SlideShare une entreprise Scribd logo

Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08

SecludIT
SecludIT

Retrouvez le top 10 des bonnes pratiques de sécurité AWS par les experts sécurité de SecludIT. Notre solution pour vous aider dans la mise en place de ces bonnes pratiques : https://elastic-workload-protector.secludit.com/

Technologie
1  sur  14
Télécharger pour lire hors ligne
TOP10 des meilleures pratiques de sécurité pour AWS Donnat Frédéric – Dir. Technique et CoFondateur de SecludIT 08/06/2017
SecludIT - Copyright et confidentiel - 2017 Notre mission • SecludIT est un Editeur français qui aide les entreprises, les hébergeurs ou infogéreurs à sécuriser leurs infrastructures informatiques. • Notre objectif est de démocratiser les meilleures techniques préventives de sécurité informatique. • SecludIT : acteur reconnu de l’industrie! • Partenariats avec les acteurs majeurs du cloud et de la virtualisation tel qu’Amazon Web Services, Azure, OpenStack, CloudStack, VMware
SecludIT - Copyright et confidentiel - 2017 Sécurité AWS : Partage de responsabilité Infrastructure globale Services de base Applications et contenu client Gestion de plateforme, d’applications, d’identité et d’accès Configuration du système d’exploitation, du réseau et du pare-feu Chiffrement des données côté client Chiffrement des données côté serveur Protection du trafic réseau Emplacements périphériques Zone de disponibilité Régions Calcul Stockage Base de données Mise en réseau Client Responsable de la sécurité « dans » le cloud AWS Responsable de la sécurité « du » cloud
SecludIT - Copyright et confidentiel - 2017 1 - Contrôle d’accès • Segmenter le compte AWS pour les utilisateurs • Opération, Administration, Auditeur • Utilisation de AWS IAM : • Identification, Authentification et Autorisation • Rôles et Permissions • Principe des « Moindres Privilèges » (IAM Policy simulator) • Authentification à facteur multiple : • Protection du compte « root » • MFA device (Google Authenticator, …)
SecludIT - Copyright et confidentiel - 2017 2 – Segmentation réseau • Identifier ses environnements : • Production, Préproduction, Développement, Test • Utilisation de AWS VPC : • Cloisonnement réseau par « Zone » (Security Group, NACLs, …) • Connection par « Jump Box / Bastion » • « PAS » de configuration par défaut • « PAS » de SSH / RDP ouvert sur internet (0.0.0.0/0)
SecludIT - Copyright et confidentiel - 2017 3 – Visibilité par inventaire permanent • Maintenir à jour l’inventaire des services et ressources AWS utilisées : • Utiliser AWS Config : 20 règles actuellement • Identifier les ressources des partenaires : • Eviter le problème de « shadow IT » • Utiliser les « Tags » AWS
SecludIT - Copyright et confidentiel - 2017 4 – Logger les accès AWS • Mettre en place des logs : • Logs d’accès avec AWS CloudTrail • Logs d’utilisation des ressources et application avec AWS CloudWatch • Logs d’accès réseau avec Flow Logs dans les sous-réseaux VPC • Mettre en place un SIEM : • Rediriger les logs dans un SIEM • Contrôle externe de visibilité : • Utilisation des APIs AWS
SecludIT - Copyright et confidentiel - 2017 5 – Images et Instances • Gérer les Images ou AMIs sur AWS : • Maintenir ses Images à jour • Problème du partage d’Image, volume, snapshot • Durcir ses Images • Nettoyer les instances avant d’en faire des Images • Utiliser les « Tags » AWS • Gérer les vulnérabilités des Instances • Détection préventive des vulnérabilités • « PAS » de configuration par défaut • Intégrité des fichiers • Utiliser AWS Inspector : Problème d’agent et peu de tests actuellement
SecludIT - Copyright et confidentiel - 2017 6 – Gestion des clés • Gérer les clés d’API : • Rotation des clés, Supprimer les anciennes clés • Gestionnaire de clés • « PAS » de partage de clés d’APIs : • Délégation par rôle IAM • Utilisateur dédié • Gérer les clés SSH d’accès aux instances • Gérer les clés de chiffrement : • AWS CloudHSM • AWS Key Management Service
SecludIT - Copyright et confidentiel - 2017 7 – Chiffrement de bout-en-bout • Chiffrement des données : • Stockage persistant S3 ou volume EBS • Transport par canal sécurisé: • confidentialité, intégrité, chiffrement, non-répudiation • Interconnexion réseau local et Cloud AWS : « Chiffrer » la couche transport • Protection des données : • Sauvegarder et tester la restauration régulièrement • Versionner les données • Eviter la suppression des données sur suppression des instances
SecludIT - Copyright et confidentiel - 2017 8 – Certificat SSL/TLS • Transport par canal sécurisé par SSL/TLS : • Utiliser des certificats SSL/TLS • Gérer les certificats SSL/TLS et les listes de révocations • Utiliser la dernière version du protocole TLS • Utiliser des suites de chiffrements fortes • Gérer les certificats SSL /TLS : • AWS Certificate Manager
SecludIT - Copyright et confidentiel - 2017 9 – Auditer et Configurer des alertes • Auditer régulièrement la configuration des services AWS : • CIS Amazon Web Services Foundations • CIS Amazon Web Service Three-Tier-Web • Mettre en place la surveillance continue : • Auditer la accès : AWS IAM • Auditer la configuration réseau : AWS VPC • SecurityGroup, Subnet, NACLs, … • Auditer les services déployé sur AWS : • Instances EC2 • Accès au Stockage (S3, EBS, …)
SecludIT - Copyright et confidentiel - 2017 10 – Eduquer les utilisateurs • Mettre en place des procédures d’utilisation : • Nouveau mode de consommation « Cloud » • Décrire le fonctionnement AWS • « Former » et « Responsabiliser » les utilisateurs : • Expliquer comment utiliser AWS • Expliquer les risques de sécurité • Donner les raisons des mécanismes de sécurité mis en place https://aws.amazon.com/fr/security/ https://secludit.com/blog/ https://elastic-workload-protector.secludit.com/
SecludIT - Copyright et confidentiel - 2017 QUESTIONS ? Essayez et Adoptez Elastic Workload Protector ! Réduisez vos risques et vos coûts.

