SlideShare une entreprise Scribd logo
équipe Meetup
Julien Bichon
Community ambassador
@jubichon
Talk 1
Back From Re:inforce
Stephan Hadinger & Christine Grassi
Talk 2
Les “Boundary Policy”
Jérémie Rodon
🍕🍕🍕🍻🍻🍻
Slack AWS User Group
Échangez et posez vos questions aux experts AWS.
https://bit.ly/awsfrmeetup
Meetup AWS #36 - Sécurité
Les “Boundary Policy”
Jérémie Rodon
Architecte Cloud
Une certaine passion pour la sécurité et
plus de 2 ans d’expérience
professionnelle sur AWS
Votre serviteur ce soir
jeremie.rodon@d2si.io
D2SI partenaire AWS
🎓 50 AWS Professional & 200 AWS Associate
&
DEVOPS & BIG DATA
+ 2 600 adhérents
Meetup AWS
AGENDA
1 Les habilitations dans AWS
3 Les “Boundary Policy”
2 L’escalade de privilèges
4 Aller plus loin : la protection de ressources
// Les habilitations dans
AWS1
Service IAM Le service IAM permet de
contrôler précisément Qui a quels Accès à
Quoi dans quelles Conditions
Identity and Access Management
Policy IAM Les policies utilisent une
syntaxe poussée, basée sur JSON, pour
exprimer des droits d’accès très précis
IAM : Les composants du service
Role
User Group
Policy
Statement - Une policy est un ensemble de
statements qui contiennent...
IAM : les Policy
Effect - Allow or Deny
Action - La liste d’actions concernée par
l’effet, sous la forme <service>:<api_call>.
Accepte les wildcards (*)
Resource - La liste des ressources pour
lesquels s’applique l’effet sur les actions.
Accepte les wildcards (*)
Condition - Une liste (optionnelle) de
conditions auxquelles s’applique l’effet sur les
actions pour les ressources
AssumeRolePolicy - Une Resource Policy
qui permet de définir Qui peut assumer le
role, éventuellement avec des conditions.
Dans la console, c’est elle qui determine la
Trust Relationship
IAM : les Role
Session - Lorsqu’on assume un role, on
obtient une session. Ce sont des credentials
temporaires qui ont les droits du role.
IAM : les Role
Moi et mes permissions
Un role et ses permissions
Mes droits
sts:AssumeRole
Session
=
credentials temporaires
Naviguer
entre
différents
comptes
AWS
Permettre à
un compte
AWS tiers
d’avoir un
accès
limité
Donner des
droits à un
service
AWS
Fédération
d’identité avec
un provider
externe
EC2, Lambda… Mais aussi Config, Firehose, CloudWatch Events et bien
d’autres...
Base des architectures multi-comptes, les utilisateurs utilisent des rôles pour
accéder aux comptes AWS qui les concernent
Besoin de donner à un fournisseur tiers un accès limité à un compte AWS ?
Role.
Vous souhaitez que vos utilisateurs utilisent leur compte d’entreprise pour se
connecter à la console AWS ? Encore role...
IAM : l’utilisation des Role
// L’escalade de privilèges2
L’escalade de privilèges, qu’est-ce donc ?
Tentative de définition : Fait, pour un utilisateur ayant des droits limités sur un système,
d’acquérir sur ce système des droits supplémentaires qui ne lui étaient pas destinés.
Et dans AWS ?
DevOps
projet EC2
ec2:RunInstances
ec2:StartInstances
ec2:StopInstances
etc...
iam:CreateRole
iam:PutRolePolicy
iam:CreateInstanceProfile
iam:AddRoleToInstanceProfile
etc...
Role
Créer
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
DEMO
// Les “Boundary Policy”3
Une policy - C’est une policy comme les
autres, utilisée en tant que boundary
IAM : les Boundary Policy
User ou Role - Une boundary ne peut être
appliquée que sur un user ou un role, pas sur
un groupe !
Frontière - Si elle est écrite correctement,
elle agit comme une frontière indépassable
pour l’utilisateur ou le role
Modifie les droits - Une boundary ne
donne aucun droit, mais on ne peut pas avoir
un droit qu’elle ne donne pas...
Protection - La boundary doit être écrite de
sorte à se protéger elle-même
Écrite correctement ?
Réplication - La boundary doit obliger celui
qui la porte à la répliquer sur les user/role qu’il
crée
Pas automatique - Contrairement à ce
qu’on entend parfois, les points précédents ne
sont pas une feature automatique des
boundary
Le fonctionnement des Boundary
DEMO
// Aller plus loin :
la protection de ressources
4
Les
systèmes
de
compliance
La
topologie
réseau
Les roles
d’Organizati
ons
Celui d’Organizations et de manière générale tous les roles de sécurité,
audit, etc...
On laisse la liberté aux utilisateurs, et des systèmes contrôlent la validité de
leurs systèmes et les avertissent
En général la topologie réseau est planifiée, les utilisateurs ont rarement le
droit d’attacher de nouveaux subnets au réseau d’entreprise
Des ressources à protéger
Comment protéger ces ressources ?
Comment protéger des ressources ?
● Les boundaries !
● Oui, jusqu’à fin mars 2019, il n’y avait pas le choix…
Mais maintenant il y a les SCP !
SCP Des IAM policy un peu spéciales qui
résident au niveau d’AWS Organizations
Service Control Policy
Service Control Historiquement, elles
permettaient uniquement de contrôler les
Action autorisées dans les comptes enfants,
sans bloc Resource ou Condition
Mars 2019 La date à laquelle les SCP se
sont mises à supporter les Resource et
Condition (uniquement sur des “Deny”)
Incontournable Les SCP s’appliquent aux
comptes d’une Organization et même le “root”
de ces comptes ne peut y échapper !
DEMO
DES QUESTIONS ?
Merci ! :)
Annexes
IAM decision FlowChart

