la zone Goldilocks, M. Bruno Germain
Download
Report
Transcript la zone Goldilocks, M. Bruno Germain
La Zone “Goldilock”
Les opportunités apportées par la virtualisation sur les
architectures de sécurité à l’ère de l’infonuagique
Bruno Germain ccie, cissp
Conseiller Résident
Virtualisation de réseau et sécurité
18 novembre 2014
© 2014 VMware Inc. All rights reserved.
Sécuriser le Centre de traitement
INFRASTRUCTURE TI
INFRASTRUCTURE INFORMATIQUE
OUTILS DE GESTION et ORCHESTRATION
RÉSEAU
INFORMATIQUE
STOCKAGE
INFRASTRUCTURE SÉCURITÉ
CONTRÖLES DES IDENTITÉS
IAM, IAG, Authentication, Access Control, Federation/SSO
CONTRÖLES APPLICATIFS ET DE BD
App/DB Activity Mon, App/DB Encryption, Fraud Analytics
GOUVERNANCE/CONFORMITÉ
Vulnerability Mgmt, Log Mgmt, GRC, PUAM, Security Posture Management, DLP
SOC
SIEM, Security Analytics, Forensics
INFORMATIQUE
AV, HIPS, AMP, Encryption, Execution & Device
Control
RÉSEAU
DFW, IDS/IPS, NGFW, WAF, AMP, SWG, DDoS
STOCKAGE
Encryption, Key Management, Tokenization
2
Un retour sur l’investissement qui est absent
La seule dépense qui croît plus rapidement que les dépenses en sécurité… sont les pertes liées à la
sécurité
IT Spend
Security Spend
Security Breaches
3
Les attaques modernes: ciblées, interactive et furtives
Install C2 I/F Wipe Tracks Escalate Priv
Human
Recon
Attack Vector
R&D
Delivery
Mechanism
Compromise
Primary Entry
Point
Install Command
& Control I/F
Strain B
Dormant
Strain A
Active
1
2
3
4
5
Escalate Privileges on
Primary Entry Point
Lateral
Movement
Wake Up & Modify
Next Dormant Strain
8
Strain A
Active
Strain A
Active
6
8
7
Attack
Identified
Strain C
Dormant
Break into
Data Stores
Parcel &
Obfuscate
Exfiltration
Cleanup
Strain B
Active
9
Response
10
11
12
13
Strain D
Dormant
8
Perte de visibilité et de contrôle pour stopper la propagation
Arrêter l’infiltration
• Focus: le périmètre
Passer de…
• Prévention en ligne
• Gestion de la conformité
• Focus: applications et utilisateurs
À...
• Analytique Mitigation hors-bande
• Gestion du risque
4
3 problèmes liés à l’architecture
1. Segmentation
2. Politiques
3. Contexte
Problème de segmentation
logique
Problème de politiques liées
Outils insuffisants pour
orchestrer les politiques de
sécurité à travers les points de
contrôle
Compromis Contexte /Isolation
Absence de télémétrie
appropriée / “connecteurs”
Incapacité à segmenter autour
des frontières applicatives
Dénominateur commun: L’ application
La virtualisation offre la clé de la solution
Offrant une couche d’abstraction omniprésente entre les
applications et l'infrastructure, la virtualisation offre une “Zone
Goldilock” pour la sécurité.
5
Problème de segmentation logique
Mouvements latéraux
La
Solution
Infrastructure informatique
Hyper-connectée
Politiques complexes et entremêlées
Appliquer la segmentation autour
des frontières applicatives
versus un périmètre, des zones physiques ou des
appareils / ordinateurs
Obstacle
Nous n’avons pas de mécanisme qui
maintient la relation entre les applications et
l'infrastructure.
CONFIDENTIAL
6
Partager l’état
Problème de politiques liées
C1
C2
Endroit
approprié
C3
Ordre
approprié
?
Politique distribués complexes
La
Solution
Goulots / Extensibilité
Un mécanisme pour insérer et ordonner les
contrôles liés à la sécurité aux politiques à partir
de frontières logiques, ainsi qu’un mécanisme
permettant de publier et partager les états.
Obstacle
Partage des états
Aucun mécanisme de ce genre n’existe.
Les contrôles sont aux frontières physiques et les
partages d’état se font via des intégrations
ponctuelles et la corrélation.
CONFIDENTIAL
7
Compromis Contexte /Isolation
10.20.2.14
09:00:02:A3:D1:3D
10.18.3.13
08:00:03:A4:C2:4C
HTTP://192.163.8.10:8080
HTTP://192.159.2.10:8080
Contexte
Isolation
Endpoint
$
#
Réseau
#
$
HTTP://192.162.5.8:8080
Points d’échange et de
télémétrie pauvres pour
l’analyse des politiques
La
Solution
" Analyses
Politiques !
Un mécanisme omniprésent pour communiquer
les éléments de télémétrie et de contrôles de la
sécurité qui a les propriétés d'isolation d'un point
de contrôle de réseau et le contexte d'un agent
Endpoint
Obstacle
Aucun mécanisme de ce genre n’existe.
Nous sommes obligés de faire des compromis.
