SlideShare une entreprise Scribd logo

Comment Microsoft IT a transféré certaines responsabilités liées à la sécurité aux équipes DevOps

Philippe Beraud
Philippe Beraud

D’un côté, la transformation numérique fait naître des modèles de business disruptifs et une compétition agressive pour l’acquisition de parts de marché, imposant une création de valeur rapide et agile. D’un autre côté, le Cloud, avec ses points d’accès publics et son évolution en continu, met en défaut les vieux paradigmes de sécurité pendant que le RSSI voit les investissements pour bâtir une défense en profondeur pour protéger le réseau d’entreprise et les applications devenir moins pertinents devant la sophistication, la fréquence et l’échelle des cyberattaques. Après la migration d’une majorité des applicatifs métiers dans Microsoft Azure, l’adoption des méthodes Agiles et la transformation DevOps, Microsoft IT opère une transformation de ses équipes en SecDevOps comme un des éléments de réponses à ces contraintes. Cette session s’intéressera à la façon dont Microsoft IT a outillé ses équipes afin de suivre le processus SDL (Secure Development Lifecycle) pour des applications désormais hébergées dans Microsoft Azure.

Internet
1  sur  35
Télécharger pour lire hors ligne
#experiences18 Comment Microsoft IT a transféré certaines responsabilités liées à la sécurité aux équipes DevOps Philippe Beraud Direction Technique et Sécurité Microsoft France Marc Thenot Microsoft IT Microsoft France
#experiences18Microsoft experiences18 95 percent of security issues and failures of cloud services will be the fault of the customer, rather than the service provider, in 2020. - Gartner GartnerRevealsTopPredictionsforITOrganizationsandUsersfor2016andBeyond https://www.gartner.com/newsroom/id/3143718
#experiences18Microsoft experiences18 En route vers Azure… Pour Microsoft ITCSEO (Core Services Engineering & Operations)
#experiences18Microsoft experiences18 En route vers Azure… Avecune approche préliminaire de la sécuritéCloud pour l’entreprise Gouvernance IT Fournisseur de services CLOUD
#experiences18Microsoft experiences18 En route vers Azure… Dans un contextede transformation… Adoption de nouvelles technologies Cloud Développeurs Métiers DevOps Opérations IT
#experiences18Microsoft experiences18 L’approche en matière de sécurité doit être repensée… Et Microsoft CSEOn’y fait pas exceptionpour son portefeuilledesolutions… Vitesse versus Contrôle Développement Gouvernance IT Vitesse Contrôle
#experiences18Microsoft experiences18 L’approche en matière de sécurité doit être repensée… Et Microsoft CSEOn’y fait pas exceptionpour son portefeuilledesolutions… File d'attente de revues de sécurité Processus de revue SDL Processus de revue de l’infrastructure • Auto-approvisionnement sûr, auto- gouvernance des environnements applicatifs • Sécurité intégrée dans DevOps • Modèles Ville, État et Gouvernement federal pour la sécurité LE QUOTIDIEN AVEC LE CLOUD Processus de revue de la protection de la vie privée Télémétrie de sécurité LE QUOTIDIEN AVANT LE CLOUD
#experiences18Microsoft experiences18 L’approche en matière de sécurité doit être repensée… Comment embrasser la vitesse de DevOps et la livraison continue dans un environnement sûr ? Ou comment s’assurer notamment de la mise en œuvre des contrôles appropriés pour l’environnement des solutions déployées et les données concernées ? Des centaines de pages de documentation sur la sécurité Azure Avec des services en croissance constante, des capacités sans cesse plus nombreuses et évoluées, etc.
#experiences18Microsoft experiences18 Les enseignements des projets pilotes HC(Highly ConfidentialData) Pour Microsoft CSEO > L’automatisation de la sécurité est une obligation ! Difficile de maintenir la parité entre “DevTest-> SIT-> UAT-> PROD". Trop d'environnements à passer en revue ! Nécessité de s'efforcer de valider de bout en bout - d'une réclamation lors d’un modèle de menaces à une ressource réelle dans l'abonnement cible Nécessité de suivre les artefacts critiques hautement confidentiels ("instantanés" sécurisés). L’étiquetage/l’organisation peuvent vous aider. Les processus d'exception tels que les récupérations après sinistre sont source d'angoisse > Nécessité de pousser l'autonomisation de l'équipe d'ingénierie au niveau supérieur Faciliter la pré-configuration de la sécurité – p. ex. modèles ARM miniatures Intégrer des outils de sécurité tels que CredScan dans le flux de travail de construction du projet CSEO Azure DevOps OneITVSO Étendre la portée de la vérification automatisée des contrôles de sécurité (plus de services, plus de contrôles pour chaque service)
#experiences18Microsoft experiences18 Les enseignements des projets pilotes HC(Highly ConfidentialData) Pour Microsoft CSEO > Le changement continu nécessite un passage à la conformité continue ! Les conceptions « validées » et les évaluations « ponctuelles » amène une tension naturelle avec l’Intégration Continue/Déploiement continu (pipeline CICD) Besoin d'une capacité à capturer des instantanés de sécurité et à suivre la « dérive » d'un état sécurisé > Nécessité de comprendre et d'établir une hygiène de sécurité opérationnelle dans Azure Hygiène des abonnements, revues d'accès et gestion du changement Configurations des ressources, pare-feu, revues de la configuration réseau (appliance) Rotation des clés, récupération après sinistre/continuité des activités (BC/DR) , audit/surveillance, réponse aux incidents
#experiences18Microsoft experiences18 Une approche revisitée de la sécurité Cloud pour l'entreprise... Développeurs Opérations IT Fournisseur de services CLOUD Gouvernance IT