Contenu connexe

Tendances

Alphorm.com Formation Azure Active Directory RMS et Azure Information Protection
Alphorm.com Formation Azure Active Directory RMS et Azure Information ProtectionAlphorm.com Formation Azure Active Directory RMS et Azure Information Protection
Alphorm.com Formation Azure Active Directory RMS et Azure Information Protection
Alphorm
 
Alphorm.com Formation Microsoft Azure: Les Machines Virtuelles
Alphorm.com Formation Microsoft Azure: Les Machines VirtuellesAlphorm.com Formation Microsoft Azure: Les Machines Virtuelles
Alphorm.com Formation Microsoft Azure: Les Machines Virtuelles
Alphorm
 
AWS Summit Paris - Track 1 - Session 2 - Designez vos architectures pour plus...
AWS Summit Paris - Track 1 - Session 2 - Designez vos architectures pour plus...AWS Summit Paris - Track 1 - Session 2 - Designez vos architectures pour plus...
AWS Summit Paris - Track 1 - Session 2 - Designez vos architectures pour plus...
Amazon Web Services
 
AWS Summit Paris - Track 1 - Session 3 - Abordez la migration de vos applicat...
AWS Summit Paris - Track 1 - Session 3 - Abordez la migration de vos applicat...AWS Summit Paris - Track 1 - Session 3 - Abordez la migration de vos applicat...
AWS Summit Paris - Track 1 - Session 3 - Abordez la migration de vos applicat...
Amazon Web Services
 
AWS Summit Paris - Track 1 - Session 1 - Boostez votre activité l'impact de ...
AWS Summit Paris - Track 1 - Session 1 - Boostez votre activité  l'impact de ...AWS Summit Paris - Track 1 - Session 1 - Boostez votre activité  l'impact de ...
AWS Summit Paris - Track 1 - Session 1 - Boostez votre activité l'impact de ...
Amazon Web Services
 
Présentation des services AWS
Présentation des services AWSPrésentation des services AWS
Présentation des services AWS
Julien SIMON
 
Alphorm.com Formation Elastic : Maitriser les fondamentaux
Alphorm.com Formation Elastic : Maitriser les fondamentauxAlphorm.com Formation Elastic : Maitriser les fondamentaux
Alphorm.com Formation Elastic : Maitriser les fondamentaux
Alphorm
 
AWS Summit Paris - Track 3 - Session 2 - IoT Partie 2 - Mettez en place l'inf...
AWS Summit Paris - Track 3 - Session 2 - IoT Partie 2 - Mettez en place l'inf...AWS Summit Paris - Track 3 - Session 2 - IoT Partie 2 - Mettez en place l'inf...
AWS Summit Paris - Track 3 - Session 2 - IoT Partie 2 - Mettez en place l'inf...
Amazon Web Services
 
AWS Paris Summit 2014 - T3 - Architecturer avec AWS pour des millions d'util...
AWS Paris Summit 2014 - T3 -  Architecturer avec AWS pour des millions d'util...AWS Paris Summit 2014 - T3 -  Architecturer avec AWS pour des millions d'util...
AWS Paris Summit 2014 - T3 - Architecturer avec AWS pour des millions d'util...
Amazon Web Services
 
Un Voyage dans le Cloud - Dev & Test
Un Voyage dans le Cloud - Dev & Test Un Voyage dans le Cloud - Dev & Test
Un Voyage dans le Cloud - Dev & Test
Amazon Web Services
 
Modèle de sécurité AWS
Modèle de sécurité AWSModèle de sécurité AWS
Modèle de sécurité AWS
Julien SIMON
 
AWS Paris Summit 2014 - T3 - Evolution des architectures VPC
AWS Paris Summit 2014 - T3 - Evolution des architectures VPCAWS Paris Summit 2014 - T3 - Evolution des architectures VPC
AWS Paris Summit 2014 - T3 - Evolution des architectures VPC
Amazon Web Services
 
