Migrez vos applications critiques sur le Cloud AWS
Transcription
Migrez vos applications critiques sur le Cloud AWS
Migrez vos applications critiques sur le Cloud AWS Damián Arregui, Solutions Architect, AWS Mardi 31 Mai 2016 © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Au menu Le Cloud AWS: infrastructure et connectivité Modèle de sécurité partagé Outils pour la sécurité • Contrôle (des accès) • Visibilité (des actions) • Protection (des données) TECHNICAL & BUSINESS SUPPORT Support HYBRID ARCHITECTURE Integrated Networking MARKETPLACE Business Apps Business Intelligence ANALYTICS APP SERVICES Data Warehousing Professional Services Direct Connect Business Intelligence DevOps Tools Security MOBILE SERVICES Queuing & Notifications Networking DEVELOPMENT & OPERATIONS API Gateway One-click App Deployment Identity DevOps Resource Management Workflow Hadoop/ Spark Streaming Data Analysis Partner Ecosystem Identity Federation Streaming Data Collection Integrated App Deployments Elastic Search Search Mobile Analytics Transcoding Virtual Desktops Device Shadows Sharing & Collaboration Device SDKs Containers Single Integrated Console Triggers Push Notifications Resource Templates Device Gateway Registry Corporate Email Backup SECURITY & COMPLIANCE Identity Management Security & Pricing Reports Storage ENTERPRISE APPS Rules Engine Email Solutions Architects Account Management IoT Application Lifecycle Management Sync Machine Learning Training & Certification Databases Access Control Key Management & Storage Data Backups Monitoring & Logs Configuration Compliance Web application firewall Assessment and reporting Resource & Usage Auditing CORE SERVICES Compute Storage VMs, Auto-scaling, & Load Balancing Object, Blocks, Archival, Import/Export Databases CDN Relational, NoSQL, Caching, Migration Networking VPC, DX, DNS INFRASTRUCTURE Integrated Resource Management Regions Availability Zones Points of Presence Infrastructure globale AWS 12 Régions 33 Zones de disponibilité 54 Emplacements périphériques Région Emplacement périphérique Europe Région Irlande Région Frankfurt Zones de disponibilité: 3 Zones de disponibilité: 2 Ouverte en 2007 Ouverte en 2014 Région Londres Annoncée Emplacements périphériques Amsterdam, Pays Bas (2); Dublin, Irelande; Frankfurt, Allemagne (3); London, Angelterre (3); Madrid, Espagne; Marseille, France; Milan, Italie; Paris, France (2); Stockholm, Suède; Varsovie, Pologne Haute disponibilité Amazon Virtual Private Cloud (VPC) Internet Gateway VPC CIDR 10.10.0.0/16 AZ A AZ B Existing Data Center VPC Public Subnet 10.10.1.0/24 VPC Public Subnet 10.10.2.0/24 Public Elastic Load Balancing Auto Scaling Web Tier VPN Connection Customer Gateway Virtual Private Gateway Internal Elastic Load Balancing Administrators and Corporate Users AWS Direct Connect Network Partner Location Auto Scaling Application Tier VPC Private Subnet 10.10.4.0/24 VPC Private Subnet 10.10.3.0/24 Amazon RDS Standby VPC Private Subnet 10.10.5.0/24 Multi-AZ RDS Data Tier Snapshots Amazon RDS Master VPC Private Subnet 10.10.6.0/24 La sécurité est notre première priorité PEOPLE & PROCESS SYSTEM NETWORK PHYSICAL Un modèle de sécurité familier Validé et orienté par les experts sécurité de nos clients Bénéficie l’ensemble de nos clients Modèle de sécurité partagé Certifications AWS Avantages Un environnement construit pour les organisations les plus sensibles en termes de sécurité AWS gère plus de 1800+ points de contrôle pour que vous n’ayez pas à le faire Vous définissez vos propres politiques de sécurité en fonction de la criticité de votre application Vous gardez la propriété et le contrôle total de vos données Agilité OU ET Sécurité Contrôle AWS Identity and Access Management (IAM) Qui? Utilisateur, groupe ou rôle Quoi? Ressource AWS Comment? Opération dans l’API Où? Depuis quelle IP Quand? Plage horaire Langage de règles unifié { "Statement": { "Effect": "Allow", "Action": "ec2:TerminateInstances", "Resource": "arn:aws:ec2:ap-southeast-1:444455556666:instance/*", "Condition" : { “Bool": {"aws:MultiFactorAuthPresent": "true"}, ET "NumericLessThan":{"aws:MultiFactorAuthAge":"300"}, "IpAddress" : {"aws:SourceIp" : ["10.0.2.0/28", “203.0.113.0/29"]} } } OU Contrôle renforcé Authentification multi-facteur • Token physique • Token virtuel • SMS (preview) Fédération d’identités • SAMLv2 (ex: ADFS) Ségrégation multi-compte Meilleures pratiques d’isolation Compte AWS Facturation Compte AWS Amazon S3 CloudTrail Config CW Logs Compte AWS Utilisateurs IAM User Amazon S3 Compte(s) AWS Assume Role Ressources AWS Compte AWS Accès temporaires Annuaire d’entreprise + SAML v2 Audit interne IAM Role Admin IAM Role Dev IAM Role DBA Meilleures pratiques d’isolation Compte AWS Facturation Compte AWS Amazon S3 CloudTrail Config CW Logs 2. Visibilité Compte AWS Utilisateurs IAM User Amazon S3 Compte(s) AWS Assume Role Ressources AWS 3. Protection Accès Audit interne 1. Contrôle temporaires Annuaire d’entreprise + SAML v2 Compte AWS IAM Role Admin IAM Role Dev IAM Role DBA Visibilité AWS CloudTrail Qui a invoqué l’API? Quand l’appel a été fait? Quelle opération? Quelles