Recommandé

Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017SecludIT
 
Innovations dans la cybersecurite
Innovations dans la cybersecuriteInnovations dans la cybersecurite
Innovations dans la cybersecuriteSecludIT
 
Cloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud itCloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud itSecludIT
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC ! SecludIT
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorSecludIT
 
Elastic Detector vu par un Ethical Hacker
Elastic Detector vu par un Ethical HackerElastic Detector vu par un Ethical Hacker
Elastic Detector vu par un Ethical HackerSecludIT
 
Surveillance Amazon EC2 infrastructure (french)
Surveillance Amazon EC2 infrastructure (french) Surveillance Amazon EC2 infrastructure (french)
Surveillance Amazon EC2 infrastructure (french) Sergio Loureiro
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Kyos
 

Recommandé

Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017SecludIT
 
Innovations dans la cybersecurite
Innovations dans la cybersecuriteInnovations dans la cybersecurite
Innovations dans la cybersecuriteSecludIT
 
Cloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud itCloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud itSecludIT
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC ! SecludIT
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorSecludIT
 
Elastic Detector vu par un Ethical Hacker
Elastic Detector vu par un Ethical HackerElastic Detector vu par un Ethical Hacker
Elastic Detector vu par un Ethical HackerSecludIT
 
Surveillance Amazon EC2 infrastructure (french)
Surveillance Amazon EC2 infrastructure (french) Surveillance Amazon EC2 infrastructure (french)
Surveillance Amazon EC2 infrastructure (french) Sergio Loureiro
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Kyos
 