#experiences18Microsoft experiences18 Niveau organisationnel Portée Azure Application de la politique Azure Automatisation fournie par l’IT Support DevOps BI + Analytique Mondiale (Microsoft.com) Des milliers d'abonnements Politiques globales légères AIRS ServiceTree Fédéral (Microsoft CSEO) Des centaines d'abonnements Politiques DSRE Politiques réseau Modèles ARM Bibliothèque d'automatisation Azure Mise à disposition de boîtes à outils DevOp Reporting des données agrégées LT CIO État (Service en ligne) Des dizaines d'abonnements Politiques propres à l’organisation Modèles personnalisés, automatisation Boîtes à outils personnalisées Plusieurs instances OMS Données agrégées Rapports LT BPU Ville (Services/Apps) Plusieurs abonnements + groupes de ressources Politiques propres au service Modèles CI/CD Télémétrie et alertes Espace de travail OMS Opérationnalisation du Cloud Gestion des abonnements Azure
#experiences18Microsoft experiences18 Vous avez dit Secure DevOps Kit for Azure (AzSK) ? - ou- Comment concevoir, élaborer et mettre en œuvre une stratégie de gouvernance qui réponde aux besoins de Microsoft CSEO en matière de gouvernance Cloud pour l’entreprise tout en améliorant les capacités des services Azure
#experiences18Microsoft experiences18 Secure DevOps Kit pour Azure (AzSK) Un objectif simple! ;-) Pouvoir manuellement auditeur et corriger toutes les ressources déployéess dans Azure vis-à-vis de la conformité en matière de sécurité Dans la pratique Un ensemble de scripts, d'outils, d'extensions, d'automatisations, etc. pour les équipes DevOps qui utilisent l'automatisation et intègrent la sécurité dans les flux de travail DevOps natifs Construit par Microsoft CSEO (Microsoft Core Services Engineering) Utilisé pour sécuriser plus de 750 abonnements Azure chez Microsoft
#experiences18Microsoft experiences18 Secure DevOps Kit pour Azure (AzSK) Sécurité des abonnements (Policy, config. ASC, alertes, RBAC, etc.) Assurer la sécurité dans l'abonnement Un abonnement cloud sécurisé constitue la base des activités de développement et de déploiement. Sécurité IntelliSense, Tests de vérification de sécurité (SVTs) Développer de manière sécurisée, contrôler ponctuellement la sécurité via des scripts Les développeurs doivent avoir la possibilité d'écrire du code sécurisé et de tester la configuration sécurisée de leurs applications cloud. CICD Extensions Build/Release Déployer de manière sécurité à partir du pipeline Build/Release d’Azure DevOps Possibilité d'exécuter des tests de vérification de sécurité (SVTs) dans le cadre du pipeline CICD d’Azure DevOps Runbooks d'assurance continue Balayage périodique en production pour détecter toute dérive Traiter la sécurité d'un système comme un état en constante évolution avec une assurance continue Surveillance Azure pour les alertes Tableau de bord de sécurité unique sur toutes les étapes DevOps Fournir des solutions pour les équipes d'applications individuelles et pour les équipes d'entreprises centrales Gouvernance des risquesApporter des améliorations de sécurité basées sur les données Un Framework de télémétrie qui génère des événements capturant l'utilisation, l'adoption, les résultats d'évaluation, etc.
#experiences18Microsoft experiences18 Déploiement de la gouvernance et des politiques de sécurité Zone de fonctionnalité • Le déploiement est manuel – Le déploiement de politiques exige que les utilisateurs exécutent la commande azsk sur chaque abonnement. • L'application des politiques est manuelle – Comme le déploiement est manuel, l'abonnement doit être surveillé pour l'existence de contrôles • Les rapports de conformité sont centralisés – La surveillance des violations des politiques sont centralisées et exige une équipe pour notifier les propriétaires d'abonnement lorsque des ressources ne sont plus conformes • La correction est manuelle – La correction d’un problème de conformité nécessite que les utilisateurs exécutent des commandes azsk sur chaque abonnement avec des ressource défaillantes Sécurité des abonnements Vérification de la sécurité des abonnements Provisionnement d'abonnements Développement sécurisé Tests de vérification de sécurité (SVTs) Extension éditeur VS de sécurité IntelliSense Sécurité dans le pipeline CICD Extension AzureDevOps AzSK-SVTs pour l'injection de tests de sécurité dans un pipeline CICD Assurance continue Analyse de sécurité des abonnements Azure et des applications via des runbooks Automation Alertes et surveillance Vue à volet unique de la sécurité à travers les étapes de DevOps Gouvernance des risques liés au Cloud Prise en charge des tableaux de bord d'attestation de contrôle et de gouvernance de la sécurité. Défis
#experiences18Microsoft experiences18 Activation de Secure DevOps Abonnement Bilan de santé Approvisionnement Administration « juste assez » (JEA) Tests de vérification de la sécurité dans les flux de travail CI/CD Sécurité IntelliSense Tests de vérification de la sécurité Tests de vérification de la sécurité Tests de vérification de la sécurité dans les flux de travail CI/CD Solution OMS pour AzSK Conformité continue Bilan de santé Approvisionnement Administration « juste assez » (JEA)
#experiences18Microsoft experiences18 Démonstration Une illustration du Secure DevOps Kit for Azure (AzSK)
#experiences18Microsoft experiences18 Déploiement de la gouvernance et des politiques de sécurité Azure Impacts@Microsoft CSEO Plus de 750 abonnements scannés 35000 ressources Azure scannées 2,2 millions contrôles scannés à date Plus de 110 000 heures d'effort manuel d’économisées Plus de 280 contrôles de sécurité sur plus de 30 services Azure de type IaaS/PaaS Plus de 200 SDLs sur des apps métier d’entreprise au sein de l’IT
#experiences18Microsoft experiences18 Déploiement de la gouvernance et des politiques de sécurité Azure Impacts@Microsoft CSEO Plus de 280 contrôles de sécurité couverts par le Kit AzSK Automatisés par le kit DevOps ou qui doivent être vérifiés manuellement aka.ms/azsdkosstcp
#experiences18Microsoft experiences18 Ce que nous aurions souhaité avoir ou connaitre... Migration et planification Standards et architecture Consultatif Sécurité pour les développeurs Migration et automatisation Multi-Cloud Outillage Sec aaS Services de sécurité pour les applications Centralisation des opérations (surveillance, vérification de la configuration)
