGs : Permet d’autoriser ou pas l’accès vers des Services
Azure spécifiques
• Tout les services ne sont pas encore disponibles
NSG Augmented Rules :
• Simplifie la gestion des règles NSGs :
• Avant : Une IP (ou range) = Une règle
• Avec les Augmented Rules : Une règle = plusieurs Ips ou Range
Usage des NSG
VM de Calcul
Résultats
Logs
Fichiers
Attachés
Sur notre projet :
• Service Endpoints : usage sur storage & SQL
• Service Tags : usage sur storage & sql
• Augmented Rules :
• Ajouter l’ensemble des IPs Azure dans une règle
On-Premise
Datacenter
Ingestion des
données
Data Lake
Store
VM de Calcul
Résultats
Logs
Fichiers
Attachés
Un use case pas si simple : architecture finale
?

Contenu connexe

Similaire à IaaS, PaaS : comment sécuriser ses flux

Session en ligne: Découverte du Logical Data Fabric & Data Virtualization
Session en ligne: Découverte du Logical Data Fabric & Data VirtualizationSession en ligne: Découverte du Logical Data Fabric & Data Virtualization
Session en ligne: Découverte du Logical Data Fabric & Data Virtualization
Denodo
 
Bluemix Paris Meetup : Big data et Analytics - 15 avril 2015
Bluemix Paris Meetup :  Big data et Analytics - 15 avril 2015Bluemix Paris Meetup :  Big data et Analytics - 15 avril 2015
Bluemix Paris Meetup : Big data et Analytics - 15 avril 2015
IBM France Lab
 
Comment intégrer windows azure dans mon système d'information
Comment intégrer windows azure dans mon système d'informationComment intégrer windows azure dans mon système d'information
Comment intégrer windows azure dans mon système d'information
Microsoft Technet France
 
IBM Bluemix Paris meetup - Big Data & Analytics dans le Cloud - Epitech- 2016...
IBM Bluemix Paris meetup - Big Data & Analytics dans le Cloud - Epitech- 2016...IBM Bluemix Paris meetup - Big Data & Analytics dans le Cloud - Epitech- 2016...
IBM Bluemix Paris meetup - Big Data & Analytics dans le Cloud - Epitech- 2016...
IBM France Lab
 
Introduction au cloud computing
Introduction au cloud computingIntroduction au cloud computing
Introduction au cloud computing
Stéphane Traumat
 
Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...
Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...
Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...
Denodo
 

Similaire à IaaS, PaaS : comment sécuriser ses flux (20)

Flowspec contre les attaques DDoS : l'expérience danoise
Flowspec contre les attaques DDoS : l'expérience danoiseFlowspec contre les attaques DDoS : l'expérience danoise
Flowspec contre les attaques DDoS : l'expérience danoise
 
Discovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDiscovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data Virtualization
 
Session en ligne: Découverte du Logical Data Fabric & Data Virtualization
Session en ligne: Découverte du Logical Data Fabric & Data VirtualizationSession en ligne: Découverte du Logical Data Fabric & Data Virtualization
Session en ligne: Découverte du Logical Data Fabric & Data Virtualization
 
Livre blanc data-lakes converteo 2018
Livre blanc data-lakes converteo 2018Livre blanc data-lakes converteo 2018
Livre blanc data-lakes converteo 2018
 
Discovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDiscovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data Virtualization
 
Introduction à la big data v3
Introduction à la big data v3 Introduction à la big data v3
Introduction à la big data v3
 
Offrir de l'analytique en temps réel en un clic
Offrir de l'analytique en temps réel en un clicOffrir de l'analytique en temps réel en un clic
Offrir de l'analytique en temps réel en un clic
 
Présentation evénement AWS - 13 oct 2015
Présentation evénement AWS  - 13 oct 2015 Présentation evénement AWS  - 13 oct 2015
Présentation evénement AWS - 13 oct 2015
 
Réinventez votre stratégie de données en 2021 avec la Data Virtualization
Réinventez votre stratégie de données en 2021 avec la Data VirtualizationRéinventez votre stratégie de données en 2021 avec la Data Virtualization
Réinventez votre stratégie de données en 2021 avec la Data Virtualization
 
Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2
Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2
Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2
 
Exadays cloud – Enjeux et Transformation du SI
Exadays   cloud – Enjeux et Transformation du SIExadays   cloud – Enjeux et Transformation du SI
Exadays cloud – Enjeux et Transformation du SI
 
Bluemix Paris Meetup : Big data et Analytics - 15 avril 2015
Bluemix Paris Meetup :  Big data et Analytics - 15 avril 2015Bluemix Paris Meetup :  Big data et Analytics - 15 avril 2015
Bluemix Paris Meetup : Big data et Analytics - 15 avril 2015
 
