asfws 2013 - sécurité et extension d’infrastructure vers le cloud: retour d’expérience par...
DESCRIPTION
Sur fond d’affaire PRISM, lier les mots sécurité et cloud semble de prime abord osé, nous verrons pourquoi cela ne l’est pas forcément. Cette conférence présentera le retour d’expérience concret d’un grand compte sur l’intégration d’infrastructures cloud (IaaS, PaaS et SaaS) dans une architecture existante, ainsi que les différents mécanismes de sécurité qu’il est sage d’utiliser. Nous aborderons techniquement des sujets tels que l’interconnexion de datacenters, les Virtual Private Clouds, l’authentification forte, la segmentation, la défense périmétrique ou la fédération d’identités.TRANSCRIPT
![Page 1: ASFWS 2013 - Sécurité et extension d’infrastructure vers le cloud: retour d’expérience par Christophe Sahut](https://reader036.vdocuments.net/reader036/viewer/2022062418/555a86d0d8b42a98568b5153/html5/thumbnails/1.jpg)
Application Security Forum - 2013Western Switzerland
15-16 octobre 2013 - Y-Parc / Yverdon-les-Bainshttp://www.appsec-forum.ch
Security and cloud migration
Christophe SahutCorporate Infrastructure Architect / SGS
![Page 2: ASFWS 2013 - Sécurité et extension d’infrastructure vers le cloud: retour d’expérience par Christophe Sahut](https://reader036.vdocuments.net/reader036/viewer/2022062418/555a86d0d8b42a98568b5153/html5/thumbnails/2.jpg)
2
SGS in a few words
![Page 3: ASFWS 2013 - Sécurité et extension d’infrastructure vers le cloud: retour d’expérience par Christophe Sahut](https://reader036.vdocuments.net/reader036/viewer/2022062418/555a86d0d8b42a98568b5153/html5/thumbnails/3.jpg)
3
Agenda
SaaS experience
IaaS experience
![Page 4: ASFWS 2013 - Sécurité et extension d’infrastructure vers le cloud: retour d’expérience par Christophe Sahut](https://reader036.vdocuments.net/reader036/viewer/2022062418/555a86d0d8b42a98568b5153/html5/thumbnails/4.jpg)
Reminder: your (security) responsibility
4
Application
Data
Runtime
Middleware
OS
Virtualization
Servers
Storage
Networking
Application
Data
Runtime
Middleware
OS
Virtualization
Servers
Storage
Networking
Application
Data
Runtime
Middleware
OS
Virtualization
Servers
Storage
Networking
IaaS PaaS SaaS
![Page 5: ASFWS 2013 - Sécurité et extension d’infrastructure vers le cloud: retour d’expérience par Christophe Sahut](https://reader036.vdocuments.net/reader036/viewer/2022062418/555a86d0d8b42a98568b5153/html5/thumbnails/5.jpg)
5
SaaS experience
![Page 6: ASFWS 2013 - Sécurité et extension d’infrastructure vers le cloud: retour d’expérience par Christophe Sahut](https://reader036.vdocuments.net/reader036/viewer/2022062418/555a86d0d8b42a98568b5153/html5/thumbnails/6.jpg)
6
Use case
Application fulfilling (most?) business needs
Price/user/month – OPEX
Side effect of ignoring this is shadow IT
Hopefully, …
![Page 7: ASFWS 2013 - Sécurité et extension d’infrastructure vers le cloud: retour d’expérience par Christophe Sahut](https://reader036.vdocuments.net/reader036/viewer/2022062418/555a86d0d8b42a98568b5153/html5/thumbnails/7.jpg)
7
… there are authentication requirements
![Page 8: ASFWS 2013 - Sécurité et extension d’infrastructure vers le cloud: retour d’expérience par Christophe Sahut](https://reader036.vdocuments.net/reader036/viewer/2022062418/555a86d0d8b42a98568b5153/html5/thumbnails/8.jpg)
8
Solution: SAML 2.0
In two words– Identity Provider on premise acting as a web proxy to
the authentication source (AD, LDAP, SQL…)– Generates and signs authentication tokens– Send them to the SaaS service to prove the user has
been authenticated– You’re loggued in
Enable Single Sign-On with SaaS services
![Page 9: ASFWS 2013 - Sécurité et extension d’infrastructure vers le cloud: retour d’expérience par Christophe Sahut](https://reader036.vdocuments.net/reader036/viewer/2022062418/555a86d0d8b42a98568b5153/html5/thumbnails/9.jpg)
9
Nice solution but…
Tricky to setup in multi-forests AD environments
Not always easy to configure depending on SPs
Must be highly available
![Page 10: ASFWS 2013 - Sécurité et extension d’infrastructure vers le cloud: retour d’expérience par Christophe Sahut](https://reader036.vdocuments.net/reader036/viewer/2022062418/555a86d0d8b42a98568b5153/html5/thumbnails/10.jpg)
10
And what about (de)provisionning?