#experiences18Microsoft experiences18 Et ensuite ? Comme voie à suivre Devenir natif Azure afin : • d’empêcher le déploiement de ressources non conformes • d’automatiser la remédiation • d’être "Secure by default"
#experiences18Microsoft experiences18 Déploiement des politiques de sécurité Azure Prochaines étapes ✓ Le déploiement est automatisé – Le déploiement des stratégies est poussé à tous les abonnements selon l’arborescence des groups d’administration ✓ L'application des politiques est automatisée – L'inhérence est appliquée à tous les abonnements selon l’arborescence des groups d’administration ✓ La déclaration de conformité est multi niveau – Les résultats d'audit des politiques peuvent être consultés par les propriétaires d'abonnement via une lame Azure ou des gestionnaires IT ✓ Les rapports de conformité sont à plusieurs niveaux – Les propriétaires d'abonnement peuvent voir les résultats de l’audit de politiques via une lame Azure ou des responsables IT ✓ La remédiation est automatisée – La nouvelle fonctionnalité de remédiation d’Azure Policy permet aux utilisateurs d’avoir des échecs Défis résolus Groupes d'administration déployés pour les abonnements de test • Politiques de sécurité prêtes pour les pilotes (74) • Politiques d'infrastructure prêtes pour les pilotes (19) Adoption des groupes d'administrationde production • Journalisation de l’activité des groupes d'exploitation • RBAC améliorés pour les groupes d’administration
#experiences18Microsoft experiences18 Vers la mise en œuvre d’une gouvernance moderne native Vitesse versus Contrôle Développement Gardien du Cloud Vitesse Contrôle Modèles Politiques RBAC Groupes d’administration Gestion des coûts Graphe de Ressources Gouvernance Azure Blueprints
#experiences18Microsoft experiences18 Appliquer les politiques dans le cadre du processus de développement Se déplacer vers la gauche pourlivrerun code conformeplusrapidement
#experiences18Microsoft experiences18 Appliquer les politiques dans le cadre du processus de développement Se déplacer vers la gauche pourlivrerun code conformeplusrapidement
#experiences18Microsoft experiences18 En guise de conclusion Mettre en place des bonnes pratiques pour protéger votre environnement dans une posture « Assumer les violations » ! ;-) Inventorier vos actifs Investissez dans votre plate-forme. L'agilité et l'évolutivité nécessitent une réflexion prospective et la création de plates-formes le permettant Investissez dans votre Instrumentation Assurez-vous de mesurer de manière exhaustive les éléments de votre plate-forme Investissez dans vos personnes Des analystes qualifiés et des data scientists sont le fondement de la défense, tandis que les utilisateurs constituent le nouveau périmètre de sécurité Surveiller votre réseau, vos hôtes et vos journaux Tester régulièrement les contrôles pour l'exactitude et l'efficacité - RedTeam Mettre l’emphase sur la communication entre les équipes de réponse aux incidents Pratiquer une bonne hygiène Supprimer les droits d'administrateur permaments Définir les modèles et l’architecture Automatiser la sécurité – Rendre cela facile Tout le monde est responsable !
#experiences18Microsoft experiences18 En guise de conclusion Utiliser le Secure DevOps Kit for Azure (AzSK) Il est très facile à démarrer avec des analyses de vulnérabilité non intrusives • Une seule ligne de PowerShell • Non intrusif : le rôle RBAC Reader est suffisant • Après le premier scan, il est fort possible que vous soyez occupé pendant un moment ! ;-) Lorsque les analyses de vulnérabilité AzSK sont déjà une habitude dans votre organisation, vous pouvez étendre l’outillage de bout en bout, de la machine du développeur au pipeline CI/CD, en passant par l'assurance continue • Configurer l’assurance continue pour Log Analytics • Configurer le support CI/CD avec les plugins Azure DevOps • Sensibiliser vos équipes sur les contrôles de sécurité défaillants les plus courants • Construire de nouveaux environnements sécurisés dès le départ avec le vérificateur de modèles ARM AzSK
#experiences18Microsoft experiences18 Pour aller plus loin Sur SecDevOps SANS A DevSecOps Playbook Awesome DevSecOps sur GitHub : • Manifeste : devsecops.org/ github.com/devsecops/awesome-devsecops OWASP Glue sur GitHub : github.com/OWASP/glue
#experiences18Microsoft experiences18 Pour aller plus loin Sur le Secure DevOps Kit for Azure (AzSK) Getting started with the Secure DevOps Kit for Azure (AzSK) Building cloud apps using the Secure DevOps Kit for Azure (IT showcase) Site web: https://azsk.azurewebsites.net/index.html Repo GitHub : github.com/azsk/DevOpsKit github.com/azsk/DevOpsKit-docs Support : mailto:azsdksupext@microsoft.com
#experiences18Microsoft experiences18 Pour aller plus loin Avec des sessions lors de la conférence Ignite 2018 • BRK3062 - Architecting Security and Governance Across your Azure Subscriptions • BRK3085 - Deep dive into Implementing governance at scale through Azure Policy • THR2360 - Cloud governance at Microsoft through Azure Policy, management groups, and the Azure Secure DevOps Kit • THR2104 – Assess your Microsoft Azure security Center like a pro • THR2194 - Azure IT controls for automation and configurations of your Azure and on-prem environment • THR2358 Building cloud apps using the Secure DevOps for Azure Et d’autres informations et webcasts • Govern your Azure environment through Azure Policy - Build 2018 • Implement governance in Microsoft Azure at scale with policy-based management - Ignite 2017
#experiences18Microsoft experiences18 Pour aller plus loin De la formation à la certification Microsoft Learning: http://learning.microsoft.com #experienceslive Pour des réponses à toutes vos questions techniques Microsoft Docs: https://docs.microsoft.com
#experiences18Microsoft experiences18 Notez maintenant cette session Rendez-vous sur la fiche de la session sur http://experiences18.microsoft.fr Cliquez sur le bouton « Evaluer » #experienceslive
#experiences18Microsoft experiences18 Merci !
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurité aux équipes DevOps