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, KyosTest d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, KyosNet4All
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Kyos
 
21-06-2018 aOS Aix 3 sept façons l'identité enrichit votre expérience Office ...
21-06-2018 aOS Aix 3 sept façons l'identité enrichit votre expérience Office ...21-06-2018 aOS Aix 3 sept façons l'identité enrichit votre expérience Office ...
21-06-2018 aOS Aix 3 sept façons l'identité enrichit votre expérience Office ...aOS Community
 
aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...
aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...
aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...aOS Community
 
SophiaConf SecludIT
SophiaConf SecludITSophiaConf SecludIT
SophiaConf SecludITSergio Loureiro
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsMicrosoft Technet France
 
Sécuriser votre site web azure, c’est simple maintenant !
Sécuriser votre site web azure, c’est simple maintenant !Sécuriser votre site web azure, c’est simple maintenant !
Sécuriser votre site web azure, c’est simple maintenant !Estelle Auberix
 
Simplifiez la sécurisation de vos données par chiffrement transparent
Simplifiez la sécurisation de vos données par chiffrement transparentSimplifiez la sécurisation de vos données par chiffrement transparent
Simplifiez la sécurisation de vos données par chiffrement transparentKyos
 
Elastic Morocco user group meetup June
Elastic Morocco user group meetup JuneElastic Morocco user group meetup June
Elastic Morocco user group meetup JuneAnna Ossowski
 
Ensemble fortifions la chaîne de défense
Ensemble fortifions la chaîne de défenseEnsemble fortifions la chaîne de défense
Ensemble fortifions la chaîne de défenseKyos
 
Operational Insight : la supervision depuis le cloud !
Operational Insight : la supervision depuis le cloud !Operational Insight : la supervision depuis le cloud !
Operational Insight : la supervision depuis le cloud !Microsoft Décideurs IT
 
21-06-2018 aOS Aix 3 Nouveautés Azure - Fabien Dibot et Yoann Guillo
21-06-2018 aOS Aix 3 Nouveautés Azure - Fabien Dibot et Yoann Guillo21-06-2018 aOS Aix 3 Nouveautés Azure - Fabien Dibot et Yoann Guillo
21-06-2018 aOS Aix 3 Nouveautés Azure - Fabien Dibot et Yoann GuilloaOS Community
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicativesBee_Ware
 
Cyber risques: Etes-vous prêts ? 7 prévisions pour 2015
Cyber risques: Etes-vous prêts ? 7 prévisions pour 2015Cyber risques: Etes-vous prêts ? 7 prévisions pour 2015
Cyber risques: Etes-vous prêts ? 7 prévisions pour 2015Symantec
 
Évènement aOS Aix-en-Provence
Évènement aOS Aix-en-ProvenceÉvènement aOS Aix-en-Provence
Évènement aOS Aix-en-ProvenceSCALA
 
Le Darwinisme Digital
Le Darwinisme DigitalLe Darwinisme Digital
Le Darwinisme DigitalNBS System
 
Quantum computing & cyber securite
Quantum computing & cyber securiteQuantum computing & cyber securite
Quantum computing & cyber securiteEstelle Auberix
 
Modèle de sécurité AWS
Modèle de sécurité AWSModèle de sécurité AWS
Modèle de sécurité AWSJulien SIMON
 
Sécurite Amazon Web Services
Sécurite Amazon Web ServicesSécurite Amazon Web Services
Sécurite Amazon Web ServicesAurélien Pelletier
 
6 stratégies pour migrer vos données dans AWS
6 stratégies pour migrer vos données dans AWS6 stratégies pour migrer vos données dans AWS
6 stratégies pour migrer vos données dans AWSJulien SIMON
 

Contenu connexe

Tendances

Test d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, KyosTest d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, KyosNet4All
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Kyos
 
