Présentation donnée au cours des Assises de la Sécurité 2017 NBS System et Amazon Web Services réalisent un tour d’horizon des menaces et des doutes auxquels les clients font face sur le cloud AWS, avant d’expliquer comment s’en protéger.

1. AWS, sécurité et compliance :
fantasme vs réalité
Philippe Humeau – NBS System
Stephan Hadinger – Amazon Web Services

2. Peu d’innovation,
beaucoup
d’industrialisation
2
Le hacking :

3. Où en est on ?
Le trafic Web
d’origine non
humaine
61%
Fois par jour : le
nombre de scan d’une
IP sur Internet
50
Nombre d’attaques sur
la couche Web par an
5 000 000 000
Des compromissions
profondes partent de
la couche web
70%
3

4. Faire du neuf avec…
Les « classes » d’attaques n’ont pas réellement évolué
19941990
1996
1990
1996 2005
1974
1997
4

5. Alors pourquoi cette accélération ?
SURFACE !
Internet = 400 millions
d’utilisateurs
Internet = 4 millards
d’utilisateurs
2000 2017
5

6. Alors pourquoi cette accélération ?
DIFFICULTÉ !
• Overflow : des mois de R&D très complexe
• XSS / SQLi : quelques heures sur youtube
• Les outils sont là, connus, gratuits, tout comme les
tutos.
(Kali, Aircrack, Metasploit, etc.)
Et une génération “Digital Born” pour les utiliser.
6

7. Automatisation !
Alors pourquoi cette accélération ?
Secondes Minutes Heures Jours Semaines Mois Années
Temps entre le
lancement de
l’attaque et
l’intrusion
Temps avant
exfiltration de
données
11% 82% 6% <1% <1% <1% 0%
7% 20% 2.5% 68% <1% <1% 0%
Temps entre la
compromission
et la détection
0% 0% 0% 27% 24% 39% 9%
. . .
...
..
7

8. Ciblé vs Opportuniste
6
95%
Opportunistes
5%
Ciblées
Faille détectée par un scanner Web,
exploitable automatiquement en
quelques secondes, en général une
faille d’un framework utilisé sur le
site
Inacceptables
Attaque potentiellement sur toute
la surface exposée du client, par
de multiples vecteurs, incluant
de l’ingénierie sociale au besoin.
Dangereuses
$
$
8

9. The Fire « hole »
HTTP(s)
Attaques hors
HTTP(s)
Attaques sur
Filtrées
par le
firewall
5% 95%
Non filtrées
par le firewall
9

10. Où en est on ?
• 12 attaques > 100 Gbps en 2016 contre 5 en 2015
• Record homologué : 517 Gbps (Spike DDoS Botnet)
• 37 attaques par Miraï, en moyenne à 57 Gbps
• 5.5 Gbps : la taille moyenne d’une DDoS
Source : Digital attack map by Arbor networks
10

11. Où en est on ?
Qu’est ce qui mène à une perte de données sensibles ?
Source : Verizon Databreach report 2016
11

12. Mythes &
réalités
12
AWS et Big Brother :

13. Le cloud « privé » :
modèle de déploiement dans lequel les services de cloud sont utilisés
exclusivement par un seul client, qui en contrôle les ressources.
Un cloud privé peut être mis en œuvre soit par l’organisation à laquelle
appartient le client soit par un prestataire externe. Un cloud privé a
vocation à borner précisément ses limites et à restreindre l’accès à
ses services à une organisation unique.
Quels sont les bénéfices du cloud ?
Source : http://siaf.hypotheses.org/656
AWS
13

14. Mythes & réalités
6
AWS a accès à mes données
Mes données ne seront pas
localisées en France
Mes serveurs sont toujours
partagés avec
d’autres clients AWS
14

15. Ce que nous faisons pour vous
Sécurité DANS le cloud : GÉRÉ PAR NBS SYSTEM
Sécurité DU cloud : GÉRÉ PAR AWS
15

16. Localisation des données
16 Régions
44 Zones de disponibilité
82 Emplacements périphériques
16

17. Mythes & réalités
6
AWS a accès à mes données
Mes données ne seront pas
localisées en France
Mes serveurs sont toujours
partagés avec
d’autres clients AWS
Les clients contrôlent leur
contenu, les salariés AWS ne
sont pas autorisés à y accéder
Vous choisissez la Région où
vous stockez vos données,
AWS ne les déplace pas
AWS propose des « instances
dédiées » physiquement
isolées
17