Provisioning can be done on the fly following authentication (and authorization)– Works fine but de-provisioning is still a challenge– Reminder: you pay per user
Resource (user, group…) CRUD via web services not widely deployed yet
http://www.simplecloud.info/
![Page 11: ASFWS 2013 - Sécurité et extension d’infrastructure vers le cloud: retour d’expérience par Christophe Sahut](https://reader036.vdocuments.net/reader036/viewer/2022062418/555a86d0d8b42a98568b5153/html5/thumbnails/11.jpg)
11
Other concerns
Data is by definition fully understood by the SaaS provider– Profiling (or worst) : “used for statistics and UX”– Contracts say provider will not
if you ask them not toif they say so, it must be true
Data is (sometimes) encrypted on disksBut SaaS provider manages the portal to access it (…)
![Page 12: ASFWS 2013 - Sécurité et extension d’infrastructure vers le cloud: retour d’expérience par Christophe Sahut](https://reader036.vdocuments.net/reader036/viewer/2022062418/555a86d0d8b42a98568b5153/html5/thumbnails/12.jpg)
12
IaaS experience
![Page 13: ASFWS 2013 - Sécurité et extension d’infrastructure vers le cloud: retour d’expérience par Christophe Sahut](https://reader036.vdocuments.net/reader036/viewer/2022062418/555a86d0d8b42a98568b5153/html5/thumbnails/13.jpg)
13
Example: AWS
![Page 14: ASFWS 2013 - Sécurité et extension d’infrastructure vers le cloud: retour d’expérience par Christophe Sahut](https://reader036.vdocuments.net/reader036/viewer/2022062418/555a86d0d8b42a98568b5153/html5/thumbnails/14.jpg)
14
Connect to the management console
![Page 15: ASFWS 2013 - Sécurité et extension d’infrastructure vers le cloud: retour d’expérience par Christophe Sahut](https://reader036.vdocuments.net/reader036/viewer/2022062418/555a86d0d8b42a98568b5153/html5/thumbnails/15.jpg)
15
Then
Create Virtual Private Clouds (VPC)– Network, route tables, gateways– Virtual machines– Load balancers– Storage, snapshots– Managed databases– …
In a given location
![Page 16: ASFWS 2013 - Sécurité et extension d’infrastructure vers le cloud: retour d’expérience par Christophe Sahut](https://reader036.vdocuments.net/reader036/viewer/2022062418/555a86d0d8b42a98568b5153/html5/thumbnails/16.jpg)
16
Source: http://aws.amazon.com/articles/9982940049271604
Example
![Page 17: ASFWS 2013 - Sécurité et extension d’infrastructure vers le cloud: retour d’expérience par Christophe Sahut](https://reader036.vdocuments.net/reader036/viewer/2022062418/555a86d0d8b42a98568b5153/html5/thumbnails/17.jpg)
17
Use segmentation/filtering
Network ACLs Security groups
(OS firewalls) (3rd party network firewalls)
![Page 18: ASFWS 2013 - Sécurité et extension d’infrastructure vers le cloud: retour d’expérience par Christophe Sahut](https://reader036.vdocuments.net/reader036/viewer/2022062418/555a86d0d8b42a98568b5153/html5/thumbnails/18.jpg)
18
VPC created. And then?