Recommandé

TechDays 2012 - Windows Azure
TechDays 2012 - Windows AzureTechDays 2012 - Windows Azure
TechDays 2012 - Windows AzureJason De Oliveira
 
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...jumeletArnaud
 
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Yann Riviere CCSK, CISSP, CRISC, CISM
 
Livret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & FortinetLivret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & FortinetExaprobe
 
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...IBM France PME-ETI
 
Watchguard la solution de sécurité informatique Partenaire expert de référence
Watchguard la solution de sécurité informatique Partenaire expert de référenceWatchguard la solution de sécurité informatique Partenaire expert de référence
Watchguard la solution de sécurité informatique Partenaire expert de référencePROJECT SI
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Microsoft Technet France
 
F-Secure Protection Services for Business
F-Secure Protection Services for BusinessF-Secure Protection Services for Business
F-Secure Protection Services for BusinessNRC
 

Contenu connexe

Tendances

Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsMicrosoft Technet France
 
Cloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSICloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSIMicrosoft Décideurs IT
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Patrick Leclerc
 
Bonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloudBonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloudNRC
 
Sécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureSécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureNis
 
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Microsoft Décideurs IT
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauPatrick Leclerc
 
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2Microsoft Décideurs IT
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebKlee Group
 
9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...
9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...
9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...aOS Community
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
Clusif cloud-2010-securite
Clusif cloud-2010-securiteClusif cloud-2010-securite
Clusif cloud-2010-securiteOxalide
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industriellePatrice Bock
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Kyos
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Kyos
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Microsoft Technet France
 

Tendances (20)

Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'Informations
 
Cloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSICloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSI
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
 
Portfolio services secu-2.1
Portfolio services secu-2.1Portfolio services secu-2.1
Portfolio services secu-2.1
 
Bonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloudBonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloud
 
Sécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureSécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans Azure
 
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume Croteau
 
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
 
9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...
9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...
9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
 
Cyberun #12
Cyberun #12Cyberun #12
Cyberun #12
 
Clusif cloud-2010-securite
Clusif cloud-2010-securiteClusif cloud-2010-securite
Clusif cloud-2010-securite
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielle
 
Conférence sur la sécurité Cloud Computing
Conférence sur la sécurité Cloud ComputingConférence sur la sécurité Cloud Computing
Conférence sur la sécurité Cloud Computing
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !
 
On a volé les clefs de mon SI !
On a volé les clefs de mon SI !On a volé les clefs de mon SI !
On a volé les clefs de mon SI !
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
 

Similaire à Comment Microsoft IT a transféré certaines responsabilités liées à la sécurité aux équipes DevOps

Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Décideurs IT
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Technet France
 
AGILLY Securité du Cloud.pptx
AGILLY Securité du Cloud.pptxAGILLY Securité du Cloud.pptx
AGILLY Securité du Cloud.pptxGerard Konan
 
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideRetour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideMicrosoft Décideurs IT
 
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideRetour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideMicrosoft Technet France
 
Gouvernance azure - rex du studio Cellenza
Gouvernance azure - rex du studio CellenzaGouvernance azure - rex du studio Cellenza
Gouvernance azure - rex du studio CellenzaBenoît SAUTIERE
 
Mise en œuvre d’une démarche DevOps dans Windows Azure
Mise en œuvre d’une démarche DevOps dans Windows AzureMise en œuvre d’une démarche DevOps dans Windows Azure
Mise en œuvre d’une démarche DevOps dans Windows AzureMicrosoft Technet France
 
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...AZUG FR
 
Tour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solutionTour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solutionAlex Danvy
 
Présentation evénement AWS - 13 oct 2015
Présentation evénement AWS - 13 oct 2015 Présentation evénement AWS - 13 oct 2015
Présentation evénement AWS - 13 oct 2015 ABC Systemes
 
Quels services Azure pour mon application Web ?
Quels services Azure pour mon application Web ?Quels services Azure pour mon application Web ?
Quels services Azure pour mon application Web ?Microsoft
 
Comment securiser votre usage ou migration vers Office 365 [2018 12-04]
Comment securiser votre usage ou migration vers Office 365 [2018 12-04]Comment securiser votre usage ou migration vers Office 365 [2018 12-04]
Comment securiser votre usage ou migration vers Office 365 [2018 12-04]Sylvain Cortes
 
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...Marius Zaharia
 
Accélérez vos métiers avec les infrastructures convergées !
Accélérez vos métiers avec les infrastructures convergées !Accélérez vos métiers avec les infrastructures convergées !
Accélérez vos métiers avec les infrastructures convergées !Microsoft Décideurs IT
 
Accélérez vos métiers avec les infrastructures convergées !
Accélérez vos métiers avec les infrastructures convergées !Accélérez vos métiers avec les infrastructures convergées !
Accélérez vos métiers avec les infrastructures convergées !Microsoft Technet France
 
Modern Monitoring dans Azure
Modern Monitoring dans AzureModern Monitoring dans Azure
Modern Monitoring dans AzureManon PERNIN
 
Sécuriser votre site web azure, c’est simple maintenant !
Sécuriser votre site web azure, c’est simple maintenant !Sécuriser votre site web azure, c’est simple maintenant !
Sécuriser votre site web azure, c’est simple maintenant !Estelle Auberix
 
