Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Guide d'un practitioner sur la sécurisation du Cloud

106 views

Published on

Nouveau sur AWS ? Étant donné le nombre de services AWS, remettre de l'ordre dans la sécurité de votre cloud peut être décourageant. En fait, vous avez juste besoin de connaître quelques modèles simples pour être efficace. Dans cette session, nous nous concentrerons sur les contrôles des autorisations proposés par AWS Identity and Access Management (IAM) et des contrôles de sécurité du réseau proposés par Amazon Virtual Private Cloud (VPC). Vous repartirez avec des exemples concrets qui vous donneront les moyens de sécuriser correctement tout workload dans le Cloud AWS.

  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download Full EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download doc Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download Full EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download doc Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download Full EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download doc Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download Full EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download doc Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download Full EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download doc Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Be the first to like this

Guide d'un practitioner sur la sécurisation du Cloud

  1. 1. SOMMET DU SECTEUR PUBLIC O T T A W A
  2. 2. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.SOMMET DU SECTEUR PUBLIC Guide pratique pour sécuriser votre cloud (comme un expert) Brad Dispensa Ingénieur principal en sécurité AWS secteur public S E C 2 0 3
  3. 3. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Au programme : Connaître les règles de sécurité du cloud Se familiariser avec les différentes ressources d’AWS Présenter rapidement un aperçu des contrôles de sécurité AWS basés sur l'identité et sur le réseau Comprendre et appliquer les contrôles de sécurité AWS cloud AWS IAM Contrôles VPC
  4. 4. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C
  5. 5. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C
  6. 6. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Régions AWS
  7. 7. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Régions AWS Zone de disponibilité Zone de disponibilité Zone de disponibilité
  8. 8. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Régions AWS Zone de disponibilité Zone de disponibilité Zone de disponibilité Cloud privé virtuel (VPC)
  9. 9. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Régions AWS Zone de disponibilité Zone de disponibilité Zone de disponibilité Sous-réseaux VPC Sous-réseaux VPC Sous-réseaux VPC Cloud privé virtuel (VPC)
  10. 10. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Régions AWS Zone de disponibilité Zone de disponibilité Zone de disponibilité Sous-réseaux VPC Sous-réseaux VPC Sous-réseaux VPC instance EC2 Instance EC2 instance EC2 Cloud privé virtuel (VPC)
  11. 11. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Regions AWS Zone de disponibilité Zone de disponibilité Zone de disponibilité Sous-réseaux VPC Sous-réseaux VPC Sous-réseaux VPC instance EC2 instance EC2 instance EC2 Les instances Amazon EC2 sont des appareils virtuels dans votre Cloud privé virtuel (VPC)
  12. 12. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Régions AWS Zone de disponibilité Zone de disponibilité Zone de disponibilité Sous-réseaux VPC Sous-réseaux VPC Sous-réseaux VPC instance EC2 instance EC2 instance EC2 Instance RDS DB Instance de secoursRDSDB Cloud privé virtuel (VPC)
  13. 13. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Régions AWS Zone de disponibilité Zone de disponibilité Zone de disponibilité Sous-réseaux VPC Sous-réseaux VPC Sous-réseaux VPC instance EC2 instance EC2 instance EC2 Instance RDS DB Instance de secoursRDSDB Les contrôleurs de domaine AWS Directory Service s'exécutent dans votre Répertoire de service AWS Répertoire de service AWS Cloud privé virtuel (VPC)
  14. 14. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Régions AWS Zone de disponibilité Zone de disponibilité Zone de disponibilité Sous-réseaux VPC Sous-réseaux VPC Sous-réseaux VPC instance EC2 instance EC2 instance EC2 Instance RDS DB Instance de secoursRDSDB Répertoire de service AWS Répertoire de service AWS Cloud privé virtuel (VPC)
  15. 15. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Régions AWS Zone de disponibilité Zone de disponibilité Zone de disponibilité Sous-réseaux VPC Sous-réseaux VPC Sous-réseaux VPC instance EC2 instance EC2 instance EC2 Instance RDS DB Instance de secoursRDSDB Répertoire de service AWS Répertoire de service AWS Compatiment Amazon S3 Amazon SQS queue Charte Amazon DynamoDB Cloud privé virtuel (VPC)
