Embed Size (px)
Citation preview
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
La conformité du et dans le cloud.
Julien Royère, Solutions Architect Public Sector @AWS
S E C 1 0 2
Vincent Mercier, DevOps Tech Lead @Qonto
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Contexte• Audience: Toute personne intéressée par la sécurité dans le Cloud• Services présentés: Artifact• Niveau estimé : 100• Description: Quelle est la responsabilité dans le Cloud ? Qui patche,
qui installe les OS, qui définit les contrôles d'accès ? AWS met des contrôles de sécurité en place et les fait auditer, venez découvrir la culture de "la sécurité c'est le JOB ZERO".
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Quizz risque
Quel est le plus gros risque ?
VS
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Idée fausse : Requin contre cochon
Quel est le plus gros risque ?
*Other Mammals : autres mammifères comme les chevaux, cochons, ou biches.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
De plus en plus de brèches de données
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Des organisations sécurité hackées• RSA Security• Verisign• US National Security Agency (NSA)• Visa • DigiNotar certificate authority• Etc.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Techniques d’attaque pour la compromission initiale1. Vulnérabilités non patchées2. Erreurs de configurations sécurité3. Mots de passe faibles, fuités ou volés4. Ingéniérie sociale5. Menaces internes (employé mécontent etc.)
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
SECURITE EST LE JOB ZERO
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
SEPARER LES HUMAINS DES DONNEES CLIENTS
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
S’approprier la sécurité fait parti de l’ADN Amazon
• Promotion de la culture “everyone is an owner” pour la sécurité
• Fait de la sécurité un facteur de succès business• Facilite et harmonise les communications• Automatise les fonctions pour réduire les accès humains
au plus proche de zéro
Distribuée Intégrée
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS est conforme avec les certifications, lois et regulations majeures:
https://aws.amazon.com/compliance
Nombreuses certifications et accréditations
SOC 1 Type 2 Audit ReportRapport d’assurance d’un service d’auditeur indépendant pour des rapports
financiers
SOC 2 Type 2 Audit ReportDescription des Systèmes AWS relevant de la sécurité, disponibilité et
confidentialité
PCI Responsibility Summary & Attestation of ComplianceAudit des responsabilités d’AWS liées à la certification data center PCI DSS
3.2 Level 1
ISO 27001 Certification & ReportCode des pratiques pour la gestion de la sécuritét
ISO 27017 CertificationCode des pratiques Cloud pour les contrôles de sécurité
ISO 27018 CertificationCode des pratiques Cloud pour les contrôles de sécurité des données
personnelles
ISO 9001 CertificationCode des pratiques pour la gestion de la qualité
AWS compliance programs:
Les rapports d’audits sont consultablessur https://aws.amazon.com/fr/artifact/
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Accélérer le déploiement de vos applications sensibles
• Exemple: AWS Enterprise Accelerator Standardized Architecture for PCI DSS on AWS
• Déploie un environnementstandardisé pour les organisations avec des applications PCI DSS
• Utilise AWS CloudFormation templates pour automatiserle déploiement
• Basé sur des pré-requis de PCI DSS version 3.2
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Mythe : l’IT on-premises est plus sécurisé que dans le Cloud
Sur AWS On-premises
Grand PérimètrePropriété de bout-en-boutConstruire tout vous-mêmeApproche centrée ServeursAdministration décentraliséeFocus sur les biens physiquesDes processes multiple (manuels)Coût de la sécurité séparé
Micro-PérimètresPropriété sur le nécéssaireFocus on vos valeurs de baseApproche centrée serviceContrôle central (API)Focus sur la protection des donnéesTout est automatiséSecurité intégrée aux services
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Centre GDPR
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Les avantages de l’API vers les services AWS• Autoritative – une interface vers, et entre, les services AWS• Auditable – toujours savoir qui fait quoi et quand• Sécurisé – intégrité vérifiée, authentifiée, pas de canaux cachés• Rapide - peut être lu et manipulé en moins d'une seconde• Précis – définit l'état de toutes les infrastructures et services• En évolution – en amelioration continue • Uniforme - assure la cohérence entre des composants disparates• Automatisable - permet des fonctionnalités vraiment sympa
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Garantir la sécurité
Commence avec du béton nuVérification périodiquesContrôles de conformité spécifique par applicationDoit suivre le rythme et investir dans l'innovation sécuritéGouvernance des process et outils hétérogèneTypiquement réactive
Commence par des services accréditésContrôle continuApproche de conformité basée sur des scénarios sur toutes les applicationsL’innovation sécurité conduit à une conformité étendueGouvernance des process et outils intégréeFocus sur la prévention
Sur AWS On-premises
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Rythme d’innovation d’AWS
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Modèle de responsabilité partagé: Services d’infrastructure AWS (ex: EC2)
AWS Foundation Services
