Migrez vos applications critiques sur le Cloud AWS

Migrez vos applications critiques sur
le Cloud AWS
Damián Arregui, Solutions Architect, AWS
Mardi 31 Mai 2016
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Au menu
Le Cloud AWS: infrastructure et connectivité
Modèle de sécurité partagé
Outils pour la sécurité
• Contrôle (des accès)
• Visibilité (des actions)
• Protection (des données)
TECHNICAL &
BUSINESS
SUPPORT
Support
HYBRID
ARCHITECTURE
Integrated
Networking
MARKETPLACE
Business
Apps
Business
Intelligence
ANALYTICS
APP SERVICES
Data
Warehousing
Professional
Services
Direct
Connect
Business
Intelligence
DevOps
Tools
Security
MOBILE SERVICES
Queuing &
Notifications
Networking
DEVELOPMENT & OPERATIONS
API
Gateway
One-click App
Deployment
Identity
DevOps Resource
Management
Workflow
Hadoop/
Spark
Streaming Data
Analysis
Partner
Ecosystem
Identity
Federation
Streaming Data
Collection
Integrated
App
Deployments
Elastic
Search
Search
Mobile
Analytics
Transcoding
Virtual
Desktops
Device
Shadows
Sharing &
Collaboration
Device
SDKs
Containers
Single Integrated
Console
Triggers
Push
Notifications
Resource
Templates
Device
Gateway
Registry
Corporate
Email
Backup
SECURITY & COMPLIANCE
Identity
Management
Security
& Pricing
Reports
Storage
ENTERPRISE
APPS
Rules
Engine
Email
Solutions
Architects
Account
Management
IoT
Application Lifecycle
Management
Sync
Machine
Learning
Training &
Certification
Databases
Access
Control
Key
Management
& Storage
Data
Backups
Monitoring
& Logs
Configuration
Compliance
Web application
firewall
Assessment
and reporting
Resource &
Usage Auditing
CORE SERVICES
Compute
Storage
VMs, Auto-scaling,
& Load Balancing
Object, Blocks,
Archival, Import/Export
Databases
CDN
Relational, NoSQL,
Caching, Migration
Networking
VPC, DX, DNS
INFRASTRUCTURE
Integrated
Resource
Management
Regions
Availability
Zones
Points of
Presence
Infrastructure globale AWS
12 Régions
33 Zones de disponibilité
54 Emplacements périphériques
Région
Emplacement périphérique
Europe
Région Irlande
Région Frankfurt
Zones de disponibilité: 3
Zones de disponibilité: 2
Ouverte en 2007
Ouverte en 2014
Région Londres
Annoncée
Emplacements périphériques
Amsterdam, Pays Bas (2); Dublin, Irelande; Frankfurt, Allemagne (3); London,
Angelterre (3); Madrid, Espagne; Marseille, France; Milan, Italie; Paris, France (2);
Stockholm, Suède; Varsovie, Pologne
Haute disponibilité
Amazon Virtual Private Cloud (VPC)
Internet
Gateway
VPC CIDR 10.10.0.0/16
AZ
A
AZ
B
Existing
Data Center
VPC Public Subnet 10.10.1.0/24
VPC Public Subnet 10.10.2.0/24
Public
Elastic Load Balancing
Auto Scaling
Web Tier
VPN Connection
Customer
Gateway
Virtual
Private
Gateway
Internal Elastic Load Balancing
Administrators and
Corporate Users
AWS
Direct Connect
Network
Partner
Location
Auto Scaling
Application Tier
VPC Private Subnet 10.10.4.0/24
VPC Private Subnet 10.10.3.0/24
Amazon
RDS
Standby
VPC Private Subnet 10.10.5.0/24
Multi-AZ RDS
Data Tier
Snapshots
Amazon
RDS
Master
VPC Private Subnet 10.10.6.0/24
La sécurité est notre première priorité
PEOPLE & PROCESS
SYSTEM
NETWORK
PHYSICAL
Un modèle de
sécurité familier
Validé et orienté par les experts
sécurité de nos clients
Bénéficie l’ensemble
de nos clients
Modèle de sécurité partagé
Certifications AWS
Avantages
Un environnement construit pour les organisations les plus
sensibles en termes de sécurité
AWS gère plus de 1800+ points de contrôle pour que vous
n’ayez pas à le faire
Vous définissez vos propres politiques de sécurité en fonction de
la criticité de votre application
Vous gardez la propriété et le contrôle total de vos données
Agilité
OU
ET
Sécurité
Contrôle
AWS Identity and Access Management (IAM)
Qui?