  16. 16. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Régions AWS Zone de disponibilité Zone de disponibilité Zone de disponibilité Sous-réseaux VPC Sous-réseaux VPC Sous-réseaux VPC instance EC2 instance EC2 instance EC2 Instance RDS DB Instance de secoursRDSDB Répertoire de service AWS Répertoire de service AWS Compartiment Amazon S3 Amazon SQS queue Charte Amazon DynamoDB $ dig mydatabase.cumxp40klozz.us- east-2.rds.amazonaws.com +short 10.0.51.81 Cloud privé virtuel (VPC)
  17. 17. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Régions AWS Zone de disponibilité Zone de disponibilité Zone de disponibilité VPC subnet VPC subnet VPC subnet instance EC2 instance EC2 instance EC2 Instance RDS DB Instance de secoursRDSDB Répertoire de service AWS Répertoire de service AWS Compartiment Amazon S3 Amazon SQS queue Charte Amazon DynamoDB $ dig sqs.us-east-2.amazonaws.com +short 52.95.18.51 Cloud privé virtuel (VPC)
  18. 18. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Régions AWS Zone de disponibilité Zone de disponibilité Zone de disponibilité Sous-réseaux VPC Sous-réseaux VPC Sous-réseaux VPC instance EC2 instance EC2 instance EC2 Instance RDS DB Instance de secoursRDSDB Répertoire de service AWS Répertoire de service AWS Compartiment Amazon S3 Amazon SQS queue Charte Amazon DynamoDB Mais ils sont néanmoins sous votre contrôle et sécurisés Cloud privé virtuel (VPC)
  19. 19. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Choisir une méthode de sécurisation des ressources AWSSi c'est dans votre VPC • Autorisations de gestion des identités et des accès (IAM) • Contrôles de sécurité du réseau VPC Si ce n’est pas dans votre VPC • Autorisations de gestion des identités et des accès (IAM)
  20. 20. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C
  21. 21. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C L'ABC de la gestion des identités et des accès AWS (IAM) • I: Identité. IAM vous permet de créer des identités dans votre compte AWS pouvant effectuer des requêtes authentifiées auprès d'AWS. • AM: Gestion des accès. IAM est votre outil pour définir qui est autorisé à faire quoi et sur quelles ressources dans IAM. • IAM est le système de contrôle des autorisations pour tout ce qui est « AWS » (Sachez-le!) IAM
  22. 22. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C I pour Identité: Humains  Utilisateurs IAM IAM Utilisateur IAM titre de sécurité à long terme Utilisateur IAM titre de sécurité à long terme DynamoDB Amazon Human user Human user
  23. 23. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C I pour Identité: Robots  Rôles IAM IAM instance EC2 Fonction Lambda Role IAM Role IAM DynamoDB Amazon Application Mise à l’echelle automatique
  24. 24. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C I pour Identité: Humains avec identités externes DynamoDB Amazon Identités d’entreprise (analystes) Rôle IAM: Développeurs Identités d'entreprise (développeurs) Rôle IAM : Analystes IAM Fournisseur d'identification d'entreprise Identifiants court terme
  25. 25. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Terme: IAM principal Un IAM principal est une identité définie dans un compte AWS. IAM Rôles IAM Utilisateurs IAM Les rôles IAM visent: • Processus automatisés • Services AWS Identités fédérées Les rôles IAM s'authentifient à l’aide d’informations d'identification de courte durée • Accès humain direct Les utilisateurs IAM s'authentifient à l'aide d'informations d'identification de longue durée
  26. 26. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Authentification sur AWS: comment ça fonctionne? L'interface de ligne de commande AWS (AWS CLI) et les SDK travaillent pour vous IAM
  27. 27. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Authentification sur AWS L'AWS CLI et les SDK travaillent pour vous IAM POST https://dynamodb.us-east-2.amazonaws.com/ HTTP/1.1 Host: dynamodb.us-east-2.amazonaws.com X-Amz-Date: 20180918T150746Z X-Amz-Target: DynamoDB_20120810.ListTables X-Amz-Security-Token: FQoGZXIvYXdzEKH////////// … Content-Type: application/x-amz-json-1.0 Authorization: AWS4-HMAC-SHA256 Credential=ASIAXXXXXXXXXXXXXXXX/20180918/us-east- 1/dynamodb/aws4_request, SignedHeaders=content- type;host;x-amz-date;x-amz-security-token;x-amz- target, Signature=c1b4bc2df0c47c86cbcfa54d932e8aaa455b6b7c38e 65d840f722254add1ea9e La clé d'accès identifie l’IAM principal appelant vers AWS La signature HMAC générée avec la clé secrète; validée par AWS