Comment intégrer windows azure dans mon système d'information
Comment intégrer windows azure dans mon système d'informationComment intégrer windows azure dans mon système d'information
Comment intégrer windows azure dans mon système d'information
 
Cloud computing et les entreprises
Cloud computing et les entreprisesCloud computing et les entreprises
Cloud computing et les entreprises
 
Track 2 - Atelier 1 - Big data analytics présenté avec Intel
Track 2 - Atelier 1 - Big data analytics présenté avec IntelTrack 2 - Atelier 1 - Big data analytics présenté avec Intel
Track 2 - Atelier 1 - Big data analytics présenté avec Intel
 
IBM Bluemix Paris meetup - Big Data & Analytics dans le Cloud - Epitech- 2016...
IBM Bluemix Paris meetup - Big Data & Analytics dans le Cloud - Epitech- 2016...IBM Bluemix Paris meetup - Big Data & Analytics dans le Cloud - Epitech- 2016...
IBM Bluemix Paris meetup - Big Data & Analytics dans le Cloud - Epitech- 2016...
 
Introduction au cloud computing
Introduction au cloud computingIntroduction au cloud computing
Introduction au cloud computing
 
IOT-1.pdf
IOT-1.pdfIOT-1.pdf
IOT-1.pdf
 
La sécurité avec SQL Server 2012
La sécurité avec SQL Server 2012La sécurité avec SQL Server 2012
La sécurité avec SQL Server 2012
 
Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...
Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...
Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...
 

IaaS, PaaS : comment sécuriser ses flux

  • 1. IaaS, PaaS : Sécuriser ses données et flux Matthieu Klotz
  • 2. Un peu de contexte : GPDR et Fuite de données Le réglement européen sur la protection des données arrive bientôt : 25 mai 2018 Pour l’IT, cela implique : • Secure & Privacy by Design : les exigences relatives à la sécurité doivent être prise en compte dès le début du projet La donnée : c’est de l’argent. Nous assistons à de nouvelles vagues d’attaques : • Récupération des données à des fins de reventes • Mise en place de rançons
  • 3. Un use case pas si simple Une entreprise X veut fournir de la BI sur ses ventes à ses commerciaux. Ses ventes représente un volume de 3 millions de transactions / jour sur différents produits. Ces données contiennent : • Des données personnelles (nom, prénom, numéro de dossier, etc…) • Des informations sur la commande Les données initiales sont stockées On-Prem, le calcul se fera sur Azure.
  • 4. On-Premise Datacenter Ingestion des données Data Lake Store VM de Calcul Résultats Logs Fichiers Attachés Un use case pas si simple : architecture
  • 5. Sécuriser les accès au PaaS : NVA Nous souhaitons bloquer les accès publics au Data Lake Store, active le firewall pour ne permettre que les VMs d’y accéder mais nous ne souhaitons pas active des IP publiques pour chaque VM. La solution : Network Virtual Appliance (Checkpoint, Palo Alto, etc…) Ingestion des données VM de Calcul Data Lake Store
  • 6. Sécuriser dans le PaaS : Data Lake Store Trois techniques à appliquer : • Firewall : Autoriser que les IP des NVAs • Les Access Control List pour l’accés aux données : • Donner à chaque appli (ingestion et calcul) des Services Principals • Ingestion : droit de Write • Calcul : droit de Read • Cryptage des données par certificat
  • 7. Service Endpoint Azure Storage et SQL Database sont par défaut exposés sur Internet. Comment y bloquer cet accès public et n’y autoriser que mes VMs ? Les Services Endpoints Services Endpoints : • Connecte les services PaaS à votre virtual network • Bloque l’accès internet à ces ressources • Monte un tunneling entre votre VNET et vos ressources
  • 8. Service Tags & NSGs Augmented Rules Par défaut, les NSGs autorisent l’outbound internet. Afin d’éviter les fuites de données, nous bloquons l’outbound internet. Comment accéder à Application Insights ? Les Services Tags ou NSG Augmented Rules Services Tags : • Apporte de la simplicité sur les règles NSGs : Permet d’autoriser ou pas l’accès vers des Services Azure spécifiques • Tout les services ne sont pas encore disponibles NSG Augmented Rules : • Simplifie la gestion des règles NSGs : • Avant : Une IP (ou range) = Une règle • Avec les Augmented Rules : Une règle = plusieurs Ips ou Range
  • 9. Usage des NSG VM de Calcul Résultats Logs Fichiers Attachés Sur notre projet : • Service Endpoints : usage sur storage & SQL • Service Tags : usage sur storage & sql • Augmented Rules : • Ajouter l’ensemble des IPs Azure dans une règle
  • 10. On-Premise Datacenter Ingestion des données Data Lake Store VM de Calcul Résultats Logs Fichiers Attachés Un use case pas si simple : architecture finale
  • 11. ?