Embed Size (px)
Citation preview
SEC310 Azure IaaS : concevoir une architecture sécurisée en tirant bénéfice des nouveautés
René Jaouen – Thales e-securityArnaud Jumelet – Microsoft FranceStéphane Woillez – Microsoft France
tech.days 2015#mstechdays
tech days•
2015
#mstechdays techdays.microsoft.fr
La plateforme de Cloud Public
• Microsoft Azure, un ensemble de data centers à travers le monde.
• Le client sélectionne des ressources et des services dans la ou les régions de son choix.
US US US US Europe Europe AsieAsieAsieAsie
AustralieBrésil
Azure ADVMs
Cloud Svcs
Remote App
Multi-factor
Auth
Virtual N/W
Express
Route
Traffic
Manager
Blobs
Tables
Operational
Insights
Key Vault
HDInsight Media
Scheduler
Backup
StorSimpleMedia
Machine
Learning
Websites
MobileSQL
Azure
Visual
StudioBizTalk
Cache Hybrid Notification
HubService
Bus
…VM
Extensions
Risques qu’un fournisseur
Cloud peut aider à réduire
Risques partagés
Risques qu’un client doit gérer
Data governance &
rights management
Responsibility On prem IaaS PaaS SaaS
Client end-points
Account & access
management
Identity & directory
infrastructure
Application
Network controls
Operating system
Physical network
Physical datacenter
CustomerMicrosoft
Physical hosts
http://www.microsoft.com/en-us/server-cloud/roadmap
tech days•
2015
#mstechdays techdays.microsoft.fr
Antivirus/antimalware dans AzureLa responsabilité est partagée entre Microsoft et les utilisateurs Azure
AZURE
• Réalise la supervision et la gestion des
alertes anti malware au niveau de la
plateforme
• Propose la protection antimalwares des VM,
et le scan à la demande via les extensions
de machines virtuelles
UTILISATEURS
• Installe et configure l’anti malware de
Microsoft ou d’un partenaire
• Extrait les événements vers un outil de
centralisation
• Supervise les alertes associées aux machines
virtuelles
• Réagit aux alertes relevées
Azure
Storage
Customer
Admin
Guest VM Cloud Services
Customer VMs
Portal
SMAPI
Guest VM
Enable & configure
antimalware
Events
Extract Antimalware Health Events
to SIEM or other Reporting System
Event ID Computer Event Description Severity DateTime
1150 Machine1 Client in Healthy State 4 04/29/2014
2002 Machine2 Signature Updated Successfully 4 04/29/2014
5007 Machine3 Configuration Applied 4 04/29/2014
1116 Machine2 Malware Detected 1 04/29/2014
1117 Machine2 Malware Removed 1 04/29/2014
SIEM Admin View
Alerting & reporting
Microsoft Azure
tech days•
2015
#mstechdays techdays.microsoft.fr
Operational Insights
• Centralisation et corrélation de
logs en provenance des
machines virtuelles
• Recherche et analyses
prédictives sur ces logs
• Pack d’intelligence pour faciliter
la supervision
• Intégration avec System Center
Operations Manager
Supervision Opérationnelle et prédictive des logs de machines virtuelles
Microsoft Azure Operational Insights Preview
Serveursconnectésà SCOM
Windows & Linux
Windows & Linux
Serveursconnectésen direct
VMs
Azure
Event Logs | Logs IIS | Logs SécuritéPerformances | Syslog | & plus…
Données Machines
Log Management
Sources de données multiples
Contexte opérationnel
Audits système
Prévisions de capacité
Gestion du changement
Supervision de l’identité
Intégration System Center
• Antimalware
• Security
• Active Directory
• System Update
Operational InsightsAppli MobileVM Extensions Sécurité
tech days•
2015
#mstechdays techdays.microsoft.fr
Key Vault
Microsoft Azure
Microsoft Confidential
IaaS SaaSPaaS
Microsoft Azure
IaaS SaaSPaaS
Microsoft Confidential
Key Vault offre un moyen facile, abordable
pour protéger les clés et les autres secrets
utilisés par les applications cloud à l'aide de
boitiers HSMs.
Importer
clés
HSM
Key Vault
Key Vault
Vos applicationsFournir à vos applications métiers un accès sécurisé aux clés pour signer
et chiffrer les données.
SQL ServerMettre en œuvre et gérer des clés pour SQL Server à demeure ou sous
forme de machines virtuelles dans le Cloud avec Transparent Data
Encryption (TDE), Column Level Encryption (CLE) et les sauvegardes
Machines virtuellesChiffrer les données des disques OS et DATA des machines virtuelles
Azure
Chiffrer les certificats utilisés par les machines virtuelles Azure pour plus
de sécurité
tech.days 2015#mstechdays
•
•
•
•
•
•
•
•
•
•
•
•
HSM
HSM
o Delivers High Performance / High Quality Key Generation
o Provides Certified Full Lifecycle Hardware Key Management
o Mitigates Risks Of Non-Compliance With Regulatory Mandates
o Facilitates Security Auditing Taking Systems Out Of Scope
o Maintains Your Control Of Key Protecting Your Tenant Key
o Ensures Control Over The Security Of Your Data
Enables You to Use The Cloud With Confidence!