AWSome Day à Québec - 2019
AWSome Day à Québec - 2019AWSome Day à Québec - 2019
AWSome Day à Québec - 2019
Amazon Web Services
 
AWS Summit Paris - Track 3 - Session 3 - Découvrez Amazon WorkSpaces et WorkS...
AWS Summit Paris - Track 3 - Session 3 - Découvrez Amazon WorkSpaces et WorkS...AWS Summit Paris - Track 3 - Session 3 - Découvrez Amazon WorkSpaces et WorkS...
AWS Summit Paris - Track 3 - Session 3 - Découvrez Amazon WorkSpaces et WorkS...
Amazon Web Services
 
Alphorm.com Formation Microsoft Azure (AZ-303) : Architecture technologies
Alphorm.com Formation Microsoft Azure (AZ-303) : Architecture technologiesAlphorm.com Formation Microsoft Azure (AZ-303) : Architecture technologies
Alphorm.com Formation Microsoft Azure (AZ-303) : Architecture technologies
Alphorm
 
AWS Paris Summit 2014 - T4 - Etre partenaire AWS : Construisez votre business...
AWS Paris Summit 2014 - T4 - Etre partenaire AWS : Construisez votre business...AWS Paris Summit 2014 - T4 - Etre partenaire AWS : Construisez votre business...
AWS Paris Summit 2014 - T4 - Etre partenaire AWS : Construisez votre business...
Amazon Web Services
 
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiquesAlphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
Alphorm
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Patrick Leclerc
 
Alphorm.com Formation Microsoft Azure: Le Réseau Virtuel
Alphorm.com Formation Microsoft Azure: Le Réseau VirtuelAlphorm.com Formation Microsoft Azure: Le Réseau Virtuel
Alphorm.com Formation Microsoft Azure: Le Réseau Virtuel
Alphorm
 
Alphorm.com Formation Microsoft Azure: Le stockage
Alphorm.com Formation Microsoft Azure: Le stockageAlphorm.com Formation Microsoft Azure: Le stockage
Alphorm.com Formation Microsoft Azure: Le stockage
Alphorm
 

Tendances (20)

Alphorm.com Formation Azure Active Directory RMS et Azure Information Protection
Alphorm.com Formation Azure Active Directory RMS et Azure Information ProtectionAlphorm.com Formation Azure Active Directory RMS et Azure Information Protection
Alphorm.com Formation Azure Active Directory RMS et Azure Information Protection
 
Alphorm.com Formation Microsoft Azure: Les Machines Virtuelles
Alphorm.com Formation Microsoft Azure: Les Machines VirtuellesAlphorm.com Formation Microsoft Azure: Les Machines Virtuelles
Alphorm.com Formation Microsoft Azure: Les Machines Virtuelles
 
AWS Summit Paris - Track 1 - Session 2 - Designez vos architectures pour plus...
AWS Summit Paris - Track 1 - Session 2 - Designez vos architectures pour plus...AWS Summit Paris - Track 1 - Session 2 - Designez vos architectures pour plus...
AWS Summit Paris - Track 1 - Session 2 - Designez vos architectures pour plus...
 
AWS Summit Paris - Track 1 - Session 3 - Abordez la migration de vos applicat...
AWS Summit Paris - Track 1 - Session 3 - Abordez la migration de vos applicat...AWS Summit Paris - Track 1 - Session 3 - Abordez la migration de vos applicat...
AWS Summit Paris - Track 1 - Session 3 - Abordez la migration de vos applicat...
 
AWS Summit Paris - Track 1 - Session 1 - Boostez votre activité l'impact de ...
AWS Summit Paris - Track 1 - Session 1 - Boostez votre activité  l'impact de ...AWS Summit Paris - Track 1 - Session 1 - Boostez votre activité  l'impact de ...
AWS Summit Paris - Track 1 - Session 1 - Boostez votre activité l'impact de ...
 
Présentation des services AWS
Présentation des services AWSPrésentation des services AWS
Présentation des services AWS
 
Alphorm.com Formation Elastic : Maitriser les fondamentaux
Alphorm.com Formation Elastic : Maitriser les fondamentauxAlphorm.com Formation Elastic : Maitriser les fondamentaux
Alphorm.com Formation Elastic : Maitriser les fondamentaux
 
AWS Summit Paris - Track 3 - Session 2 - IoT Partie 2 - Mettez en place l'inf...
AWS Summit Paris - Track 3 - Session 2 - IoT Partie 2 - Mettez en place l'inf...AWS Summit Paris - Track 3 - Session 2 - IoT Partie 2 - Mettez en place l'inf...
AWS Summit Paris - Track 3 - Session 2 - IoT Partie 2 - Mettez en place l'inf...
 