18. Mythes & réalités
6
Agilité et sécurité sont
contradictoires
La règlementation m’empêche
d’aller dans le cloud
Le cloud ne me protège pas
contre les attaques DDoS
18

19. Comment concilier sécurité et agilité ?
DevSecOps
Page 3 of 433
• Comité ?
• Procédures ?
• Check-lists ?
“Security as code”
19

20. Protection des données personnelles
20

21. Protection native contre la plupart des DDoS
• 82 PoP CloudFront / Route53
• Filtrage natif de la plupart des
attaques volumétriques
• AWS WAF bloque dynamiquement
les requêtes illégitimes
• AWS Shield Advanced
Source: Arbor Networks
21

22. Mythes & réalités
6
Agilité et sécurité sont
contradictoires
La règlementation m’empêche
d’aller dans le cloud
Le cloud ne me protège pas
contre les attaques DDoS
DevSecOps : automatisation de
la sécurité
Tous les services AWS seront
conformes au règlement RGPD
lorsque celui-ci entrera en
vigueur, le 25 mai 2018
AWS propose AWS Shield, un
service de protection DDoS,
sans frais supplémentaire
22

23. …obsédés par
votre sécurité !
23
Deux partenaires…

24. Une autre approche
1
2
DDoS
Attaques
ciblées
Attaques
opportunistes
3
Les attaques ciblées sont
coûteuses pour l’attaquant
Les attaques opportunistes
sont simples et répétitives
Les DDoS sont une
compétition de
moyens, court
terme
24

25. Les services AWS pour la sécurité
SECURITY & COMPLIANCE
Identity
Management
Key
Management
& Storage
Monitoring
& Logs
Configuration
Compliance
Web
Application
Firewall
Assessment
& Reporting
Resource &
Usage
Auditing
Access
Control
Account
Grouping
DDOS
Protection
25

26. Philosophie &
implémentation
26
CerberHost

27. Deux partenaires, un seul but : votre sécurité !
• La sécurité DU cloud
• Modèle de responsabilité partagée
• Haute disponiblité
• La sécurité DANS le cloud
• OS
• Application
• Sécurité managée
27

28. Ce que NBS System sécurise pour vous
• Système d’exploitation (OS)
• Noyaux
• Daemons & tools (Apache, MySQL, etc.)
• Langages (Php, Python, Java, Go, etc.)
• Accès privilégiés (BO, SSH, …)
• Frameworks (Drupal, Wordpress, etc.)
• Developpement custom
• Flux entrants/sortants
28

29. Cerberhost est conçu pour éconduire l’attaquant, en lui faisant
comprendre que son attaque ne sera pas rentable, en termes de
temps comme de coût.
• 14 procédures humaines durcissent l’ensemble
• 37 protections techniques le bloquent
• 1 d’entre elles lui fait perdre un temps considérable :
le firewall dynamique
Une autre approche : ralentir, compliquer
29

30. • H + 02 = H20. L’eau a des propriétés émergentes supérieures à
celles de l’hydrogène et de l’oxygène
• Cerberhost est conçu dans la même approche, avec des
propriétés émergentes, provenant du travail commun de
nombreuses couches articulées entres elles.
Quand la somme fait plus que ses unités
30

31. Une philosophie collaborative
DLPWAF Noyaux
& App
Anti
(d)Dos
Protections
Applicatives
Firewall
Dynamique
+
SecOPS & processus stricts
31

32. • NAXSI : WAF nouvelle génération, 2200 ⭐ sur Github
• Snufflepagus : PHP7 Bugclass killer & virtual patch (en alpha test
actuellement)
• Firewall Dynamique : 180 000 règles en temps réel, en moyenne
Focus : NAXSI, Snufflepagus, DynaFW
32