Architecture Cloud Hybride
Architecture Cloud HybrideArchitecture Cloud Hybride
Architecture Cloud HybrideMicrosoft
 
Exadays cloud – Enjeux et Transformation du SI
Exadays cloud – Enjeux et Transformation du SIExadays cloud – Enjeux et Transformation du SI
Exadays cloud – Enjeux et Transformation du SISamir Arezki ☁
 

Similaire à Comment Microsoft IT a transféré certaines responsabilités liées à la sécurité aux équipes DevOps (20)

Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
AGILLY Securité du Cloud.pptx
AGILLY Securité du Cloud.pptxAGILLY Securité du Cloud.pptx
AGILLY Securité du Cloud.pptx
 
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideRetour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
 
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideRetour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
 
Gouvernance azure - rex du studio Cellenza
Gouvernance azure - rex du studio CellenzaGouvernance azure - rex du studio Cellenza
Gouvernance azure - rex du studio Cellenza
 
Mise en œuvre d’une démarche DevOps dans Windows Azure
Mise en œuvre d’une démarche DevOps dans Windows AzureMise en œuvre d’une démarche DevOps dans Windows Azure
Mise en œuvre d’une démarche DevOps dans Windows Azure
 
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...
 
Tour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solutionTour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solution
 
Présentation evénement AWS - 13 oct 2015
Présentation evénement AWS - 13 oct 2015 Présentation evénement AWS - 13 oct 2015
Présentation evénement AWS - 13 oct 2015
 
Quels services Azure pour mon application Web ?
Quels services Azure pour mon application Web ?Quels services Azure pour mon application Web ?
Quels services Azure pour mon application Web ?
 
Comment securiser votre usage ou migration vers Office 365 [2018 12-04]
Comment securiser votre usage ou migration vers Office 365 [2018 12-04]Comment securiser votre usage ou migration vers Office 365 [2018 12-04]
Comment securiser votre usage ou migration vers Office 365 [2018 12-04]
 
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...
 
Accélérez vos métiers avec les infrastructures convergées !
Accélérez vos métiers avec les infrastructures convergées !Accélérez vos métiers avec les infrastructures convergées !
Accélérez vos métiers avec les infrastructures convergées !
 
Accélérez vos métiers avec les infrastructures convergées !
Accélérez vos métiers avec les infrastructures convergées !Accélérez vos métiers avec les infrastructures convergées !
Accélérez vos métiers avec les infrastructures convergées !
 
Dev ops Monitoring
Dev ops MonitoringDev ops Monitoring
Dev ops Monitoring
 
Modern Monitoring dans Azure
Modern Monitoring dans AzureModern Monitoring dans Azure
Modern Monitoring dans Azure
 
Sécuriser votre site web azure, c’est simple maintenant !
Sécuriser votre site web azure, c’est simple maintenant !Sécuriser votre site web azure, c’est simple maintenant !
Sécuriser votre site web azure, c’est simple maintenant !
 
Architecture Cloud Hybride
Architecture Cloud HybrideArchitecture Cloud Hybride
Architecture Cloud Hybride
 
Exadays cloud – Enjeux et Transformation du SI
Exadays cloud – Enjeux et Transformation du SIExadays cloud – Enjeux et Transformation du SI
Exadays cloud – Enjeux et Transformation du SI
 

Plus de Philippe Beraud

Le Machine Learning pour lutter contre les menaces en termes de Cybersécurité...
Le Machine Learning pour lutter contre les menaces en termes de Cybersécurité...Le Machine Learning pour lutter contre les menaces en termes de Cybersécurité...
Le Machine Learning pour lutter contre les menaces en termes de Cybersécurité...Philippe Beraud
 
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...Philippe Beraud
 
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...Philippe Beraud
 
Windows Azure Multi-Factor Authentication, presentation et cas d'usage
Windows Azure Multi-Factor Authentication, presentation et cas d'usageWindows Azure Multi-Factor Authentication, presentation et cas d'usage
Windows Azure Multi-Factor Authentication, presentation et cas d'usagePhilippe Beraud
 
Quoi de neuf pour les identités dans Office 365 ?
Quoi de neuf pour les identités dans Office 365 ?Quoi de neuf pour les identités dans Office 365 ?
Quoi de neuf pour les identités dans Office 365 ?Philippe Beraud
 
Créez vos apps métier Windows 8 sans expertise en programmation, grâce à Proj...
Créez vos apps métier Windows 8 sans expertise en programmation, grâce à Proj...Créez vos apps métier Windows 8 sans expertise en programmation, grâce à Proj...
Créez vos apps métier Windows 8 sans expertise en programmation, grâce à Proj...Philippe Beraud
 
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...Philippe Beraud
 
Protocoles quelle soupe ! description
Protocoles quelle soupe ! descriptionProtocoles quelle soupe ! description
Protocoles quelle soupe ! descriptionPhilippe Beraud
 

Plus de Philippe Beraud (8)

Le Machine Learning pour lutter contre les menaces en termes de Cybersécurité...
Le Machine Learning pour lutter contre les menaces en termes de Cybersécurité...Le Machine Learning pour lutter contre les menaces en termes de Cybersécurité...
Le Machine Learning pour lutter contre les menaces en termes de Cybersécurité...
 
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
 
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
 
Windows Azure Multi-Factor Authentication, presentation et cas d'usage
Windows Azure Multi-Factor Authentication, presentation et cas d'usageWindows Azure Multi-Factor Authentication, presentation et cas d'usage
Windows Azure Multi-Factor Authentication, presentation et cas d'usage
 
Quoi de neuf pour les identités dans Office 365 ?
Quoi de neuf pour les identités dans Office 365 ?Quoi de neuf pour les identités dans Office 365 ?
Quoi de neuf pour les identités dans Office 365 ?
 
