Présentation donnée au cours de l'événement "Très Haute Sécurité" du 16 novembre 2017.

1. AWS, sécurité et compliance :
fantasme vs réalité
Emile Heitor – OT Group

2. Peu d’innovation,
beaucoup
d’industrialisation
2
Le piratage :

3. ● Explosion des moyens d’apprentissage (Wikis, Youtube, Slack...)
● Explosion du nombre d’outils et de frameworks (gratuits et FOSS)
● Explosion du nombre d’hôtes sur Internet, opportunisme
● Le mythe du firewall
● Le web, cette faille
[Insérer un générique qui fait peur]
Tu ne le sais pas encore, mais tu es déjà mort
3

4. La vengeance du kid
• 12 attaques > 100 Gbps en 2016 contre 5 en 2015
• Record homologué : 517 Gbps (Spike DDoS Botnet)
• 37 attaques par Miraï, en moyenne à 57 Gbps
• 5.5 Gbps : la taille moyenne d’une DDoS
Source : Digital attack map by Arbor networks
10

5. Où en est on ?
Qu’est ce qui mène à une perte de données sensibles ?
Source : Verizon Databreach report 2016
11

6. Mythes &
réalités
6
AWS et Big Brother :

7. Le cloud « privé » :
modèle de déploiement dans lequel les services de cloud sont utilisés
exclusivement par un seul client, qui en contrôle les ressources.
Un cloud privé peut être mis en œuvre soit par l’organisation à laquelle
appartient le client soit par un prestataire externe. Un cloud privé a
vocation à borner précisément ses limites et à restreindre l’accès à
ses services à une organisation unique.
Quels sont les bénéfices du cloud ?
Source : http://siaf.hypotheses.org/656
AWS
13

8. Mythes & réalités
6
AWS a accès à mes données
Mes données ne seront pas
localisées en France
Mes serveurs sont toujours
partagés avec
d’autres clients AWS
14

9. Ce que nous faisons pour vous
Sécurité DANS le cloud : GÉRÉ PAR NBS SYSTEM
Sécurité DU cloud : GÉRÉ PAR AWS
15

10. Localisation des données
16 Régions
44 Zones de disponibilité
82 Emplacements périphériques
16

11. Régions et Availability Zones
11

12. Mythes & réalités
6
AWS a accès à mes données
Mes données ne seront pas
localisées en France
Mes serveurs sont toujours
partagés avec
d’autres clients AWS
Les clients contrôlent leur
contenu, les salariés AWS ne
sont pas autorisés à y accéder
Vous choisissez la Région où
vous stockez vos données,
AWS ne les déplace pas
AWS propose des « instances
dédiées » physiquement
isolées
17

13. Mythes & réalités
6
Agilité et sécurité sont
contradictoires
La règlementation m’empêche
d’aller dans le cloud
Le cloud ne me protège pas
contre les attaques DDoS
18

14. Comment concilier sécurité et agilité ?
DevSecOps
Page 3 of 433
• Comité ?
• Procédures ?
• Check-lists ?
“Security as code”
19

15. Certifications & normes
16
C5 [Germany]
Cyber Essentials Plus [UK]
DoD SRG
FedRAMP
FIPS
IRAP [Australia]
ISO 9001
ISO 27001
ISO 27017
ISO 27018
MLPS Level 3 [China]
MTCS [Singapore]
PCI DSS Level 1
SEC Rule 17-a-4(f)
SOC 1
SOC 2
SOC 3
CISPE
EU Model Clauses
FERPA
GLBA
HIPAA
HITECH
IRS 1075
ITAR
My Number Act [Japan]
U.K. DPA - 1988
VPAT / Section 508
EU Data Protection Directive
Privacy Act [Australia]
Privacy Act [New Zealand]
PDPA - 2010 [Malaysia]
PDPA - 2012 [Singapore]
PIPEDA [Canada]
Spanish DPA Authorization
CIS
CJIS
CSA
ENS [Spain]
EU-US Privacy Shield
FISC
FISMA
G-Cloud [UK]
GxP (FDA CFR 21 Part 11)
ICREA
IT Grundschutz [Germany]
MITA 3.0
MPAA
NIST
PHR
Uptime Institute Tiers
UK Cloud Security Principles
Certifications /
Attestations
Lois / Règlementations
Données privées
Alignements /
Cadres