21-06-2018 aOS Aix 3 sept façons l'identité enrichit votre expérience Office ...
21-06-2018 aOS Aix 3 sept façons l'identité enrichit votre expérience Office ...21-06-2018 aOS Aix 3 sept façons l'identité enrichit votre expérience Office ...
21-06-2018 aOS Aix 3 sept façons l'identité enrichit votre expérience Office ...aOS Community
 
aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...
aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...
aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...aOS Community
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsMicrosoft Technet France
 
Sécuriser votre site web azure, c’est simple maintenant !
Sécuriser votre site web azure, c’est simple maintenant !Sécuriser votre site web azure, c’est simple maintenant !
Sécuriser votre site web azure, c’est simple maintenant !Estelle Auberix
 
Simplifiez la sécurisation de vos données par chiffrement transparent
Simplifiez la sécurisation de vos données par chiffrement transparentSimplifiez la sécurisation de vos données par chiffrement transparent
Simplifiez la sécurisation de vos données par chiffrement transparentKyos
 
Elastic Morocco user group meetup June
Elastic Morocco user group meetup JuneElastic Morocco user group meetup June
Elastic Morocco user group meetup JuneAnna Ossowski
 
Ensemble fortifions la chaîne de défense
Ensemble fortifions la chaîne de défenseEnsemble fortifions la chaîne de défense
Ensemble fortifions la chaîne de défenseKyos
 
Operational Insight : la supervision depuis le cloud !
Operational Insight : la supervision depuis le cloud !Operational Insight : la supervision depuis le cloud !
Operational Insight : la supervision depuis le cloud !Microsoft Décideurs IT
 
21-06-2018 aOS Aix 3 Nouveautés Azure - Fabien Dibot et Yoann Guillo
21-06-2018 aOS Aix 3 Nouveautés Azure - Fabien Dibot et Yoann Guillo21-06-2018 aOS Aix 3 Nouveautés Azure - Fabien Dibot et Yoann Guillo
21-06-2018 aOS Aix 3 Nouveautés Azure - Fabien Dibot et Yoann GuilloaOS Community
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicativesBee_Ware
 
Cyber risques: Etes-vous prêts ? 7 prévisions pour 2015
Cyber risques: Etes-vous prêts ? 7 prévisions pour 2015Cyber risques: Etes-vous prêts ? 7 prévisions pour 2015
Cyber risques: Etes-vous prêts ? 7 prévisions pour 2015Symantec
 
Évènement aOS Aix-en-Provence
Évènement aOS Aix-en-ProvenceÉvènement aOS Aix-en-Provence
Évènement aOS Aix-en-ProvenceSCALA
 
Le Darwinisme Digital
Le Darwinisme DigitalLe Darwinisme Digital
Le Darwinisme DigitalNBS System
 
Quantum computing & cyber securite
Quantum computing & cyber securiteQuantum computing & cyber securite
Quantum computing & cyber securiteEstelle Auberix
 

Tendances (19)

Test d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, KyosTest d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !
 
21-06-2018 aOS Aix 3 sept façons l'identité enrichit votre expérience Office ...
21-06-2018 aOS Aix 3 sept façons l'identité enrichit votre expérience Office ...21-06-2018 aOS Aix 3 sept façons l'identité enrichit votre expérience Office ...
21-06-2018 aOS Aix 3 sept façons l'identité enrichit votre expérience Office ...
 
aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...
aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...
aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...
 
SophiaConf SecludIT
SophiaConf SecludITSophiaConf SecludIT
SophiaConf SecludIT
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le Cloud
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'Informations
 
Sécuriser votre site web azure, c’est simple maintenant !
Sécuriser votre site web azure, c’est simple maintenant !Sécuriser votre site web azure, c’est simple maintenant !
Sécuriser votre site web azure, c’est simple maintenant !
 