33. État des lieux
pour AWS
33
Normes

34. Certifications & normes
34
C5 [Germany]
Cyber Essentials Plus [UK]
DoD SRG
FedRAMP
FIPS
IRAP [Australia]
ISO 9001
ISO 27001
ISO 27017
ISO 27018
MLPS Level 3 [China]
MTCS [Singapore]
PCI DSS Level 1
SEC Rule 17-a-4(f)
SOC 1
SOC 2
SOC 3
CISPE
EU Model Clauses
FERPA
GLBA
HIPAA
HITECH
IRS 1075
ITAR
My Number Act [Japan]
U.K. DPA - 1988
VPAT / Section 508
EU Data Protection Directive
Privacy Act [Australia]
Privacy Act [New Zealand]
PDPA - 2010 [Malaysia]
PDPA - 2012 [Singapore]
PIPEDA [Canada]
Spanish DPA Authorization
CIS
CJIS
CSA
ENS [Spain]
EU-US Privacy Shield
FISC
FISMA
G-Cloud [UK]
GxP (FDA CFR 21 Part 11)
ICREA
IT Grundschutz [Germany]
MITA 3.0
MPAA
NIST
PHR
Uptime Institute Tiers
UK Cloud Security Principles
Certifications /
Attestations
Lois / Règlementations
Données privées
Alignements /
Cadres

35. Démonstration
35
En pratique...

36. Démonstration AWS
36

37. Démonstration AWS
37

38. Démonstration AWS
38

39. Démonstration AWS
39

40. Démonstration AWS
Test Qualys ssllabs
40

41. Démonstration AWS
41

42. Démonstration AWS
Encryption with KMS
42
Cleartext
Storage of
encrypted data
Customer
Key
Ciphertext
Encrypted Data
Key
Hardware/
software
Symmetric
Data Key
Hardened HSA designed
so that no individual can
access master key.
Import
Token
Public Key
Customer
premises
or
CloudHSM
Master Key

43. Démonstration AWS
43

44. Démonstration AWS
AWS CloudHSM / nouvelle version
44
Service opéré: installation, mises à jour, sauvegardes
Pas de paiement initial, à l’usage, ex: $1.47 / heure (eu-west-1)
Certifié FIPS 140-2 niveau 3
Portabilité des clefs et compatibilité avec les DSK classiques: PKCS
#11, Java Cryptography Extension, OpenSSL…
AWS
CloudHSM

45. Démonstration AWS
45

46. Démonstration
Cas client :
Brady Corp
(NYSE : BRC)
46
En pratique...

47. Leur besoin :
• PCI/DSS V3 L1
• Worldwide
• Déploiement en 1 an
Notre réponse :
• Infrastructures UE : NBS System
• Infrastructures mondiales : AWS
• Même niveau de sécurité
• Mise en très haute sécurité + PCI-DSS de plus de 100
serveurs en 1 an
Brady Corp (NYSE:BRC)
47

48. … pour beaucoup plus
de sécurité !
48
Quelques habitudes à
changer...

49. Changer quelques habitudes…
Sans pour autant faire passer la sécurité avant le business :
• Être plus précis dans les procédures de publication
• Plus de mots de passe faibles
• Communications chiffrées des éléments sensibles
• Principe de moindre privilège
• Filtrage des IP entrantes et sortantes
49

50. Il faut disposer :
• de beaucoup de temps
• de beaucoup de ressources
• d’énormément de savoir-faire technique
pour espérer compromettre un serveur CerberHost sur AWS.
Ce n’est pas la sécurité absolue, nous avons juste créé un
cauchemard pour les attaquants, afin de les dissuader.
… et nous augmenterons la difficulté pour
l’attaquant
50

51. Ce que nous faisons
SecOPS
DevOPS 51

52. Lancement
AWS/Cerberhost
16/11/2017
Marriott Paris Rive Gauche
Infos / inscriptions : https://bit.ly/HauteSecu

53. Darwinisme digital :
«Ceux qui adaptent leur
sécurité à leurs enjeux
survivent.»
https://www.slideshare.net/NBSSystem/le-darwinisme-digital

54. Let’s talk security !
Espace Diaghilev
Stand N°57