  28. 28. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Terme: politique IAM IAM
  29. 29. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Quelle est l'importance de la politique d'IAM ? Partout chez AWS Pour qu'un appel authentifié réussisse • La demande doit avoir une signature valide pour l’IAM principal • La politique de l’IAM doit autoriser l'appel
  30. 30. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Les politiques IAM gérées par AWS IAM AWS prédéfinit certaines politiques IAM pour les tâches courantes
  31. 31. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Lecture d'une politique IAM { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:*" ], "Resource": "*" } ] } IAM En langage simple: vous pouvez effectuer toutes les actions DynamoDB
  32. 32. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Rédaction de politiques IAM plus granulaires: actions { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:BatchGetItem", "dynamodb:GetItem", "dynamodb:Query" ], "Resource": "*" } ] } IAM En langage simple: vous pouvez effectuer toutes les actions DynamoDB
  33. 33. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Rédaction de politiques IAM plus granulaires: politiques IAM au niveau des ressources { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:BatchGetItem", "dynamodb:GetItem", "dynamodb:Query", ], "Resource": [ "arn:aws:dynamodb:us-east-2:111122223333:table/MyTableName", "arn:aws:dynamodb:us-east-2:111122223333:table/MyTableName/index/*" ] } ] } IAM En langage simple: vous pouvez effectuer des actions DynamoDB sur une table spécifique et ses index Nom de ressource Amazon (ARN). Tous les services AWS les utilisent et respectent toujours ce format
  34. 34. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Terme: nom de ressource Amazon (ARN) • Ressource: un item chez AWS. Exemples: compartiment S3, table DynamoDB, instance EC2, VPC. Même les IAM principal ont des ARN. • ARN: nom qualifié complet pour cette ressource, utilisé chez AWS. arn:aws:dynamodb:us-east-2:111122223333:table/MyTableName service region Numéro de compte Nom du service IAM
  35. 35. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Rédaction de politiques IAM plus granulaires: Conditions { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:*“ ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestedRegion": [ "us-east-2" ] } } ] } IAM En langage simple: vous pouvez utiliser DynamoDB uniquement dans la région us-east-2
  36. 36. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Sécuriser les ressources AWS sur plusieurs comptes IAM
  37. 37. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Sécuriser les ressources AWS sur plusieurs comptes Organisations AWS IAM Lire le compartiment S3 dans un compte différent Politique IAM basée sur les ressources
  38. 38. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Exemple: politique basée sur les ressources { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal“: { "AWS": [ { "arn:aws:iam::444455556666:role/MyRole" } ], "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::my-s3-bucket/some/path/*" } ] } IAM En langage simple: le rôle IAM «Role» dans le compte 444455556666 (compte différent) peut lire le contenu de ce compartiment sous/certains/chemin/
  39. 39. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Autorisation d'accès IAM entre comptes IAM Lire le panier S3 dans un compte différent Politique IAM basée sur les ressources compartiment S3 IAM principal IAM principal dispose-t-il d’une politique permettant d’accéder au compartiment S3 L'accès entre comptes est interdit sauf s'il existe une politique basée sur les ressources
  40. 40. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Autorisation d'accès IAM entre comptes IAM DynamoDB Amazon Les rôles IAM peuvent être configurés pour autoriser l'accès entre comptes En supposant qu'un rôle IAM d’un autre compte vous donne accès à tout ce que ce rôle possédait comme autorisation
  41. 41. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C La référence IAM IAM
  42. 42. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C
  43. 43. Zone de disponibilité Zone de disponibilité Zone de disponibilité Sous-réseaux VPC Sous-réseaux VPC Sous-réseaux VPC Instance RDS DB Instance de secoursRDSDB Répertoire de service AWS Répertoire de service AWS Amazon SQS queue Charte Amazon DynamoDB Régions AWS Compartiment Amazon S3 Cloud privé virtuel (VPC)
  44. 44. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Connectivité sécurisée avec VPC Amazon • Groupes de sécurité: n'autorisez que le trafic attendu • Routage: le trafic de routage sortant de votre VPC dirigé uniquement vers les destinations prévues • Paramètres VPC: Créer des points de connectivité spécifiques avec le moins de privilègesCloud privé virtuel (VPC) Sous-réseaux VPC
