Sophia conf securite microservices - 2017
Télécharger en tant que PPTX, PDF0 j'aime1,204 vues
Secludit est un éditeur français spécialisé dans la sécurisation des infrastructures informatiques, visant à démocratiser les techniques préventives de sécurité. Le document traite des défis de sécurité des micro-services, mettant en avant des principes comme l'authentification multi-facteurs et le chiffrement des données, tout en soulignant l'importance des scans de vulnérabilités et du principe des moindres privilèges. Des recommandations et références sur la sécurité des micro-services et des API sont également fournies.
Sophia conf securite microservices - 2017
- 1. SophiaConf Sécurité des Micro services Donnat Frédéric – Dir. Technique et CoFondateur 03/07/2017
- 2. SecludIT - Copyright et confidentiel - 2017 SecludIT • SecludIT est un Editeur français qui aide les entreprises, les hébergeurs ou infogéreurs à sécuriser leurs infrastructures informatiques. • Notre objectif est de démocratiser les meilleures techniques préventives de sécurité informatique. • SecludIT : acteur reconnu de l’industrie! • Partenariats avec les acteurs majeurs du cloud et de la virtualisation tel qu’Amazon Web Services, Azure, OpenStack, CloudStack, VMware
- 3. SecludIT - Copyright et confidentiel - 2017 Micro-services • Monolithique vs Micro services • Micro service : Composant • 1 fonctionnalité • 1 processus • HTTP REST (Representational State Transfert) • Langage propre
- 4. SecludIT - Copyright et confidentiel - 2017 1 – Micro services & APIs • Isolation réseau ou cloisonnement • Communications sécurisées • Authentification • Autorisation, Propagation des autorisations • Interaction entre services • Restriction entre service ou entre utilisateurs de service • Logs
- 5. SecludIT - Copyright et confidentiel - 2017 2 – Framework • Partage de base de données à travers le système • Principe des « Moindres Privilèges » • Chiffrement des données • Stockage • Transfert • Accès « par service » vs « par utilisateur » : • Chaque service à son propre accès • Accès dérivé des accès utilisateurs • Protection des clés d’accès • Logs
- 6. SecludIT - Copyright et confidentiel - 2017 3 – Le coin DevOps • Ou résident les micro services ? • Containers, VMs, … • Interaction entre les systèmes services • Authentification, autorisation • Communication sécurisées • Chiffrement des données • Stockage des clés d’accès • Durcissement des systèmes
- 7. SecludIT - Copyright et confidentiel - 2017 4 – Sécurité des Micro services & APIs • OWASP • Canal sécurisé : SSL/TLS • Authentification : Multi Factor Authentication • Autorisation : • Lecture, Listing, Ecriture, Effacement • GET, POST, PUT, DELETE TOP10 Risk OWASP : • A3 - XSS • A6 - Sensitive Data Exposure • A7 - Insufficient Attack Protection • A9 - Using Components with Known Vulnerabilities • 10 - Underprotected APIs
- 8. SecludIT - Copyright et confidentiel - 2017 5 – Scan de Vulnérabilités • Scan réseau via « nmap » • Détection des équipements sur le réseau • Détection des services sur les composants du réseau • Scan de vulnérabilité • Détection des vulnérabilités CVE • Détection des problèmes de configuration • Durcissement des serveurs CIS (Center for Internet Security) • Scan Web via outils « OWASP » • Détection des failles relatives aux applications Web • OWASP Zed Attack Proxy
- 9. SecludIT - Copyright et confidentiel - 2017 6 – Sécurité dans le cycle de SecDevOps Tests d’Intrusions Mise à JourRemédiation Scans de Vulnérabilités
- 10. SecludIT - Copyright et confidentiel - 2017 7 – Bénéfices • Réduire la « fenêtre » de faiblesse du système d’information (en terme de sécurité) • Minimiser l’impact opérationnel • Détection de problème reproductible • Gain de temps par priorisation et planification des tâches correctives : Indicateurs de Risque • Réduction des coûts • Quelle perte pour un arrêt de production ? • Meilleure rentabilité des Auditeurs
- 11. SecludIT - Copyright et confidentiel - 2017 Références • Sécurité des Micro services : Les questions de sécurité à se poser http://www.grahamlea.com/2015/07/microservices-security-questions/ • OWASP : Projet OWASP TOP10 https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project • OWASP : Sécurité REST https://www.owasp.org/index.php/REST_Security_Cheat_Sheet • OWASP : Sécurité Web Service https://www.owasp.org/index.php/Web_Service_Security_Cheat_Sheet
- 12. SecludIT - Copyright et confidentiel - 2017 QUESTIONS ? Essayez et Adoptez Elastic Detector !