tech.days 2015#mstechdays
Microsoft Confidential
HSM
App
Propriétaire de la clé
Key Vault
Opérateur de l’App
Key Vault Service
Azure Active Directory
SQL Server
Admin
Operations
de sécurité
Auditeur
SQL Server
Connector
EKM
1. Inscrit l’instance SQL
Server dans Azure AD
2a. Créer le Vault
2b. Créer la clé
2c. Autoriser l’accès
au Vault à SQL Server
4. Authentification
3. Configurer le
chiffrement SQL Server
5. Protection
des clefs
6. Auditer l’utilisation des clés
(bientôt)
• SQL Server 2014 RTM Enterprise
• SQL Server 2012 SP2 Enterprise
• SQL Server 2012 SP1 CU6 Enterprise
• SQL Server 2008 R2 SP2 CU8 Enterprise
tech.days 2015#mstechdays
tech.days 2015#mstechdaysTitre session pied de page
tech.days 2015#mstechdaysTitre session pied de page
tech.days 2015#mstechdaysTitre session pied de page
tech.days 2015#mstechdays
tech.days 2015#mstechdaysTitre session pied de page
Add-AzureKeyVaultKey -VaultName 'MyHSMKeyVault' –Name ‘SQLMasterKeyHW' –Destination 'HSM'
tech.days 2015#mstechdaysTitre session pied de page
Azure Key Vault + SQL Server 2014
•
•
•Extensible Key Management Using Azure Key Vault (SQL Server)
tech days•
2015
#mstechdays techdays.microsoft.fr
Azure Virtual Network
VPN GW
FrontauxApplicationBackend
InternetConnectivité versMon réseau Privé
Connectivité vers/depuis Internet
• IP Load-balancés ou directes
• protection ACLs & DDoS
• Traffic Manager
• Support IaaS + PaaS
• Topologies multi tiers
• ACLs Réseau (Access Groups)
• Connectivité multiple inter VNET
• Connectivité VPN IPSec
via Internet
• Passerelles classiques et
premium
• Connectivité privée via
Azure ExpressRoute
AZURE
• Contrôle le trafic réseau en
provenance d’Internet
• Propose une configuration par
défaut autorisant uniquement
l’admin remote des serveurs
• Implémente l’état de l’art de la
protection anti DDOS
• Exécute des tests de sécurité
réguliers
UTILISATEURS
• Contrôlent le firewall de
protections des services et VMs
• Etablissent les liens de
connectivité entre réseaux
• Configurent les règles de
filtrage réseau
Customer 2
INTERNET
Isolated Virtual Networks
Customer 1
Isolated Virtual Network
Deployment X Deployment X Deployment Y
Portal
Smart API
Administration
par l’utilisateur
VNET to VNET
Cloud Access Layer
Web Endpoint(public access)
RDP Endpoint(password access)
Client Client
VPN
Corp 1
Microsoft Azure
Portal
SMAPI
Protection et filtrage réseauLa responsabilité est partagée entre Microsoft et les utilisateurs Azure
•
•
•
•
•
•
•
•
•
•
VirtualNetwork
Backend10.3/16
Mid-tier10.2/16
Frontend10.1/16
VPN GW
Internet
On Premises 10.0/16
S2SVPNs
Internet
Priorité Source Src.Port Destination Dest. Port Protocol Accès
65000 * * * 80 TCP ALLOW
32000 * * * * TCP DENY
Filtrage Réseau
1.
New-AzureNetworkSecurityGroup -Name “Backend Policy" -Location europenorth -Label “NSG pour controler la securite backend"
2.
Get-AzureNetworkSecurityGroup -Name "MyVNetSG" | Set-AzureNetworkSecurityRule -Name WEB -Type Inbound -Priority 100 -Action Allow -SourceAddressPrefix 'INTERNET' -SourcePortRange '*' -DestinationAddressPrefix '*' -DestinationPortRange '*' -Protocol TCP
3.
Get-AzureVM -ServiceName "MyWebsite" -Name "Instance1" | Set-AzureNetworkSecurityGroupConfig -NetworkSecurityGroupName "MyVNetSG" | Update-AzureVM
Get-AzureNetworkSecurityGroup -Name "MyVNetSG" | Set-AzureNetworkSecurityGroupToSubnet -VirtualNetworkName 'VNetUSWest' -SubnetName'FrontEndSubnet'
Virtual Network
DB-Tier10.1.3/24
App-tier10.1.2/24
Web-Tier10.1.1/24
Internet
Internet
Ressource : https://msdn.microsoft.com/en-us/library/azure/dn848316.aspx
Jusqu’à 4 adresses IP par VM
Les multi adresses MAC et IP des VMs sont persistantes
Les scénarios possibles en multi NIC
Virtual Appliances
Séparation des types de trafic réseau
Implémentation de Firewalls spécifiques
Analyse des flux réseau
Azure Virtual Machine
NIC2 NIC1 Default
Azure Virtual Network
FrontendSubnet
AppSubnet
BackendSubnet
Internet
10.2.2.2210.2.3.33 10.2.1.11
VIP: 133.44.55.66
Add-AzureNetworkInterfaceConfig -Name "Ethernet1" -SubnetName"Midtier" -StaticVNetIPAddress "10.1.1.11" -VM $vm
Add-AzureNetworkInterfaceConfig -Name "Ethernet2" -SubnetName"Backend" -StaticVNetIPAddress "10.1.2.22" -VM $vm
Implémentation réelle du scénario « extension privée de DataCenter sur Azure »
“Force” ou redirige le trafic Internet des VMs Azure vers le réseau privé, au travers d’ExpressRoute
Permet le contrôle et l’analyse du traffic internet des VMs Azure par les outils habituels des utilisateurs
Virtual Network
Backend10.3/16
Mid-tier10.2/16
Frontend10.1/16
VPN GW
Internet
On Premises
S2SVPNs
Forced Tunneledvia S2S VPN Internet
tech days•
2015
#mstechdays techdays.microsoft.fr
tech.days 2015#mstechdays
Examen 70-532 Examen 70-533 Examen 70-534
tech.days 2015#mstechdays
© 2015 Microsoft Corporation. All rights reserved.
tech days•
2015
#mstechdays techdays.microsoft.fr