  45. 45. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Connectivité sécurisée avec VPC Amazon • Groupes de sécurité: n'autorisez que le trafic attendu • Routage: le trafic de routage sortant de votre VPC dirigé uniquement vers les destinations prévues • Paramètres VPC: Créer des points de connectivité spécifiques avec le moins de privilèges Sous-réseaux VPC Cloud privé virtuel (VPC)
  46. 46. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Groupes de sécurité: situation du pare-feu réseau Equilibreur de charge réseau Instances EC2 du backend Base de données RDS Groupe de sécurité sg-08eec15c2101526a1 Groupe de sécurité sg-0bbef9ea1db9d2ddf Groupe de sécurité sg-0b0a4f8118aa5d450 Port 443 (HTTPS) Port 8443 (HTTPS) Port 3306 (MySQL)
  47. 47. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Groupes de sécurité: situation du pare-feu réseau Equilibreur de charge réseau Instances EC2 du backend Base de données RDS Security Group sg-08eec15c2101526a1 Groupe de sécurité sg-0bbef9ea1db9d2ddf Groupe de sécurité sg-0b0a4f8118aa5d450 Port 443 (HTTPS) Port 8443 (HTTPS) Port 3306 (MySQL)
  48. 48. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Groupes de sécurité: situation du pare-feu réseau Equilibreur de charge réseau Instances EC2 du backend Base de données RDS Groupe de sécurité sg-08eec15c2101526a1 Groupe de sécurité sg-0bbef9ea1db9d2ddf Groupe de sécurité sg-0b0a4f8118aa5d450 Port 443 (HTTPS) Port 8443 (HTTPS) Port 3306 (MySQL)
  49. 49. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Groupes de sécurité: pare-feu réseau Equilibreur de charge réseau Instances EC2 du backend Base de données RDS Groupe de sécurité sg-08eec15c2101526a1 Groupe de sécurité sg-0bbef9ea1db9d2ddf Security Group sg-0b0a4f8118aa5d450 Port 443 (HTTPS) Port 8443 (HTTPS) Port 3306 (MySQL)
  50. 50. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Connectivité sécurisée avec VPC Amazon • Groupes de sécurité: n'autorisez que le trafic attendu • Routage: le trafic de routage sortant de votre VPC dirigé uniquement vers les destinations prévues • Paramètres VPC: Créer des points de connectivité spécifiques avec le moins de privilègesCloud privé virtuel (VPC) Sous-réseaux VPC
  51. 51. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Routage pour la connectivité avec le moins de privilèges Zone de disponibilité Zone de disponibilité Zone de disponibilité Sous-réseau VPC: 10.0.1.0/24 Sous-réseau VPC: 10.0.51.0/24 Sous-réseau VPC: 10.0.2.0/24 Sous-réseau VPC: 10.0.52.0/24 Sous-réseau VPC: 10.0.3.0/24 Sous-réseau VPC: 10.0.53.0/24
  52. 52. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Routage pour la connectivité avec le moins de privilèges Zone de disponibilité Sous-réseau VPC: 10.0.2.0/24 Sous-réseau VPC: 10.0.52.0/24
  53. 53. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Routage: sans connectivité sortante Zone de disponibilité Sous-réseau VPC: 10.0.2.0/24 Sous-réseau VPC: 10.0.52.0/24 AWS Elasticache - Redis Les ressources de ce sous-réseau ne peuvent pas envoyer de paquets en dehors du VPC
  54. 54. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Routage: connectivité Internet complète Zone de disponibilité Sous-réseau VPC: 10.0.2.0/24 Sous-réseau VPC: 10.0.52.0/24 AWS Elasticache - Redis Les ressources de ce sous-réseau peuvent envoyer des paquets partout (0.0.0.0/0) et peuvent avoir des adresses IP publiques individuelles. C’est un "sous- réseau public" Equilibreur de charge réseau Instance EC2 à destination du public Passerelle internet Adresse publique IP
  55. 55. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Routage: connectivité Internet sortante uniquement Zone de disponibilité Sous-réseau VPC: 10.0.2.0/24 Sous-réseau VPC: 10.0.52.0/24 AWS Elasticache - Redis Les ressources de ce sous-réseau peuvent envoyer des paquets partout (0.0.0.0/0) mais ne possèdent pas d'adresses IP publiques individuelles. Tout le trafic sortant passe par la passerelle NAT Passerelle Internet Adresse publique IP Passerell eVPC NAT
  56. 56. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Routage pour le moindre privilège: résumé • AWS offre une variété d'options de routage • Déterminez les besoins de routage des différentes parties de votre volume de travail et mettez-les dans différents sous-réseaux • N’utilisez que les routes dont vous avez besoin dans chaque sous-réseau
  57. 57. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Connectivité sécurisée avec VPC Amazon • Groupes de sécurité: n'autorisez que le trafic attendu • Routage: le trafic de routage sortant de votre VPC dirigé uniquement vers les destinations prévues • Paramètres VPC: Créer des points de connectivité spécifiques avec le moins de privilègesCloud privé virtuel (VPC) Sous-réseau VPC