Simplifiez la sécurisation de vos données par chiffrement transparent
Simplifiez la sécurisation de vos données par chiffrement transparentSimplifiez la sécurisation de vos données par chiffrement transparent
Simplifiez la sécurisation de vos données par chiffrement transparent
 
Elastic Morocco user group meetup June
Elastic Morocco user group meetup JuneElastic Morocco user group meetup June
Elastic Morocco user group meetup June
 
Ensemble fortifions la chaîne de défense
Ensemble fortifions la chaîne de défenseEnsemble fortifions la chaîne de défense
Ensemble fortifions la chaîne de défense
 
Operational Insight : la supervision depuis le cloud !
Operational Insight : la supervision depuis le cloud !Operational Insight : la supervision depuis le cloud !
Operational Insight : la supervision depuis le cloud !
 
21-06-2018 aOS Aix 3 Nouveautés Azure - Fabien Dibot et Yoann Guillo
21-06-2018 aOS Aix 3 Nouveautés Azure - Fabien Dibot et Yoann Guillo21-06-2018 aOS Aix 3 Nouveautés Azure - Fabien Dibot et Yoann Guillo
21-06-2018 aOS Aix 3 Nouveautés Azure - Fabien Dibot et Yoann Guillo
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicatives
 
Cyber risques: Etes-vous prêts ? 7 prévisions pour 2015
Cyber risques: Etes-vous prêts ? 7 prévisions pour 2015Cyber risques: Etes-vous prêts ? 7 prévisions pour 2015
Cyber risques: Etes-vous prêts ? 7 prévisions pour 2015
 
Évènement aOS Aix-en-Provence
Évènement aOS Aix-en-ProvenceÉvènement aOS Aix-en-Provence
Évènement aOS Aix-en-Provence
 
Le Darwinisme Digital
Le Darwinisme DigitalLe Darwinisme Digital
Le Darwinisme Digital
 
Quantum computing & cyber securite
Quantum computing & cyber securiteQuantum computing & cyber securite
Quantum computing & cyber securite
 

Similaire à Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08

Modèle de sécurité AWS
Modèle de sécurité AWSModèle de sécurité AWS
Modèle de sécurité AWSJulien SIMON
 
6 stratégies pour migrer vos données dans AWS
6 stratégies pour migrer vos données dans AWS6 stratégies pour migrer vos données dans AWS
6 stratégies pour migrer vos données dans AWSJulien SIMON
 
4D Summit Europe 2016 - Conférence d'A&C Consulting : "Stocker des données su...
4D Summit Europe 2016 - Conférence d'A&C Consulting : "Stocker des données su...4D Summit Europe 2016 - Conférence d'A&C Consulting : "Stocker des données su...
4D Summit Europe 2016 - Conférence d'A&C Consulting : "Stocker des données su...Nathalie Richomme
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Décideurs IT
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Technet France
 
Bonnes pratiques pour la gestion des opérations de sécurité AWS
Bonnes pratiques pour la gestion des opérations de sécurité AWSBonnes pratiques pour la gestion des opérations de sécurité AWS
Bonnes pratiques pour la gestion des opérations de sécurité AWSJulien SIMON
 
M20487 formation-developper-windows-azure-et-les-services-web
M20487 formation-developper-windows-azure-et-les-services-webM20487 formation-developper-windows-azure-et-les-services-web
M20487 formation-developper-windows-azure-et-les-services-webCERTyou Formation
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Patrick Leclerc
 
Implentation d'une solution Cloud IAAS
Implentation d'une solution Cloud IAASImplentation d'une solution Cloud IAAS
Implentation d'une solution Cloud IAASmohamed hadrich
 
Monter des environnements dev test efficaces avec Windows Azure
Monter des environnements dev test efficaces avec Windows AzureMonter des environnements dev test efficaces avec Windows Azure
Monter des environnements dev test efficaces avec Windows AzureMicrosoft Technet France
 