AWS Paris Summit 2014 - T3 - Architecturer avec AWS pour des millions d'util...
AWS Paris Summit 2014 - T3 -  Architecturer avec AWS pour des millions d'util...AWS Paris Summit 2014 - T3 -  Architecturer avec AWS pour des millions d'util...
AWS Paris Summit 2014 - T3 - Architecturer avec AWS pour des millions d'util...
 
Un Voyage dans le Cloud - Dev & Test
Un Voyage dans le Cloud - Dev & Test Un Voyage dans le Cloud - Dev & Test
Un Voyage dans le Cloud - Dev & Test
 
Modèle de sécurité AWS
Modèle de sécurité AWSModèle de sécurité AWS
Modèle de sécurité AWS
 
AWS Paris Summit 2014 - T3 - Evolution des architectures VPC
AWS Paris Summit 2014 - T3 - Evolution des architectures VPCAWS Paris Summit 2014 - T3 - Evolution des architectures VPC
AWS Paris Summit 2014 - T3 - Evolution des architectures VPC
 
AWSome Day à Québec - 2019
AWSome Day à Québec - 2019AWSome Day à Québec - 2019
AWSome Day à Québec - 2019
 
AWS Summit Paris - Track 3 - Session 3 - Découvrez Amazon WorkSpaces et WorkS...
AWS Summit Paris - Track 3 - Session 3 - Découvrez Amazon WorkSpaces et WorkS...AWS Summit Paris - Track 3 - Session 3 - Découvrez Amazon WorkSpaces et WorkS...
AWS Summit Paris - Track 3 - Session 3 - Découvrez Amazon WorkSpaces et WorkS...
 
Alphorm.com Formation Microsoft Azure (AZ-303) : Architecture technologies
Alphorm.com Formation Microsoft Azure (AZ-303) : Architecture technologiesAlphorm.com Formation Microsoft Azure (AZ-303) : Architecture technologies
Alphorm.com Formation Microsoft Azure (AZ-303) : Architecture technologies
 
AWS Paris Summit 2014 - T4 - Etre partenaire AWS : Construisez votre business...
AWS Paris Summit 2014 - T4 - Etre partenaire AWS : Construisez votre business...AWS Paris Summit 2014 - T4 - Etre partenaire AWS : Construisez votre business...
AWS Paris Summit 2014 - T4 - Etre partenaire AWS : Construisez votre business...
 
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiquesAlphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
 
Alphorm.com Formation Microsoft Azure: Le Réseau Virtuel
Alphorm.com Formation Microsoft Azure: Le Réseau VirtuelAlphorm.com Formation Microsoft Azure: Le Réseau Virtuel
Alphorm.com Formation Microsoft Azure: Le Réseau Virtuel
 
Alphorm.com Formation Microsoft Azure: Le stockage
Alphorm.com Formation Microsoft Azure: Le stockageAlphorm.com Formation Microsoft Azure: Le stockage
Alphorm.com Formation Microsoft Azure: Le stockage
 

Similaire à Meetup Sécurité - AWS - Boundary Policy

Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et Web
Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et WebAlphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et Web
Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et Web
Alphorm
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Microsoft Technet France
 
MSEXP : Monitoring et sécurisation des identités Azure
MSEXP : Monitoring et sécurisation des identités AzureMSEXP : Monitoring et sécurisation des identités Azure
MSEXP : Monitoring et sécurisation des identités Azure
MickaelLOPES91
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Maxime Rastello
 
Cozy Cloud, Pour un meilleur web
Cozy Cloud, Pour un meilleur webCozy Cloud, Pour un meilleur web
Cozy Cloud, Pour un meilleur web
Frank Rousseau
 
base-de-donnees-whois.ppt
base-de-donnees-whois.pptbase-de-donnees-whois.ppt
base-de-donnees-whois.pptwebhostingguy
 
Alphorm.com Formation Microsoft Azure (AZ-500) : Sécurité
Alphorm.com Formation Microsoft Azure (AZ-500) : SécuritéAlphorm.com Formation Microsoft Azure (AZ-500) : Sécurité
Alphorm.com Formation Microsoft Azure (AZ-500) : Sécurité
Alphorm
 
Alphorm.com Formation AWS Certified Security : Specialty
Alphorm.com Formation AWS Certified Security : SpecialtyAlphorm.com Formation AWS Certified Security : Specialty
Alphorm.com Formation AWS Certified Security : Specialty
Alphorm
 
AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...
AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...
AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...
NBS System
 
Alphorm.com Formation CND 2/2: Réussir la certification
Alphorm.com Formation CND 2/2: Réussir la certificationAlphorm.com Formation CND 2/2: Réussir la certification
Alphorm.com Formation CND 2/2: Réussir la certification
Alphorm
 
AWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
AWS et NBS System présentent la Très Haute Sécurité - Emile HeitorAWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
AWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
NBS System
 