Compute Storage Database Networking
Regions
Availability ZonesEdge Locations
Client-side Data Encryption
Server-side Data Encryption
Network Traffic Protection
Platform, Applications
Operating System, Network, & Firewall Configuration
Customer applications & content
AWS
RESPONSIBILITY FOR SECURITY “OF” THE CLOUD
CUSTOMER
RESPONSIBILITY FOR SECURITY “IN” THE CLOUD
Customer IAM
AWS IAM
AWS Global Infrastructure
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Modèle de responsabilité partagé : Les services conteneurs AWS (ex: RDS)
AWS Foundation Services
Compute Storage Database Networking
Regions
Availability ZonesEdge Locations
Client-side Data Encryption
Server-side Data Encryption
Network Traffic Protection
Platform, Applications, Identity & Access Management
Operating System, Network Configuration
Customer content & Firewall Configuration
AWS
RESPONSIBILITY FOR SECURITY “OF” THE CLOUD
CUSTOMER
RESPONSIBILITY FOR SECURITY “IN” THE CLOUD
Customer
IAMAW
S IAM
AWS Global Infrastructure
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Modèle de responsabilité partagé : Les services abstraits AWS (ex: S3)
AWS Foundation Services
Compute Storage Database Networking
AWS Global Infrastructure
Regions
Availability ZonesEdge Locations
Client-side Data Encryption
Server-side Data Encryption
Network Traffic Protection
Platform, Applications, Identity & Access Management
Operating System, Network & Firewall Configuration
Customer content
AWS
RESPONSIBILITY FOR SECURITY “OF” THE CLOUD
CUSTOMERSECURITY “IN” THE CLOUD
AWS IAM
Platform client-side Data Encryption
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Défense en profondeur
AWS Compliance Program
Third PartyAttestationsPh
ysic
al
Security Groups
VPC configuration
Net
wor
k
Web App FirewallsSubnet
configurationEncryption In-Transit
Hardened AMIs
OS and AppPatch Mgmt.IAM Roles for
EC2
IAM CredentialsSyst
em S
ecur
ity
Logical Access Controls
User Authentication
Encryption At-RestD
ata
Secu
rity
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
• Choisissez une région AWS et AWS ne répliquera pas vos données ailleurs, à moins que vous ne choisissiez de le faire.
• Contrôlez le format, la précision et le chiffrement selon votre choix
• Contrôler qui peut accéder au contenu, à son cycle de vie et à sa destruction
• Nous publions informations sur la GDPR sur notre site Web pour vous aider à respecter votre propre conformité.
Les clients conservent la pleine propriété et le contrôle de leur contenu
Vous avez le contrôle de votre “privacy”
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Retour d’expérience Qonto
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Qonto, neobank for SMEs and freelancers
20 monthssince launch
40.000Business customers
#1B2B neobank in France
32 M€Raised
4.7Average customer
rating
Top50Fintech KPMG
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Core banking• ACPR agreement• New business activity
• Dedicated team • New technical infrastructure
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Technical challenge• Low response time
• Card transactions requiers low latency• Connect to French banks
• High security level• Isolated from other Qonto services• Compliant with PCI-DSS
• Fast deployment!• Micro service architecture (Kubernetes)• Infrastructure as Code
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Use PCI-DSS certified services• Most of AWS services are PCI-DSS compliant• Lambda functions for specific use cases• CI/CD integration requires efforts• Check Lambda and related service limits (eg. API Gateway)• Use AWS Secret manager or AWS system manager for secrets
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
AWS Trusted Advisor• Detect simple security issues and misconceptions
• Summary of our AWS quotas • Detect security group too permissive• Detect bucket publicly accessible
• Helpful information• Track your AWS quotas to avoid deployment failure• Alternative with AWSlimitchecker
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
AWS Cloudtrail• Tracks users and AWS services activity• Enable Cloudtrail with AWS S3 log storage
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
AWS Config• Continuously monitors AWS resources• Define and check compliance rules
• ~100 built-in compliance rules• Rules may be customised
• Track configuration and compliance over the time• Use Cloudwatch events to be notified of compliance changes
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
AWS Config: Example
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
We are hiring!
Find this talk interesting? You might find qonto.eu/en/careers interesting too!
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Comprehensive security portal to provide a variety of security notifications,information and documentation.
Security Whitepapers• Overview of Security Process• AWS Risk and Compliance• AWS Security Best PracticesSecurity BulletinSecurity ResourcesVulnerability ReportingPenetration TestingRequestsReport Suspicious Emails
http://aws.amazon.com/security
AWS Security Center
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS Security Bloghttp://blogs.aws.amazon.com/security/Subscribe to the blog – it’s a great way to stay up-to-date on AWS security and compliance.
Security Resourceshttp://aws.amazon.com/security/security-resources/Developer Information, Articles and Tutorials,Security Products, and Whitepapers
Documentation and Blogs