Créez vos apps métier Windows 8 sans expertise en programmation, grâce à Proj...
Créez vos apps métier Windows 8 sans expertise en programmation, grâce à Proj...Créez vos apps métier Windows 8 sans expertise en programmation, grâce à Proj...
Créez vos apps métier Windows 8 sans expertise en programmation, grâce à Proj...
 
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
 
Protocoles quelle soupe ! description
Protocoles quelle soupe ! descriptionProtocoles quelle soupe ! description
Protocoles quelle soupe ! description
 

Comment Microsoft IT a transféré certaines responsabilités liées à la sécurité aux équipes DevOps

  • 1. #experiences18 Comment Microsoft IT a transféré certaines responsabilités liées à la sécurité aux équipes DevOps Philippe Beraud Direction Technique et Sécurité Microsoft France Marc Thenot Microsoft IT Microsoft France
  • 2. #experiences18Microsoft experiences18 95 percent of security issues and failures of cloud services will be the fault of the customer, rather than the service provider, in 2020. - Gartner GartnerRevealsTopPredictionsforITOrganizationsandUsersfor2016andBeyond https://www.gartner.com/newsroom/id/3143718
  • 3. #experiences18Microsoft experiences18 En route vers Azure… Pour Microsoft ITCSEO (Core Services Engineering & Operations)
  • 4. #experiences18Microsoft experiences18 En route vers Azure… Avecune approche préliminaire de la sécuritéCloud pour l’entreprise Gouvernance IT Fournisseur de services CLOUD
  • 5. #experiences18Microsoft experiences18 En route vers Azure… Dans un contextede transformation… Adoption de nouvelles technologies Cloud Développeurs Métiers DevOps Opérations IT
  • 6. #experiences18Microsoft experiences18 L’approche en matière de sécurité doit être repensée… Et Microsoft CSEOn’y fait pas exceptionpour son portefeuilledesolutions… Vitesse versus Contrôle Développement Gouvernance IT Vitesse Contrôle
  • 7. #experiences18Microsoft experiences18 L’approche en matière de sécurité doit être repensée… Et Microsoft CSEOn’y fait pas exceptionpour son portefeuilledesolutions… File d'attente de revues de sécurité Processus de revue SDL Processus de revue de l’infrastructure • Auto-approvisionnement sûr, auto- gouvernance des environnements applicatifs • Sécurité intégrée dans DevOps • Modèles Ville, État et Gouvernement federal pour la sécurité LE QUOTIDIEN AVEC LE CLOUD Processus de revue de la protection de la vie privée Télémétrie de sécurité LE QUOTIDIEN AVANT LE CLOUD
  • 8. #experiences18Microsoft experiences18 L’approche en matière de sécurité doit être repensée… Comment embrasser la vitesse de DevOps et la livraison continue dans un environnement sûr ? Ou comment s’assurer notamment de la mise en œuvre des contrôles appropriés pour l’environnement des solutions déployées et les données concernées ? Des centaines de pages de documentation sur la sécurité Azure Avec des services en croissance constante, des capacités sans cesse plus nombreuses et évoluées, etc.
  • 9. #experiences18Microsoft experiences18 Les enseignements des projets pilotes HC(Highly ConfidentialData) Pour Microsoft CSEO > L’automatisation de la sécurité est une obligation ! Difficile de maintenir la parité entre “DevTest-> SIT-> UAT-> PROD". Trop d'environnements à passer en revue ! Nécessité de s'efforcer de valider de bout en bout - d'une réclamation lors d’un modèle de menaces à une ressource réelle dans l'abonnement cible Nécessité de suivre les artefacts critiques hautement confidentiels ("instantanés" sécurisés). L’étiquetage/l’organisation peuvent vous aider. Les processus d'exception tels que les récupérations après sinistre sont source d'angoisse > Nécessité de pousser l'autonomisation de l'équipe d'ingénierie au niveau supérieur Faciliter la pré-configuration de la sécurité – p. ex. modèles ARM miniatures Intégrer des outils de sécurité tels que CredScan dans le flux de travail de construction du projet CSEO Azure DevOps OneITVSO Étendre la portée de la vérification automatisée des contrôles de sécurité (plus de services, plus de contrôles pour chaque service)
  • 10. #experiences18Microsoft experiences18 Les enseignements des projets pilotes HC(Highly ConfidentialData) Pour Microsoft CSEO > Le changement continu nécessite un passage à la conformité continue ! Les conceptions « validées » et les évaluations « ponctuelles » amène une tension naturelle avec l’Intégration Continue/Déploiement continu (pipeline CICD) Besoin d'une capacité à capturer des instantanés de sécurité et à suivre la « dérive » d'un état sécurisé > Nécessité de comprendre et d'établir une hygiène de sécurité opérationnelle dans Azure Hygiène des abonnements, revues d'accès et gestion du changement Configurations des ressources, pare-feu, revues de la configuration réseau (appliance) Rotation des clés, récupération après sinistre/continuité des activités (BC/DR) , audit/surveillance, réponse aux incidents
  • 11. #experiences18Microsoft experiences18 Une approche revisitée de la sécurité Cloud pour l'entreprise... Développeurs Opérations IT Fournisseur de services CLOUD Gouvernance IT
  • 12. #experiences18Microsoft experiences18 Niveau organisationnel Portée Azure Application de la politique Azure Automatisation fournie par l’IT Support DevOps BI + Analytique Mondiale (Microsoft.com) Des milliers d'abonnements Politiques globales légères AIRS ServiceTree Fédéral (Microsoft CSEO) Des centaines d'abonnements Politiques DSRE Politiques réseau Modèles ARM Bibliothèque d'automatisation Azure Mise à disposition de boîtes à outils DevOp Reporting des données agrégées LT CIO État (Service en ligne) Des dizaines d'abonnements Politiques propres à l’organisation Modèles personnalisés, automatisation Boîtes à outils personnalisées Plusieurs instances OMS Données agrégées Rapports LT BPU Ville (Services/Apps) Plusieurs abonnements + groupes de ressources Politiques propres au service Modèles CI/CD Télémétrie et alertes Espace de travail OMS Opérationnalisation du Cloud Gestion des abonnements Azure