LemonLDAP::NG et le support SAML2 (RMLL 2010)
LemonLDAP::NG et le support SAML2 (RMLL 2010)LemonLDAP::NG et le support SAML2 (RMLL 2010)
LemonLDAP::NG et le support SAML2 (RMLL 2010)
Clément OUDOT
 
La sécurité avec SQL Server 2012
La sécurité avec SQL Server 2012La sécurité avec SQL Server 2012
La sécurité avec SQL Server 2012
Microsoft Technet France
 
Normation solutions linux automatisation si complexes
Normation solutions linux automatisation si complexesNormation solutions linux automatisation si complexes
Normation solutions linux automatisation si complexesRUDDER
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
Mohammed Zaoui
 
Sécurite Amazon Web Services
Sécurite Amazon Web ServicesSécurite Amazon Web Services
Sécurite Amazon Web Services
Aurélien Pelletier
 
Gibtalk aws
Gibtalk awsGibtalk aws
Gibtalk awsmeliphen
 
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Microsoft Décideurs IT
 
Authentification et autorisation d'accès avec AWS IAM
Authentification et autorisation d'accès avec AWS IAMAuthentification et autorisation d'accès avec AWS IAM
Authentification et autorisation d'accès avec AWS IAM
Julien SIMON
 
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Microsoft Technet France
 

Similaire à Meetup Sécurité - AWS - Boundary Policy (20)

Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et Web
Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et WebAlphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et Web
Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et Web
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
 
MSEXP : Monitoring et sécurisation des identités Azure
MSEXP : Monitoring et sécurisation des identités AzureMSEXP : Monitoring et sécurisation des identités Azure
MSEXP : Monitoring et sécurisation des identités Azure
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
 
Cozy Cloud, Pour un meilleur web
Cozy Cloud, Pour un meilleur webCozy Cloud, Pour un meilleur web
Cozy Cloud, Pour un meilleur web
 
base-de-donnees-whois.ppt
base-de-donnees-whois.pptbase-de-donnees-whois.ppt
base-de-donnees-whois.ppt
 
Alphorm.com Formation Microsoft Azure (AZ-500) : Sécurité
Alphorm.com Formation Microsoft Azure (AZ-500) : SécuritéAlphorm.com Formation Microsoft Azure (AZ-500) : Sécurité
Alphorm.com Formation Microsoft Azure (AZ-500) : Sécurité
 
Alphorm.com Formation AWS Certified Security : Specialty
Alphorm.com Formation AWS Certified Security : SpecialtyAlphorm.com Formation AWS Certified Security : Specialty
Alphorm.com Formation AWS Certified Security : Specialty
 
AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...
AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...
AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...
 
Alphorm.com Formation CND 2/2: Réussir la certification
Alphorm.com Formation CND 2/2: Réussir la certificationAlphorm.com Formation CND 2/2: Réussir la certification
Alphorm.com Formation CND 2/2: Réussir la certification
 
AWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
AWS et NBS System présentent la Très Haute Sécurité - Emile HeitorAWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
AWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
 
LemonLDAP::NG et le support SAML2 (RMLL 2010)
LemonLDAP::NG et le support SAML2 (RMLL 2010)LemonLDAP::NG et le support SAML2 (RMLL 2010)
LemonLDAP::NG et le support SAML2 (RMLL 2010)
 
La sécurité avec SQL Server 2012
La sécurité avec SQL Server 2012La sécurité avec SQL Server 2012
La sécurité avec SQL Server 2012
 
Normation solutions linux automatisation si complexes
Normation solutions linux automatisation si complexesNormation solutions linux automatisation si complexes
Normation solutions linux automatisation si complexes
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
 
Sécurite Amazon Web Services
Sécurite Amazon Web ServicesSécurite Amazon Web Services
Sécurite Amazon Web Services
 
Gibtalk aws
Gibtalk awsGibtalk aws
Gibtalk aws
 
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
 
Authentification et autorisation d'accès avec AWS IAM
Authentification et autorisation d'accès avec AWS IAMAuthentification et autorisation d'accès avec AWS IAM
Authentification et autorisation d'accès avec AWS IAM
 
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
 

Plus de Devoteam Revolve

Talk be secret like a ninja with Vault
Talk  be secret like a ninja with VaultTalk  be secret like a ninja with Vault
Talk be secret like a ninja with Vault
Devoteam Revolve
 
How to scale with Terraform
How to scale with TerraformHow to scale with Terraform
How to scale with Terraform
Devoteam Revolve
 
Formations AWS - Catalogue D2SI Authorized Training Partner
Formations AWS - Catalogue D2SI Authorized Training PartnerFormations AWS - Catalogue D2SI Authorized Training Partner
Formations AWS - Catalogue D2SI Authorized Training Partner
Devoteam Revolve
 
Meetup Sécurité - AWS - Recap Reinforce 2019
Meetup Sécurité - AWS - Recap Reinforce 2019Meetup Sécurité - AWS - Recap Reinforce 2019
Meetup Sécurité - AWS - Recap Reinforce 2019
Devoteam Revolve
 