Estelle Auberix - La securité dans Azure - Global Azure Bootcamp 2016 Paris
Estelle Auberix - La securité dans Azure - Global Azure Bootcamp 2016 ParisEstelle Auberix - La securité dans Azure - Global Azure Bootcamp 2016 Paris
Estelle Auberix - La securité dans Azure - Global Azure Bootcamp 2016 ParisAZUG FR
 
La Sécurité dans Azure
La Sécurité dans AzureLa Sécurité dans Azure
La Sécurité dans AzureEstelle Auberix
 
Azure Service Fabric pour les développeurs
Azure Service Fabric pour les développeursAzure Service Fabric pour les développeurs
Azure Service Fabric pour les développeursMicrosoft
 
Présentation des services AWS
Présentation des services AWSPrésentation des services AWS
Présentation des services AWSJulien SIMON
 
Tour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solutionTour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solutionAlex Danvy
 
Amazon Web Services.pdf
Amazon Web Services.pdfAmazon Web Services.pdf
Amazon Web Services.pdfAnass Nabil
 
Track 1 - Atelier 3 - Implémentation de cloud d'entreprise par Edifixio
Track 1 - Atelier 3 - Implémentation de cloud d'entreprise par EdifixioTrack 1 - Atelier 3 - Implémentation de cloud d'entreprise par Edifixio
Track 1 - Atelier 3 - Implémentation de cloud d'entreprise par EdifixioAmazon Web Services
 
[GAB2016] La sécurité dans Azure - Estelle Auberix
[GAB2016] La sécurité dans Azure - Estelle Auberix[GAB2016] La sécurité dans Azure - Estelle Auberix
[GAB2016] La sécurité dans Azure - Estelle AuberixCellenza
 
M10978 formation-introduction-a-azure-pour-les-developpeurs
M10978 formation-introduction-a-azure-pour-les-developpeursM10978 formation-introduction-a-azure-pour-les-developpeurs
M10978 formation-introduction-a-azure-pour-les-developpeursCERTyou Formation
 

Similaire à Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08 (20)

Modèle de sécurité AWS
Modèle de sécurité AWSModèle de sécurité AWS
Modèle de sécurité AWS
 
Sécurite Amazon Web Services
Sécurite Amazon Web ServicesSécurite Amazon Web Services
Sécurite Amazon Web Services
 
6 stratégies pour migrer vos données dans AWS
6 stratégies pour migrer vos données dans AWS6 stratégies pour migrer vos données dans AWS
6 stratégies pour migrer vos données dans AWS
 
4D Summit Europe 2016 - Conférence d'A&C Consulting : "Stocker des données su...
4D Summit Europe 2016 - Conférence d'A&C Consulting : "Stocker des données su...4D Summit Europe 2016 - Conférence d'A&C Consulting : "Stocker des données su...
4D Summit Europe 2016 - Conférence d'A&C Consulting : "Stocker des données su...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Bonnes pratiques pour la gestion des opérations de sécurité AWS
Bonnes pratiques pour la gestion des opérations de sécurité AWSBonnes pratiques pour la gestion des opérations de sécurité AWS
Bonnes pratiques pour la gestion des opérations de sécurité AWS
 
M20487 formation-developper-windows-azure-et-les-services-web
M20487 formation-developper-windows-azure-et-les-services-webM20487 formation-developper-windows-azure-et-les-services-web
M20487 formation-developper-windows-azure-et-les-services-web
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
 
Implentation d'une solution Cloud IAAS
Implentation d'une solution Cloud IAASImplentation d'une solution Cloud IAAS
Implentation d'une solution Cloud IAAS
 
Monter des environnements dev test efficaces avec Windows Azure
Monter des environnements dev test efficaces avec Windows AzureMonter des environnements dev test efficaces avec Windows Azure
Monter des environnements dev test efficaces avec Windows Azure
 
Estelle Auberix - La securité dans Azure - Global Azure Bootcamp 2016 Paris
Estelle Auberix - La securité dans Azure - Global Azure Bootcamp 2016 ParisEstelle Auberix - La securité dans Azure - Global Azure Bootcamp 2016 Paris
Estelle Auberix - La securité dans Azure - Global Azure Bootcamp 2016 Paris
 