  • 13. #experiences18Microsoft experiences18 Vous avez dit Secure DevOps Kit for Azure (AzSK) ? - ou- Comment concevoir, élaborer et mettre en œuvre une stratégie de gouvernance qui réponde aux besoins de Microsoft CSEO en matière de gouvernance Cloud pour l’entreprise tout en améliorant les capacités des services Azure
  • 14. #experiences18Microsoft experiences18 Secure DevOps Kit pour Azure (AzSK) Un objectif simple! ;-) Pouvoir manuellement auditeur et corriger toutes les ressources déployéess dans Azure vis-à-vis de la conformité en matière de sécurité Dans la pratique Un ensemble de scripts, d'outils, d'extensions, d'automatisations, etc. pour les équipes DevOps qui utilisent l'automatisation et intègrent la sécurité dans les flux de travail DevOps natifs Construit par Microsoft CSEO (Microsoft Core Services Engineering) Utilisé pour sécuriser plus de 750 abonnements Azure chez Microsoft
  • 15. #experiences18Microsoft experiences18 Secure DevOps Kit pour Azure (AzSK) Sécurité des abonnements (Policy, config. ASC, alertes, RBAC, etc.) Assurer la sécurité dans l'abonnement Un abonnement cloud sécurisé constitue la base des activités de développement et de déploiement. Sécurité IntelliSense, Tests de vérification de sécurité (SVTs) Développer de manière sécurisée, contrôler ponctuellement la sécurité via des scripts Les développeurs doivent avoir la possibilité d'écrire du code sécurisé et de tester la configuration sécurisée de leurs applications cloud. CICD Extensions Build/Release Déployer de manière sécurité à partir du pipeline Build/Release d’Azure DevOps Possibilité d'exécuter des tests de vérification de sécurité (SVTs) dans le cadre du pipeline CICD d’Azure DevOps Runbooks d'assurance continue Balayage périodique en production pour détecter toute dérive Traiter la sécurité d'un système comme un état en constante évolution avec une assurance continue Surveillance Azure pour les alertes Tableau de bord de sécurité unique sur toutes les étapes DevOps Fournir des solutions pour les équipes d'applications individuelles et pour les équipes d'entreprises centrales Gouvernance des risquesApporter des améliorations de sécurité basées sur les données Un Framework de télémétrie qui génère des événements capturant l'utilisation, l'adoption, les résultats d'évaluation, etc.
  • 16. #experiences18Microsoft experiences18 Déploiement de la gouvernance et des politiques de sécurité Zone de fonctionnalité • Le déploiement est manuel – Le déploiement de politiques exige que les utilisateurs exécutent la commande azsk sur chaque abonnement. • L'application des politiques est manuelle – Comme le déploiement est manuel, l'abonnement doit être surveillé pour l'existence de contrôles • Les rapports de conformité sont centralisés – La surveillance des violations des politiques sont centralisées et exige une équipe pour notifier les propriétaires d'abonnement lorsque des ressources ne sont plus conformes • La correction est manuelle – La correction d’un problème de conformité nécessite que les utilisateurs exécutent des commandes azsk sur chaque abonnement avec des ressource défaillantes Sécurité des abonnements Vérification de la sécurité des abonnements Provisionnement d'abonnements Développement sécurisé Tests de vérification de sécurité (SVTs) Extension éditeur VS de sécurité IntelliSense Sécurité dans le pipeline CICD Extension AzureDevOps AzSK-SVTs pour l'injection de tests de sécurité dans un pipeline CICD Assurance continue Analyse de sécurité des abonnements Azure et des applications via des runbooks Automation Alertes et surveillance Vue à volet unique de la sécurité à travers les étapes de DevOps Gouvernance des risques liés au Cloud Prise en charge des tableaux de bord d'attestation de contrôle et de gouvernance de la sécurité. Défis
  • 17. #experiences18Microsoft experiences18 Activation de Secure DevOps Abonnement Bilan de santé Approvisionnement Administration « juste assez » (JEA) Tests de vérification de la sécurité dans les flux de travail CI/CD Sécurité IntelliSense Tests de vérification de la sécurité Tests de vérification de la sécurité Tests de vérification de la sécurité dans les flux de travail CI/CD Solution OMS pour AzSK Conformité continue Bilan de santé Approvisionnement Administration « juste assez » (JEA)
  • 19. #experiences18Microsoft experiences18 Déploiement de la gouvernance et des politiques de sécurité Azure Impacts@Microsoft CSEO Plus de 750 abonnements scannés 35000 ressources Azure scannées 2,2 millions contrôles scannés à date Plus de 110 000 heures d'effort manuel d’économisées Plus de 280 contrôles de sécurité sur plus de 30 services Azure de type IaaS/PaaS Plus de 200 SDLs sur des apps métier d’entreprise au sein de l’IT
  • 20. #experiences18Microsoft experiences18 Déploiement de la gouvernance et des politiques de sécurité Azure Impacts@Microsoft CSEO Plus de 280 contrôles de sécurité couverts par le Kit AzSK Automatisés par le kit DevOps ou qui doivent être vérifiés manuellement aka.ms/azsdkosstcp
  • 21. #experiences18Microsoft experiences18 Ce que nous aurions souhaité avoir ou connaitre... Migration et planification Standards et architecture Consultatif Sécurité pour les développeurs Migration et automatisation Multi-Cloud Outillage Sec aaS Services de sécurité pour les applications Centralisation des opérations (surveillance, vérification de la configuration)
  • 22. #experiences18Microsoft experiences18 Et ensuite ? Comme voie à suivre Devenir natif Azure afin : • d’empêcher le déploiement de ressources non conformes • d’automatiser la remédiation • d’être "Secure by default"