Meetup Sobriété numérique
Meetup Sobriété numériqueMeetup Sobriété numérique
Meetup Sobriété numérique
Devoteam Revolve
 
La DSI plateforme : DevOps, Agilité et Cloud
La DSI plateforme : DevOps, Agilité et CloudLa DSI plateforme : DevOps, Agilité et Cloud
La DSI plateforme : DevOps, Agilité et Cloud
Devoteam Revolve
 
Sécurité via l'automatisation : DevOps pour InfoSec. chez Renault Digital - A...
Sécurité via l'automatisation : DevOps pour InfoSec. chez Renault Digital - A...Sécurité via l'automatisation : DevOps pour InfoSec. chez Renault Digital - A...
Sécurité via l'automatisation : DevOps pour InfoSec. chez Renault Digital - A...
Devoteam Revolve
 
Scaling @Bouygues Telecom AWS Paris 2019
Scaling @Bouygues Telecom AWS Paris 2019Scaling @Bouygues Telecom AWS Paris 2019
Scaling @Bouygues Telecom AWS Paris 2019
Devoteam Revolve
 
Entreprise Plateforme - Le nouveau modèle ?
Entreprise Plateforme - Le nouveau modèle ? Entreprise Plateforme - Le nouveau modèle ?
Entreprise Plateforme - Le nouveau modèle ?
Devoteam Revolve
 
A way to share secrets in your pipeline - Hashidays 2018
A way to share secrets in your pipeline - Hashidays 2018A way to share secrets in your pipeline - Hashidays 2018
A way to share secrets in your pipeline - Hashidays 2018
Devoteam Revolve
 
Transformation Cloud & DevOps chez Renault Digital - AWS Summit Paris 2018
Transformation Cloud & DevOps chez Renault Digital - AWS Summit Paris 2018Transformation Cloud & DevOps chez Renault Digital - AWS Summit Paris 2018
Transformation Cloud & DevOps chez Renault Digital - AWS Summit Paris 2018
Devoteam Revolve
 
Automation of Active Directory's Deployments on AWS
Automation of Active Directory's Deployments on AWSAutomation of Active Directory's Deployments on AWS
Automation of Active Directory's Deployments on AWS
Devoteam Revolve
 
AWS Summit Paris 2017 : DevOps in a container world
AWS Summit Paris 2017 : DevOps in a container worldAWS Summit Paris 2017 : DevOps in a container world
AWS Summit Paris 2017 : DevOps in a container world
Devoteam Revolve
 
AWS Summit Paris 2017 : AWS loves Microsoft Workloads
AWS Summit Paris 2017 : AWS loves Microsoft WorkloadsAWS Summit Paris 2017 : AWS loves Microsoft Workloads
AWS Summit Paris 2017 : AWS loves Microsoft Workloads
Devoteam Revolve
 
AWS Summit Paris 2017 : Gameday Veolia
AWS Summit Paris 2017 : Gameday VeoliaAWS Summit Paris 2017 : Gameday Veolia
AWS Summit Paris 2017 : Gameday Veolia
Devoteam Revolve
 
Meetup Responsive Org #1
Meetup Responsive Org #1Meetup Responsive Org #1
Meetup Responsive Org #1
Devoteam Revolve
 
Continuous integration of_puppet_code
Continuous integration of_puppet_codeContinuous integration of_puppet_code
Continuous integration of_puppet_code
Devoteam Revolve
 
Réunion de triage en holacratie v2
Réunion de triage en holacratie v2Réunion de triage en holacratie v2
Réunion de triage en holacratie v2
Devoteam Revolve
 
[Oldies] Club client D2SI : DevOps
[Oldies] Club client D2SI : DevOps [Oldies] Club client D2SI : DevOps
[Oldies] Club client D2SI : DevOps
Devoteam Revolve
 
Présentation D2SI AWS Summit Paris 2014
Présentation D2SI AWS Summit Paris 2014Présentation D2SI AWS Summit Paris 2014
Présentation D2SI AWS Summit Paris 2014
Devoteam Revolve
 

Plus de Devoteam Revolve (20)

Talk be secret like a ninja with Vault
Talk  be secret like a ninja with VaultTalk  be secret like a ninja with Vault
Talk be secret like a ninja with Vault
 
How to scale with Terraform
How to scale with TerraformHow to scale with Terraform
How to scale with Terraform
 
Formations AWS - Catalogue D2SI Authorized Training Partner
Formations AWS - Catalogue D2SI Authorized Training PartnerFormations AWS - Catalogue D2SI Authorized Training Partner
Formations AWS - Catalogue D2SI Authorized Training Partner
 
Meetup Sécurité - AWS - Recap Reinforce 2019
Meetup Sécurité - AWS - Recap Reinforce 2019Meetup Sécurité - AWS - Recap Reinforce 2019
Meetup Sécurité - AWS - Recap Reinforce 2019
 