Utilisateur, groupe ou rôle
Quoi?
Ressource AWS
Comment?
Opération dans l’API
Où?
Depuis quelle IP
Quand?
Plage horaire
Langage de règles unifié
{
"Statement":
{
"Effect": "Allow",
"Action": "ec2:TerminateInstances",
"Resource": "arn:aws:ec2:ap-southeast-1:444455556666:instance/*",
"Condition" : {
“Bool": {"aws:MultiFactorAuthPresent": "true"},
ET
"NumericLessThan":{"aws:MultiFactorAuthAge":"300"},
"IpAddress" : {"aws:SourceIp" : ["10.0.2.0/28", “203.0.113.0/29"]}
}
}
OU
Contrôle renforcé
Authentification multi-facteur
• Token physique
• Token virtuel
• SMS (preview)
Fédération d’identités
• SAMLv2 (ex: ADFS)
Ségrégation multi-compte
Meilleures pratiques d’isolation
Compte AWS
Facturation
Compte AWS
Amazon S3
CloudTrail
Config
CW Logs
Compte AWS
Utilisateurs
IAM User
Amazon S3
Compte(s) AWS
Assume
Role
Ressources AWS
Compte AWS
Accès
temporaires
Annuaire
d’entreprise
+
SAML v2
Audit interne
IAM Role
Admin
IAM Role
Dev
IAM Role
DBA
Meilleures pratiques d’isolation
Compte AWS
Facturation
Compte AWS
Amazon S3
CloudTrail
Config
CW Logs
2. Visibilité
Compte AWS
Utilisateurs
IAM User
Amazon S3
Compte(s) AWS
Assume
Role
Ressources AWS
3. Protection
Accès
Audit interne
1. Contrôle
temporaires
Annuaire
d’entreprise
+
SAML v2
Compte AWS
IAM Role
Admin
IAM Role
Dev
IAM Role
DBA
Visibilité
AWS CloudTrail
Qui a invoqué l’API?
Quand l’appel a été fait?
Quelle opération?
Quelles ressources étaient concernées?
(depuis et vers) Où l’appel a été fait ?
A quoi ressemble un évènement?
{
"eventVersion": "1.01",
"userIdentity": {
"type": "IAMUser", // Who?
"principalId": "AIDAJDPLRKLG7UEXAMPLE",
"arn": "arn:aws:iam::123456789012:user/Alice", //Who?
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "Alice",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2014-03-18T14:29:23Z"
}
}
},
"eventTime": "2014-03-18T14:30:07Z", //When?
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "StartLogging", //What?
"awsRegion": "us-west-2",//Where to?
"sourceIPAddress": "72.21.198.64", // Where from?
"userAgent": "AWSConsole, aws-sdk-java/1.4.5 Linux/x.xx.fleetxen Java_HotSpot(TM)_64-Bit_Server_VM/xx",
"requestParameters": {
"name": "Default“ // Which resource?
},
// more event details
}
AWS Config & Config Rules
Config
Config Rules
•
•
•
•
• Vérifier les changements
• Règles pré-configurées
• Règles ad-hoc avec AWS
Lamba
• Contrôle continu
Inventaire des ressources
Découverte
Enregistrement en continu
Notification des changements
Tableau de bord pour visualiser la conformité et
identifier les changements interdits
AWS Config & Config Rules
Changing
Resources
Record
Normalize
Rules
Store
Deliver
History
APIs
Stream
AWS Config
Snapshot (ex. 2014-11-05)
VPC Flow Logs
• Visibilité sur votre VPC
• Security Groups
• Network ACLs
• Problèmes de connectivité?