ressources étaient concernées? (depuis et vers) Où l’appel a été fait ? A quoi ressemble un évènement? { "eventVersion": "1.01", "userIdentity": { "type": "IAMUser", // Who? "principalId": "AIDAJDPLRKLG7UEXAMPLE", "arn": "arn:aws:iam::123456789012:user/Alice", //Who? "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2014-03-18T14:29:23Z" } } }, "eventTime": "2014-03-18T14:30:07Z", //When? "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartLogging", //What? "awsRegion": "us-west-2",//Where to? "sourceIPAddress": "72.21.198.64", // Where from? "userAgent": "AWSConsole, aws-sdk-java/1.4.5 Linux/x.xx.fleetxen Java_HotSpot(TM)_64-Bit_Server_VM/xx", "requestParameters": { "name": "Default“ // Which resource? }, // more event details } AWS Config & Config Rules Config Config Rules • • • • • Vérifier les changements • Règles pré-configurées • Règles ad-hoc avec AWS Lamba • Contrôle continu Inventaire des ressources Découverte Enregistrement en continu Notification des changements Tableau de bord pour visualiser la conformité et identifier les changements interdits AWS Config & Config Rules Changing Resources Record Normalize Rules Store Deliver History APIs Stream AWS Config Snapshot (ex. 2014-11-05) VPC Flow Logs • Visibilité sur votre VPC • Security Groups • Network ACLs • Problèmes de connectivité? • Analyse du traffic • Alertes Traffic SSH autorisé / RDP refusé 2 123456789010 eni-abc123de 172.168.1.12 172.168.1.11 20641 22 6 20 4249 1438530010 1438530070 ACCEPT OK 2 123456789010 eni-abc123de 172.168.1.12 172.168.1.11 49761 3389 6 1 231 1439530000 1439530060 REJECT OK Amazon Inspector Service d’évaluation des vulnérabilités • • • • • • Construit pour supporter le DevSecOps Automatisable via APIs Intégrable avec les outils CI/CD Facturation à la demande Règles statiques et dynamiques Génère des constats Règles prédéfinies CVE Network Security Best Practices Authentication Best Practices Operating System Best Practices Application Security Best Practices PCI DCSS 3.0 Readiness Constats priorisés Recommandations de correctifs détaillées Protection AWS Key Management Service (KMS) Simplifie l’utilisation de clés de chiffrement dans vos applications Intégré avec le chiffrement AWS • Serveur • • • S3 EBS RDS… • Client: • AWS SDKs • S3 encryption client… Integré avec IAM et CloudTrail Integration avec KMS KMS Customer master keys Une hiérarchie de clés à deux niveaux • Des clés de données uniques pour chiffrer chaque donnée client • Une clé maître chiffre les clés de données Avantages • Risque limité en cas de compromission d’une clé de données • Meilleure performance pour chiffrer de gros volumes de données • Facilité à gérer un petit nombre de clés maîtres plutôt que des millions de clés de données • Accès et audit centralisé de l’utilisation des clés Data key 1 Data key 2 Data key 3 Data key 4 S3 object EBS volume Amazon Redshift cluster Custom application AWS WAF CloudFront Bloquer ou autoriser les requêtes Web Surveiller les évènements de sécurité Accès via API et Console Protéger les sites Web et leur contenu Condition sur une chaîne: autoriser S’applique à l’ensemble de la requête Rule RAW request headers Host: www.example.com User-Agent: Mozilla/5.0 (Macintosh; … Accept: image/png,image/*;q=0.8,*/*;q=0.5 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Referrer: http://www.example.com/ Connection: keep-alive String match condition Check: Header “Referrer” Match Type: Contains Match: “example.com” Action: ALLOW AWS WAF Utilisateurs CloudFront Condition sur une chaîne: bloquer Supporte les transformations Rule RAW request headers Host: www.example.com User-Agent: badbot Accept: image/png,image/*;q=0.8,*/*;q=0.5 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Referrer: http://www.example.com/ Connection: keep-alive String match condition Check: Header “User-Agent” Match Type: Contains Match: “badbot” Action: BLOCK AWS WAF Scraper bot CloudFront Gestion de certificats SSL/TLS “Je veux créer un certificat SSL/TLS pour mon site web pour que mes visiteurs puissent l’identifier, s’y connecter de manière sécurisée via HTTPS et voir l’icône du cadenas dans la barre d’adresses du navigateur.” Client AWS AWS Certificate Manager (ACM) 1. Entrez un nom de domaine, et en cinq clicks vous avez votre certificat 2. Sélectionnez votre certificat dans un menu déroulant pour le déployer Gratuit! AWS Marketplace: partenaires sécurité Infrastructure Security Logging and Monitoring Identity and Access Control Configuration and Vulnerability Analysis Data Protection Nouveau cursus sécurité Formation Security Fundamentals on AWS (en-ligne et gratuit) Security Operations on AWS (cours de 3 jours) aws.amazon.com/training AWS User Groups Lille Paris Rennes Nantes Bordeaux Lyon Montpellier facebook.com/groups/AWSFrance/ @aws_actus En bref Applications critiques: la sécurité en premier Un modèle de sécurité partagé Des outils en constante évolution Contrôle / visibilité / protection + agilité! Pas besoin d’être un expert en sécurité pour en bénéficier! Votre avis nous intéresse, n’hésitez pas à remplir notre questionnaire de satisfaction. Merci!