Meetup Sobriété numérique
Meetup Sobriété numériqueMeetup Sobriété numérique
Meetup Sobriété numérique
 
La DSI plateforme : DevOps, Agilité et Cloud
La DSI plateforme : DevOps, Agilité et CloudLa DSI plateforme : DevOps, Agilité et Cloud
La DSI plateforme : DevOps, Agilité et Cloud
 
Sécurité via l'automatisation : DevOps pour InfoSec. chez Renault Digital - A...
Sécurité via l'automatisation : DevOps pour InfoSec. chez Renault Digital - A...Sécurité via l'automatisation : DevOps pour InfoSec. chez Renault Digital - A...
Sécurité via l'automatisation : DevOps pour InfoSec. chez Renault Digital - A...
 
Scaling @Bouygues Telecom AWS Paris 2019
Scaling @Bouygues Telecom AWS Paris 2019Scaling @Bouygues Telecom AWS Paris 2019
Scaling @Bouygues Telecom AWS Paris 2019
 
Entreprise Plateforme - Le nouveau modèle ?
Entreprise Plateforme - Le nouveau modèle ? Entreprise Plateforme - Le nouveau modèle ?
Entreprise Plateforme - Le nouveau modèle ?
 
A way to share secrets in your pipeline - Hashidays 2018
A way to share secrets in your pipeline - Hashidays 2018A way to share secrets in your pipeline - Hashidays 2018
A way to share secrets in your pipeline - Hashidays 2018
 
Transformation Cloud & DevOps chez Renault Digital - AWS Summit Paris 2018
Transformation Cloud & DevOps chez Renault Digital - AWS Summit Paris 2018Transformation Cloud & DevOps chez Renault Digital - AWS Summit Paris 2018
Transformation Cloud & DevOps chez Renault Digital - AWS Summit Paris 2018
 
Automation of Active Directory's Deployments on AWS
Automation of Active Directory's Deployments on AWSAutomation of Active Directory's Deployments on AWS
Automation of Active Directory's Deployments on AWS
 
AWS Summit Paris 2017 : DevOps in a container world
AWS Summit Paris 2017 : DevOps in a container worldAWS Summit Paris 2017 : DevOps in a container world
AWS Summit Paris 2017 : DevOps in a container world
 
AWS Summit Paris 2017 : AWS loves Microsoft Workloads
AWS Summit Paris 2017 : AWS loves Microsoft WorkloadsAWS Summit Paris 2017 : AWS loves Microsoft Workloads
AWS Summit Paris 2017 : AWS loves Microsoft Workloads
 
AWS Summit Paris 2017 : Gameday Veolia
AWS Summit Paris 2017 : Gameday VeoliaAWS Summit Paris 2017 : Gameday Veolia
AWS Summit Paris 2017 : Gameday Veolia
 
Meetup Responsive Org #1
Meetup Responsive Org #1Meetup Responsive Org #1
Meetup Responsive Org #1
 
Continuous integration of_puppet_code
Continuous integration of_puppet_codeContinuous integration of_puppet_code
Continuous integration of_puppet_code
 
Réunion de triage en holacratie v2
Réunion de triage en holacratie v2Réunion de triage en holacratie v2
Réunion de triage en holacratie v2
 
[Oldies] Club client D2SI : DevOps
[Oldies] Club client D2SI : DevOps [Oldies] Club client D2SI : DevOps
[Oldies] Club client D2SI : DevOps
 
Présentation D2SI AWS Summit Paris 2014
Présentation D2SI AWS Summit Paris 2014Présentation D2SI AWS Summit Paris 2014
Présentation D2SI AWS Summit Paris 2014
 

Dernier

Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
UNITECBordeaux
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
OCTO Technology
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Laurent Speyser
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
OCTO Technology
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
Université de Franche-Comté
 
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO Technology
 

Dernier (6)

Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
 
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
 

Meetup Sécurité - AWS - Boundary Policy

  • 1.
  • 2. équipe Meetup Julien Bichon Community ambassador @jubichon Talk 1 Back From Re:inforce Stephan Hadinger & Christine Grassi Talk 2 Les “Boundary Policy” Jérémie Rodon 🍕🍕🍕🍻🍻🍻
  • 3. Slack AWS User Group Échangez et posez vos questions aux experts AWS. https://bit.ly/awsfrmeetup
  • 4. Meetup AWS #36 - Sécurité Les “Boundary Policy”
  • 5. Jérémie Rodon Architecte Cloud Une certaine passion pour la sécurité et plus de 2 ans d’expérience professionnelle sur AWS Votre serviteur ce soir jeremie.rodon@d2si.io
  • 6. D2SI partenaire AWS 🎓 50 AWS Professional & 200 AWS Associate & DEVOPS & BIG DATA + 2 600 adhérents Meetup AWS
  • 7. AGENDA 1 Les habilitations dans AWS 3 Les “Boundary Policy” 2 L’escalade de privilèges 4 Aller plus loin : la protection de ressources
  • 9. Service IAM Le service IAM permet de contrôler précisément Qui a quels Accès à Quoi dans quelles Conditions Identity and Access Management Policy IAM Les policies utilisent une syntaxe poussée, basée sur JSON, pour exprimer des droits d’accès très précis
  • 10. IAM : Les composants du service Role User Group Policy
  • 11. Statement - Une policy est un ensemble de statements qui contiennent... IAM : les Policy Effect - Allow or Deny Action - La liste d’actions concernée par l’effet, sous la forme <service>:<api_call>. Accepte les wildcards (*) Resource - La liste des ressources pour lesquels s’applique l’effet sur les actions. Accepte les wildcards (*) Condition - Une liste (optionnelle) de conditions auxquelles s’applique l’effet sur les actions pour les ressources
  • 12. AssumeRolePolicy - Une Resource Policy qui permet de définir Qui peut assumer le role, éventuellement avec des conditions. Dans la console, c’est elle qui determine la Trust Relationship IAM : les Role Session - Lorsqu’on assume un role, on obtient une session. Ce sont des credentials temporaires qui ont les droits du role.
  • 13. IAM : les Role Moi et mes permissions Un role et ses permissions Mes droits sts:AssumeRole Session = credentials temporaires
  • 14. Naviguer entre différents comptes AWS Permettre à un compte AWS tiers d’avoir un accès limité Donner des droits à un service AWS Fédération d’identité avec un provider externe EC2, Lambda… Mais aussi Config, Firehose, CloudWatch Events et bien d’autres... Base des architectures multi-comptes, les utilisateurs utilisent des rôles pour accéder aux comptes AWS qui les concernent Besoin de donner à un fournisseur tiers un accès limité à un compte AWS ? Role. Vous souhaitez que vos utilisateurs utilisent leur compte d’entreprise pour se connecter à la console AWS ? Encore role... IAM : l’utilisation des Role
  • 15. // L’escalade de privilèges2
  • 16. L’escalade de privilèges, qu’est-ce donc ? Tentative de définition : Fait, pour un utilisateur ayant des droits limités sur un système, d’acquérir sur ce système des droits supplémentaires qui ne lui étaient pas destinés.
  • 17. Et dans AWS ? DevOps projet EC2 ec2:RunInstances ec2:StartInstances ec2:StopInstances etc... iam:CreateRole iam:PutRolePolicy iam:CreateInstanceProfile iam:AddRoleToInstanceProfile etc... Role Créer { "Effect": "Allow", "Action": "*", "Resource": "*" }
  • 18. DEMO
  • 19. // Les “Boundary Policy”3
  • 20. Une policy - C’est une policy comme les autres, utilisée en tant que boundary IAM : les Boundary Policy User ou Role - Une boundary ne peut être appliquée que sur un user ou un role, pas sur un groupe ! Frontière - Si elle est écrite correctement, elle agit comme une frontière indépassable pour l’utilisateur ou le role Modifie les droits - Une boundary ne donne aucun droit, mais on ne peut pas avoir un droit qu’elle ne donne pas...
  • 21. Protection - La boundary doit être écrite de sorte à se protéger elle-même Écrite correctement ? Réplication - La boundary doit obliger celui qui la porte à la répliquer sur les user/role qu’il crée Pas automatique - Contrairement à ce qu’on entend parfois, les points précédents ne sont pas une feature automatique des boundary
  • 23. DEMO
  • 24. // Aller plus loin : la protection de ressources 4
  • 25. Les systèmes de compliance La topologie réseau Les roles d’Organizati ons Celui d’Organizations et de manière générale tous les roles de sécurité, audit, etc... On laisse la liberté aux utilisateurs, et des systèmes contrôlent la validité de leurs systèmes et les avertissent En général la topologie réseau est planifiée, les utilisateurs ont rarement le droit d’attacher de nouveaux subnets au réseau d’entreprise Des ressources à protéger Comment protéger ces ressources ?
  • 26. Comment protéger des ressources ? ● Les boundaries ! ● Oui, jusqu’à fin mars 2019, il n’y avait pas le choix… Mais maintenant il y a les SCP !
  • 27. SCP Des IAM policy un peu spéciales qui résident au niveau d’AWS Organizations Service Control Policy Service Control Historiquement, elles permettaient uniquement de contrôler les Action autorisées dans les comptes enfants, sans bloc Resource ou Condition Mars 2019 La date à laquelle les SCP se sont mises à supporter les Resource et Condition (uniquement sur des “Deny”) Incontournable Les SCP s’appliquent aux comptes d’une Organization et même le “root” de ces comptes ne peut y échapper !
  • 28. DEMO