• Analyse du traffic
• Alertes
Traffic SSH autorisé / RDP refusé
2 123456789010 eni-abc123de 172.168.1.12 172.168.1.11 20641 22
6 20 4249 1438530010 1438530070 ACCEPT OK
2 123456789010 eni-abc123de 172.168.1.12 172.168.1.11 49761 3389
6 1 231 1439530000 1439530060 REJECT OK
Amazon Inspector
Service d’évaluation des vulnérabilités
•
•
•
•
•
•
Construit pour supporter le DevSecOps
Automatisable via APIs
Intégrable avec les outils CI/CD
Facturation à la demande
Règles statiques et dynamiques
Génère des constats
Règles prédéfinies
CVE
Network Security Best Practices
Authentication Best Practices
Operating System Best Practices
Application Security Best Practices
PCI DCSS 3.0 Readiness
Constats priorisés
Recommandations de correctifs détaillées
Protection
AWS Key Management Service (KMS)
Simplifie l’utilisation de clés de chiffrement dans vos applications
Intégré avec le chiffrement AWS
• Serveur
•
•
•
S3
EBS
RDS…
• Client:
•
AWS SDKs
•
S3 encryption client…
Integré avec IAM et CloudTrail
Integration avec KMS
KMS
Customer master
keys
Une hiérarchie de clés à deux niveaux
• Des clés de données uniques pour chiffrer
chaque donnée client
• Une clé maître chiffre les clés de données
Avantages
• Risque limité en cas de compromission
d’une clé de données
• Meilleure performance pour chiffrer de gros
volumes de données
• Facilité à gérer un petit nombre de clés
maîtres plutôt que des millions de clés de
données
• Accès et audit centralisé de l’utilisation des
clés
Data key 1
Data key 2
Data key 3
Data key 4
S3 object
EBS
volume
Amazon
Redshift
cluster
Custom
application
AWS WAF
CloudFront
Bloquer ou autoriser
les requêtes Web
Surveiller les
évènements de
sécurité
Accès via API et
Console
Protéger les sites
Web et leur contenu
Condition sur une chaîne: autoriser
S’applique à l’ensemble de la requête
Rule
RAW request headers
Host: www.example.com
User-Agent: Mozilla/5.0 (Macintosh; …
Accept: image/png,image/*;q=0.8,*/*;q=0.5
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referrer: http://www.example.com/
Connection: keep-alive
String match condition
Check: Header “Referrer”
Match Type: Contains
Match: “example.com”
Action: ALLOW
AWS
WAF
Utilisateurs
CloudFront
Condition sur une chaîne: bloquer
Supporte les transformations
Rule
RAW request headers
Host: www.example.com
User-Agent: badbot
Accept: image/png,image/*;q=0.8,*/*;q=0.5
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referrer: http://www.example.com/
Connection: keep-alive
String match condition
Check: Header “User-Agent”
Match Type: Contains
Match: “badbot”
Action: BLOCK
AWS
WAF
Scraper bot
CloudFront
Gestion de certificats SSL/TLS
“Je veux créer un certificat SSL/TLS pour mon site
web pour que mes visiteurs puissent l’identifier,
s’y connecter de manière sécurisée via HTTPS
et voir l’icône du cadenas dans la barre
d’adresses du navigateur.”
Client AWS
AWS Certificate Manager (ACM)
1. Entrez un nom de domaine, et en cinq clicks vous avez votre certificat
2. Sélectionnez votre certificat dans un menu déroulant pour le déployer
Gratuit!
AWS Marketplace: partenaires sécurité
Infrastructure
Security
Logging and
Monitoring
Identity and
Access Control
Configuration and
Vulnerability
Analysis
Data
Protection
Nouveau cursus sécurité
Formation
Security Fundamentals on AWS
(en-ligne et gratuit)
Security Operations on AWS
(cours de 3 jours)
aws.amazon.com/training
AWS User Groups
Lille
Paris
Rennes
Nantes
Bordeaux
Lyon
Montpellier
facebook.com/groups/AWSFrance/
@aws_actus
En bref
Applications critiques: la sécurité en premier
Un modèle de sécurité partagé
Des outils en constante évolution
Contrôle / visibilité / protection + agilité!
Pas besoin d’être un expert en sécurité pour en bénéficier!
Votre avis nous intéresse, n’hésitez pas à remplir
notre questionnaire de satisfaction.
Merci!