Decide how to integrate it in existing infrastructure
1) Keep it external• Completely separate infrastructure
2) Link it to datacenters / WAN• Consider the VPC as a new site on the WAN
![Page 19: ASFWS 2013 - Sécurité et extension d’infrastructure vers le cloud: retour d’expérience par Christophe Sahut](https://reader036.vdocuments.net/reader036/viewer/2022062418/555a86d0d8b42a98568b5153/html5/thumbnails/19.jpg)
19
1) Keep it external
Corporate Data center
Load balancerWeb Servers Database
Internet
Bastion
![Page 20: ASFWS 2013 - Sécurité et extension d’infrastructure vers le cloud: retour d’expérience par Christophe Sahut](https://reader036.vdocuments.net/reader036/viewer/2022062418/555a86d0d8b42a98568b5153/html5/thumbnails/20.jpg)
20
Use bastion hosts– RDP/SSH from known IPs, strong authentication,
logging/auditing
VPC entry point opened only for the service provided
![Page 21: ASFWS 2013 - Sécurité et extension d’infrastructure vers le cloud: retour d’expérience par Christophe Sahut](https://reader036.vdocuments.net/reader036/viewer/2022062418/555a86d0d8b42a98568b5153/html5/thumbnails/21.jpg)
21
2) Link it to datacenters / WAN
Corporate Data center
Load balancer Web Servers DatabaseVPN
Bastion
![Page 22: ASFWS 2013 - Sécurité et extension d’infrastructure vers le cloud: retour d’expérience par Christophe Sahut](https://reader036.vdocuments.net/reader036/viewer/2022062418/555a86d0d8b42a98568b5153/html5/thumbnails/22.jpg)
22
Use a VPN (or leased line)– Decide if you want a public or private VPC
One more Internet access vs private datacenter extension
– Be careful to the network range and routingVPC part of the WAN
– Wizard on AWS to setup dual-VPN to on-premise VPN concentrator
– Setup firewall rules on both sides (drop all, then think)
![Page 23: ASFWS 2013 - Sécurité et extension d’infrastructure vers le cloud: retour d’expérience par Christophe Sahut](https://reader036.vdocuments.net/reader036/viewer/2022062418/555a86d0d8b42a98568b5153/html5/thumbnails/23.jpg)
23
What we did on IaaS
VPC in different locations, VPNs– SAML tests (WIF, mod_mellon,…)– New versions of software on isolated networks
S3, load balancing, managed databases, DNS zone delegation, CDN, datawarehouse, PaaS …
More and more providers come with an AWS backend and we can evaluate what they do
![Page 24: ASFWS 2013 - Sécurité et extension d’infrastructure vers le cloud: retour d’expérience par Christophe Sahut](https://reader036.vdocuments.net/reader036/viewer/2022062418/555a86d0d8b42a98568b5153/html5/thumbnails/24.jpg)
24
Example of IaaS security benefit
Launch/rebuild infrastructures in minutes– With code like this:
Configure this way networks, VPN, security groups, create instances, fetch data from a GIT repository, configure load balancers…
![Page 25: ASFWS 2013 - Sécurité et extension d’infrastructure vers le cloud: retour d’expérience par Christophe Sahut](https://reader036.vdocuments.net/reader036/viewer/2022062418/555a86d0d8b42a98568b5153/html5/thumbnails/25.jpg)
25
Code the infrastructure
With specific cloud toolsCloudformation in AWS
With scripting with CLI toolsBash, Powershell …
With SDKs (.net, java,…), cloud API libraries (libcloud…), abstraction tools (Rightscale…) …
And versioning!
![Page 26: ASFWS 2013 - Sécurité et extension d’infrastructure vers le cloud: retour d’expérience par Christophe Sahut](https://reader036.vdocuments.net/reader036/viewer/2022062418/555a86d0d8b42a98568b5153/html5/thumbnails/26.jpg)
26
Example use case
Defacement/intrusion on a IaaS-based website– Fire new infrastructure clone– Enable verbose logging– Redirect traffic (via DNS, load balancers…) to the new
infrastructure– Identify attack, implement protection/blackhole– Isolate hacked infrastructure– Run forensic analysis– Get a coffee
![Page 27: ASFWS 2013 - Sécurité et extension d’infrastructure vers le cloud: retour d’expérience par Christophe Sahut](https://reader036.vdocuments.net/reader036/viewer/2022062418/555a86d0d8b42a98568b5153/html5/thumbnails/27.jpg)
27
Questions?
![Page 28: ASFWS 2013 - Sécurité et extension d’infrastructure vers le cloud: retour d’expérience par Christophe Sahut](https://reader036.vdocuments.net/reader036/viewer/2022062418/555a86d0d8b42a98568b5153/html5/thumbnails/28.jpg)
28
Merci/Thank you!
Contact:
@csahut
Slides: http://slideshare.net/ASF-WS/presentations