  • 23. #experiences18Microsoft experiences18 Déploiement des politiques de sécurité Azure Prochaines étapes ✓ Le déploiement est automatisé – Le déploiement des stratégies est poussé à tous les abonnements selon l’arborescence des groups d’administration ✓ L'application des politiques est automatisée – L'inhérence est appliquée à tous les abonnements selon l’arborescence des groups d’administration ✓ La déclaration de conformité est multi niveau – Les résultats d'audit des politiques peuvent être consultés par les propriétaires d'abonnement via une lame Azure ou des gestionnaires IT ✓ Les rapports de conformité sont à plusieurs niveaux – Les propriétaires d'abonnement peuvent voir les résultats de l’audit de politiques via une lame Azure ou des responsables IT ✓ La remédiation est automatisée – La nouvelle fonctionnalité de remédiation d’Azure Policy permet aux utilisateurs d’avoir des échecs Défis résolus Groupes d'administration déployés pour les abonnements de test • Politiques de sécurité prêtes pour les pilotes (74) • Politiques d'infrastructure prêtes pour les pilotes (19) Adoption des groupes d'administrationde production • Journalisation de l’activité des groupes d'exploitation • RBAC améliorés pour les groupes d’administration
  • 24. #experiences18Microsoft experiences18 Vers la mise en œuvre d’une gouvernance moderne native Vitesse versus Contrôle Développement Gardien du Cloud Vitesse Contrôle Modèles Politiques RBAC Groupes d’administration Gestion des coûts Graphe de Ressources Gouvernance Azure Blueprints
  • 25. #experiences18Microsoft experiences18 Appliquer les politiques dans le cadre du processus de développement Se déplacer vers la gauche pourlivrerun code conformeplusrapidement
  • 26. #experiences18Microsoft experiences18 Appliquer les politiques dans le cadre du processus de développement Se déplacer vers la gauche pourlivrerun code conformeplusrapidement
  • 27. #experiences18Microsoft experiences18 En guise de conclusion Mettre en place des bonnes pratiques pour protéger votre environnement dans une posture « Assumer les violations » ! ;-) Inventorier vos actifs Investissez dans votre plate-forme. L'agilité et l'évolutivité nécessitent une réflexion prospective et la création de plates-formes le permettant Investissez dans votre Instrumentation Assurez-vous de mesurer de manière exhaustive les éléments de votre plate-forme Investissez dans vos personnes Des analystes qualifiés et des data scientists sont le fondement de la défense, tandis que les utilisateurs constituent le nouveau périmètre de sécurité Surveiller votre réseau, vos hôtes et vos journaux Tester régulièrement les contrôles pour l'exactitude et l'efficacité - RedTeam Mettre l’emphase sur la communication entre les équipes de réponse aux incidents Pratiquer une bonne hygiène Supprimer les droits d'administrateur permaments Définir les modèles et l’architecture Automatiser la sécurité – Rendre cela facile Tout le monde est responsable !
  • 28. #experiences18Microsoft experiences18 En guise de conclusion Utiliser le Secure DevOps Kit for Azure (AzSK) Il est très facile à démarrer avec des analyses de vulnérabilité non intrusives • Une seule ligne de PowerShell • Non intrusif : le rôle RBAC Reader est suffisant • Après le premier scan, il est fort possible que vous soyez occupé pendant un moment ! ;-) Lorsque les analyses de vulnérabilité AzSK sont déjà une habitude dans votre organisation, vous pouvez étendre l’outillage de bout en bout, de la machine du développeur au pipeline CI/CD, en passant par l'assurance continue • Configurer l’assurance continue pour Log Analytics • Configurer le support CI/CD avec les plugins Azure DevOps • Sensibiliser vos équipes sur les contrôles de sécurité défaillants les plus courants • Construire de nouveaux environnements sécurisés dès le départ avec le vérificateur de modèles ARM AzSK
  • 29. #experiences18Microsoft experiences18 Pour aller plus loin Sur SecDevOps SANS A DevSecOps Playbook Awesome DevSecOps sur GitHub : • Manifeste : devsecops.org/ github.com/devsecops/awesome-devsecops OWASP Glue sur GitHub : github.com/OWASP/glue
  • 30. #experiences18Microsoft experiences18 Pour aller plus loin Sur le Secure DevOps Kit for Azure (AzSK) Getting started with the Secure DevOps Kit for Azure (AzSK) Building cloud apps using the Secure DevOps Kit for Azure (IT showcase) Site web: https://azsk.azurewebsites.net/index.html Repo GitHub : github.com/azsk/DevOpsKit github.com/azsk/DevOpsKit-docs Support : mailto:azsdksupext@microsoft.com
  • 31. #experiences18Microsoft experiences18 Pour aller plus loin Avec des sessions lors de la conférence Ignite 2018 • BRK3062 - Architecting Security and Governance Across your Azure Subscriptions • BRK3085 - Deep dive into Implementing governance at scale through Azure Policy • THR2360 - Cloud governance at Microsoft through Azure Policy, management groups, and the Azure Secure DevOps Kit • THR2104 – Assess your Microsoft Azure security Center like a pro • THR2194 - Azure IT controls for automation and configurations of your Azure and on-prem environment • THR2358 Building cloud apps using the Secure DevOps for Azure Et d’autres informations et webcasts • Govern your Azure environment through Azure Policy - Build 2018 • Implement governance in Microsoft Azure at scale with policy-based management - Ignite 2017
  • 32. #experiences18Microsoft experiences18 Pour aller plus loin De la formation à la certification Microsoft Learning: http://learning.microsoft.com #experienceslive Pour des réponses à toutes vos questions techniques Microsoft Docs: https://docs.microsoft.com
  • 33. #experiences18Microsoft experiences18 Notez maintenant cette session Rendez-vous sur la fiche de la session sur http://experiences18.microsoft.fr Cliquez sur le bouton « Evaluer » #experienceslive