16. Protection native contre la plupart des DDoS
• 82 PoP CloudFront / Route53
• Filtrage natif de la plupart des
attaques volumétriques
• AWS WAF bloque dynamiquement
les requêtes illégitimes
• AWS Shield Advanced
Source: Arbor Networks
21

17. Mythes & réalités
6
Agilité et sécurité sont
contradictoires
La règlementation m’empêche
d’aller dans le cloud
Le cloud ne me protège pas
contre les attaques DDoS
DevSecOps : automatisation de
la sécurité
Tous les services AWS seront
conformes au règlement RGPD
lorsque celui-ci entrera en
vigueur, le 25 mai 2018
AWS propose AWS Shield, un
service de protection DDoS,
sans frais supplémentaire
22

18. …obsédés par
votre sécurité !
19
Deux partenaires…

19. Une autre approche
1
2
DDoS
Attaques
ciblées
Attaques
opportunistes
3
Les attaques ciblées sont
coûteuses pour l’attaquant
Les attaques opportunistes
sont simples et répétitives
Les DDoS sont une
compétition de
moyens, court
terme
24

20. Les services AWS pour la sécurité
SECURITY & COMPLIANCE
Identity
Management
Key
Management
& Storage
Monitoring
& Logs
Configuration
Compliance
Web
Application
Firewall
Assessment
& Reporting
Resource &
Usage
Auditing
Access
Control
Account
Grouping
DDOS
Protection
25

21. Philosophie &
implémentation
22
CerberHost

22. Deux partenaires, un seul but : votre sécurité !
• La sécurité DU cloud
• Modèle de responsabilité partagée
• Haute disponiblité
• La sécurité DANS le cloud
• OS
• Application
• Sécurité managée
27

23. Ce que NBS System sécurise pour vous
• Système d’exploitation (OS)
• Noyaux
• Daemons & tools (Apache, MySQL, etc.)
• Langages (Php, Python, Java, Go, etc.)
• Accès privilégiés (BO, SSH, …)
• Frameworks (Drupal, Wordpress, etc.)
• Developpement custom
• Flux entrants/sortants
28

24. Cerberhost est conçu pour éconduire l’attaquant, en lui faisant
comprendre que son attaque ne sera pas rentable, en termes de
temps comme de coût.
• 14 procédures humaines durcissent l’ensemble
• 37 protections techniques le bloquent
• 1 d’entre elles lui fait perdre un temps considérable :
le firewall dynamique
Une autre approche : ralentir, compliquer
29

25. Une philosophie collaborative
DLPWAF Noyaux
& App
Anti
(d)Dos
Protections
Applicatives
Firewall
Dynamique
+
SecOPS & processus stricts
31

26. • NAXSI : WAF nouvelle génération, 2200 ⭐ sur Github
• Snuffleupagus : PHP7 Bugclass killer & virtual patch (en alpha
test actuellement)
• Firewall Dynamique : 180 000 règles en temps réel, en moyenne
Focus : NAXSI, Snuffleupagus, DynaFW
27

27. Démonstration
Cas client :
Brady Corp
(NYSE : BRC)
28
En pratique...

28. Leur besoin :
• PCI/DSS V3 L1
• Worldwide
• Déploiement en 1 an
Notre réponse :
• Infrastructures UE : NBS System
• Infrastructures mondiales : AWS
• Même niveau de sécurité
• Mise en très haute sécurité + PCI-DSS de plus de 100
serveurs en 1 an
Brady Corp (NYSE:BRC)
29

29. … pour beaucoup plus
de sécurité !
30
Quelques habitudes à
changer...

30. Changer quelques habitudes…
Sans pour autant faire passer la sécurité avant le business :
• Être plus précis dans les procédures de publication
• Plus de mots de passe faibles
• Communications chiffrées des éléments sensibles
• Principe de moindre privilège
• Filtrage des IP entrantes et sortantes
31

31. Il faut disposer :
• de beaucoup de temps
• de beaucoup de ressources
• d’énormément de savoir-faire technique
pour espérer compromettre un serveur CerberHost sur AWS.
Ce n’est pas la sécurité absolue, nous avons juste créé un
cauchemar pour les attaquants, afin de les dissuader.
… et nous augmenterons la difficulté pour
l’attaquant
32

32. Ce que nous faisons
SecOPS
DevOPS 51

33. 34