  58. 58. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Points de terminaison VPC pour une connectivité sécurisée entre comptes Equilibreur de charge réseau Sous-réseau VPC Zone de disponibilité Zone de disponibilité Sous-réseau VPC 10.0.51.129 10.0.52.39 $ dig vpce-0622f1c0e5b3ccf9b-wzu403mr.vpce-svc-05af39ae671fc730e.us-east-2.vpce.amazonaws.com +short 10.0.51.129
  59. 59. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Points de terminaison VPC pour une connectivité sécurisée entre comptes Equilibreur de charge réseau
  60. 60. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Points de terminaison VPC pour la connectivité privée aux services AWS: interface de points de terminaison Sous-réseau VPC Zone de disponibilitéZone de disponibilité Sous-réseau VPC Journal de bord Amazon CloudWatch Passerelle Internet $ dig logs.us-east-2.amazonaws.com +short 52.95.20.179
  61. 61. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Passerelle VPC NAT Points de terminaison VPC pour la connectivité privée aux services AWS: interface de points de terminaison Sous-réseau VPC Zone de disponibilitéZone de disponibilité Sousréseau VPC Journal de bord Amazon CloudWatch $ dig logs.us-east-2.amazonaws.com +short 52.95.20.179
  62. 62. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Création d’une interface de points de terminaison VPC
  63. 63. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Points de terminaison VPC pour la connectivité privée aux services AWS: interface de points de terminaison Sous-réseau VPC Zone de disponibilitéZone de disponibilité Sous-réseau VPC Journal de bord Amazon CloudWatch $ dig logs.us-east-2.amazonaws.com +short 10.55.2.191
  64. 64. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Points de terminaison VPC pour la connectivité privée aux services AWS: passerelle de points de terminaison Sous-réseau VPC Zone de disponibilitéZone de disponibilité Sous-réseau VPC Amazon S3
  65. 65. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Sécurisez toutes les interactions sur un point de terminaison VPC: politiques de points de terminaison VPC Sous-réseau VPC Zone de disponibilitéZone de disponibilité Sous-réseau VPC Amazon S3 IAM
  66. 66. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Interaction sécurisée avec Amazon S3 à partir de votre politique de points de terminaison VPC { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": [ "s3:*" ], "Resource": [ "arn:aws:s3:::my-bucket-1/some/path/*", "arn:aws:s3:::my-bucket-2/some/path/*" ], "Condition": { "StringEquals": { "aws:PrincipalOrgID": [ "o-xxxxxxxxx" ] } } } ] } IAM En language simple : cette politique de points de terminaison VPC stipule que toutes les interactions avec S3 ne peuvent avoir lieu qu’à partir des comptes AWS Organization et ne peuvent concerner que les compartiments S3 énumérés.
  67. 67. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Sécuriser toutes les interactions sur un point de terminaison VPC : politique de points de terminaison VPC Sous-réseau VPC Zone de disponibilitéZone de disponibilité Sous-réseau VPC Compartiment Amazon S3 IAM
  68. 68. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Interaction sécurisée avec S3 à partir de votre politique de panier VPC S3 { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "s3:*" ] "Resource": "*", "Condition": { "StringNotEquals": { "aws:sourceVpce": "vpce-09aa0fdec92daeeee" } } } ] } IAM En langage simple: cette politique de compartiment S3 indique qu'elle autorisera ces actions uniquement lorsqu'elles proviennent de la terminaison VPC.
  69. 69. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Sécuriser toutes les interactions sur un point de terminaison VPC: politiques de points de terminaison VPC Sous-réseau VPC Zone de disponibilitéZone de disponibilité Sous-réseau VPC Compartiment Amazon S3 IAM Ces trois politiques IAM doivent être satisfaites pour que l'accès soit autorisé.
  70. 70. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C • Votre VPC est une ressource AWS • Comme toutes les autres ressources AWS, vous utilisez IAM pour autoriser des modifications Vous contrôlez votre VPC comme n'importe quelle autre ressource AWS
  71. 71. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Ce dont nous n'avons pas parlé • Cryptage • Visibilité et contrôles de détection • Services de sécurité de niveau supérieur VPC Flow logs
  72. 72. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C Merci! © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.S O M M E T D U S E C T E U R P U B L I C

×