La Sécurité dans Azure
La Sécurité dans AzureLa Sécurité dans Azure
La Sécurité dans Azure
 
Azure Service Fabric pour les développeurs
Azure Service Fabric pour les développeursAzure Service Fabric pour les développeurs
Azure Service Fabric pour les développeurs
 
Présentation des services AWS
Présentation des services AWSPrésentation des services AWS
Présentation des services AWS
 
Tour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solutionTour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solution
 
Amazon Web Services.pdf
Amazon Web Services.pdfAmazon Web Services.pdf
Amazon Web Services.pdf
 
Track 1 - Atelier 3 - Implémentation de cloud d'entreprise par Edifixio
Track 1 - Atelier 3 - Implémentation de cloud d'entreprise par EdifixioTrack 1 - Atelier 3 - Implémentation de cloud d'entreprise par Edifixio
Track 1 - Atelier 3 - Implémentation de cloud d'entreprise par Edifixio
 
[GAB2016] La sécurité dans Azure - Estelle Auberix
[GAB2016] La sécurité dans Azure - Estelle Auberix[GAB2016] La sécurité dans Azure - Estelle Auberix
[GAB2016] La sécurité dans Azure - Estelle Auberix
 
M10978 formation-introduction-a-azure-pour-les-developpeurs
M10978 formation-introduction-a-azure-pour-les-developpeursM10978 formation-introduction-a-azure-pour-les-developpeurs
M10978 formation-introduction-a-azure-pour-les-developpeurs
 

Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08

  • 1. TOP10 des meilleures pratiques de sécurité pour AWS Donnat Frédéric – Dir. Technique et CoFondateur de SecludIT 08/06/2017
  • 2. SecludIT - Copyright et confidentiel - 2017 Notre mission • SecludIT est un Editeur français qui aide les entreprises, les hébergeurs ou infogéreurs à sécuriser leurs infrastructures informatiques. • Notre objectif est de démocratiser les meilleures techniques préventives de sécurité informatique. • SecludIT : acteur reconnu de l’industrie! • Partenariats avec les acteurs majeurs du cloud et de la virtualisation tel qu’Amazon Web Services, Azure, OpenStack, CloudStack, VMware
  • 3. SecludIT - Copyright et confidentiel - 2017 Sécurité AWS : Partage de responsabilité Infrastructure globale Services de base Applications et contenu client Gestion de plateforme, d’applications, d’identité et d’accès Configuration du système d’exploitation, du réseau et du pare-feu Chiffrement des données côté client Chiffrement des données côté serveur Protection du trafic réseau Emplacements périphériques Zone de disponibilité Régions Calcul Stockage Base de données Mise en réseau Client Responsable de la sécurité « dans » le cloud AWS Responsable de la sécurité « du » cloud
  • 4. SecludIT - Copyright et confidentiel - 2017 1 - Contrôle d’accès • Segmenter le compte AWS pour les utilisateurs • Opération, Administration, Auditeur • Utilisation de AWS IAM : • Identification, Authentification et Autorisation • Rôles et Permissions • Principe des « Moindres Privilèges » (IAM Policy simulator) • Authentification à facteur multiple : • Protection du compte « root » • MFA device (Google Authenticator, …)
  • 5. SecludIT - Copyright et confidentiel - 2017 2 – Segmentation réseau • Identifier ses environnements : • Production, Préproduction, Développement, Test • Utilisation de AWS VPC : • Cloisonnement réseau par « Zone » (Security Group, NACLs, …) • Connection par « Jump Box / Bastion » • « PAS » de configuration par défaut • « PAS » de SSH / RDP ouvert sur internet (0.0.0.0/0)
  • 6. SecludIT - Copyright et confidentiel - 2017 3 – Visibilité par inventaire permanent • Maintenir à jour l’inventaire des services et ressources AWS utilisées : • Utiliser AWS Config : 20 règles actuellement • Identifier les ressources des partenaires : • Eviter le problème de « shadow IT » • Utiliser les « Tags » AWS
  • 7. SecludIT - Copyright et confidentiel - 2017 4 – Logger les accès AWS • Mettre en place des logs : • Logs d’accès avec AWS CloudTrail • Logs d’utilisation des ressources et application avec AWS CloudWatch • Logs d’accès réseau avec Flow Logs dans les sous-réseaux VPC • Mettre en place un SIEM : • Rediriger les logs dans un SIEM • Contrôle externe de visibilité : • Utilisation des APIs AWS
  • 8. SecludIT - Copyright et confidentiel - 2017 5 – Images et Instances • Gérer les Images ou AMIs sur AWS : • Maintenir ses Images à jour • Problème du partage d’Image, volume, snapshot • Durcir ses Images • Nettoyer les instances avant d’en faire des Images • Utiliser les « Tags » AWS • Gérer les vulnérabilités des Instances • Détection préventive des vulnérabilités • « PAS » de configuration par défaut • Intégrité des fichiers • Utiliser AWS Inspector : Problème d’agent et peu de tests actuellement
  • 9. SecludIT - Copyright et confidentiel - 2017 6 – Gestion des clés • Gérer les clés d’API : • Rotation des clés, Supprimer les anciennes clés • Gestionnaire de clés • « PAS » de partage de clés d’APIs : • Délégation par rôle IAM • Utilisateur dédié • Gérer les clés SSH d’accès aux instances • Gérer les clés de chiffrement : • AWS CloudHSM • AWS Key Management Service
  • 10. SecludIT - Copyright et confidentiel - 2017 7 – Chiffrement de bout-en-bout • Chiffrement des données : • Stockage persistant S3 ou volume EBS • Transport par canal sécurisé: • confidentialité, intégrité, chiffrement, non-répudiation • Interconnexion réseau local et Cloud AWS : « Chiffrer » la couche transport • Protection des données : • Sauvegarder et tester la restauration régulièrement • Versionner les données • Eviter la suppression des données sur suppression des instances
  • 11. SecludIT - Copyright et confidentiel - 2017 8 – Certificat SSL/TLS • Transport par canal sécurisé par SSL/TLS : • Utiliser des certificats SSL/TLS • Gérer les certificats SSL/TLS et les listes de révocations • Utiliser la dernière version du protocole TLS • Utiliser des suites de chiffrements fortes • Gérer les certificats SSL /TLS : • AWS Certificate Manager
  • 12. SecludIT - Copyright et confidentiel - 2017 9 – Auditer et Configurer des alertes • Auditer régulièrement la configuration des services AWS : • CIS Amazon Web Services Foundations • CIS Amazon Web Service Three-Tier-Web • Mettre en place la surveillance continue : • Auditer la accès : AWS IAM • Auditer la configuration réseau : AWS VPC • SecurityGroup, Subnet, NACLs, … • Auditer les services déployé sur AWS : • Instances EC2 • Accès au Stockage (S3, EBS, …)
  • 13. SecludIT - Copyright et confidentiel - 2017 10 – Eduquer les utilisateurs • Mettre en place des procédures d’utilisation : • Nouveau mode de consommation « Cloud » • Décrire le fonctionnement AWS • « Former » et « Responsabiliser » les utilisateurs : • Expliquer comment utiliser AWS • Expliquer les risques de sécurité • Donner les raisons des mécanismes de sécurité mis en place https://aws.amazon.com/fr/security/ https://secludit.com/blog/ https://elastic-workload-protector.secludit.com/
  • 14. SecludIT - Copyright et confidentiel - 2017 QUESTIONS ? Essayez et Adoptez Elastic Workload Protector ! Réduisez vos risques et vos coûts.