CONFIDENTIAL
8
3 problèmes liés à l’architecture
1 dénominateur commun: les applications
1. Segmentation
2. Politiques
3. Contexte
Problème de segmentation
logique
Problème de politiques liées
Outils insuffisants pour
orchestrer les politiques de
sécurité à travers les points de
contrôle
Compromis Contexte /Isolation
Absence de télémétrie
appropriée / “connecteurs”
Incapacité à segmenter autour
des frontières applicatives
• Segmenter sur les frontières
applicatives et le cadre de conformité
Si nous
pouvions …
• Créer et agencer les points de
contrôle sur ces frontières
• Partager de l’information contextuelle
à partir et vers ces points de contrôles
…alors nous
pourrions…
• Réduire la surface d’attaque
• Simplifier nos politiques
• Améliorer l’efficacité de nos
points de contrôle
La virtualisation est la zone “Goldilock” pour la sécurité
CONFIDENTIAL
9
Q: la zone “Goldilock”
(“Boucle d’or” en français) ?
On appelle planète Boucles d'or une planète située dans la zone habitable de son étoile
CONFIDENTIAL
10
Mettre les contrôles dans la couche de virtualisation
INFRASTRUCTURE SÉCURITÉ
CONTRÖLES DES IDENTITÉS
IAM, IAG, Authentication, Access Control, Federation/SSO
CONTRÖLES APPLICATIFS ET DE BD
App/DB Activity Mon, App/DB Encryption, Fraud Analytics
GOUVERNANCE/CONFORMITÉ
SOC
Vulnerability Mgmt, Log Mgmt, GRC, PUAM, Security Posture
SIEM, Security Analytics, Forensics
Management, DLP
INFORMATIQUE
RÉSEAU
STOCKAGE
AV, HIPS, AMP, Encryption, Execution & Device
DFW, IDS/IPS, NGFW, WAF, AMP, SWG, DDoS
Encryption, Key Management, Tokenization
Control
Services de sécurité
Approvisionnment et orchestration
Infrastructure virtuelle
Contexte
Sécurité/Télémétrie
Contrôles imbriqués
Isolation/Segmentation/Accès
11
Micro-segmentation
Segmentation logique autour des frontières applicatives
App 1
Perimeter
firewall
App 2
App 3
DMZ
Inside
firewall
App
DB
Services
AD
NTP
DHCP
DNS
CERT
CONFIDENTIAL
12
Micro-segmentation
Isolation
Comms
explicitement
permises (Default Deny)
Comms
sécurisées
Comms structurées et
sécurisées
NGFW
WAF
IPS
IPS
NGFW
IPS
CONFIDENTIAL
13
Contexte Évolué
L'hyperviseur peut combler le fossé entre le contexte et l’isolation
Context
Isolation
Agent
$
#
Virtualisation
$
$
Appareil
réseau
#
$
14
Orchestration des politiques
Advanced Malware Protection % DEFCON
Security Group = DEFCON 1
Members = {Tag = ‘AdvancedMalware.Suspicious’, DEFCON Network}
Security Group = Web Tier
Policy Definition
Standard Web Policy
&Advanced Malware Protection
DEFCON 1 Policy
& Gateway Authentication 1 % 2 Factor
& Ratchet back Access Controls
& Increase Logging
15
John Kindervag – Le “père” du “Zero Trust”
• TBD
• Vice President & Principal Analyst serving Security & Risk
Professionals
• A leading expert on wireless security, network security, security
information management, and PCI data security.
• John is a 25-year veteran of the high-tech world
• He has been interviewed and published in numerous magazines and
has spoken at many security conferences and events, including
ToorCon, ShmooCon, and InfoSec World.
•
Previous experience
• Vigilar
• Flair Data Systems
•
CISSP, CEH, QSA, and CCNA.
16
Concepts du Zero Trust
Toutes les ressources sont accédées sécuritairement
indépendemment de la localisation de l’utilisateur
Les accès sont sur la base du “besoin de
connaître” (need to know) et strictement appliqués.
Vérifier et ne jamais faire confiance.
Inspecter et journaliser les flux
Le réseau est pensé à partir des applications
(inside out)
Un Centre de Traitement (logique)
Zone
Corpo
Réseaux
internes
Internet
DMZ
Accès distants
VPN
Zone
PCI
Svcs
patagés
Zone
Dev
Zone
DB
Zone
Eng
Zone
Admin
Zone
RH / Fin
Bâtir le “nuage”…
Infrastructure requise
Animated Slide
Internet
Corp
Zone
DMZ
Shared
svcs
Dev
Zone
Remote
workforce
Zone
DB
Zone
Eng
Zone
PCI
Zone
Admin
Zone
Financial
Zone
Infrastructure Racks
(Storage, vCenter and Cloud Management System)
Gestion
Compute Racks
Edge Racks
Réseaux
internes
Le Nuage
Connectivité externe
Trafic N-S
(entrant / sortant)
Réseau de transport IP
Bâtir le “Nuage”
Migration des application
Animated Slide
Internet
Corp
Zone
Shared
Admin jump
svcs points
DMZ
EDS
Infrastructure Racks
(Storage, vCenter and Cloud Management System)
vCenter
NSX Mgr
Dev
Zone
Exchange
Remote
workforce
Zone
DB
Zone
PCI
Zone
Admin
Zone
DB
Eng
Zone
AD
DaaS
Financial
Zone
Appareils physiques
Gestion
Compute Racks
Passerelles
applicatives et
proxy
Réseaux
Internes
Connectivité externe
Trafic N-S
(entrant / sortant)
Edge Racks
Réseau de transport IP
Aligner les politiques sur les frontières logiques
MS Admins (member: any MS app)
If member of AD group “MS admin”
then unrestricted access to VMs
Log, monitor and audit
Animated Slide
MS Exchange (member: vApp for Exchange)
Web servers(member: any web srv)
Edge
Transport
Routing and
AV/AS
Mailbox
Storage of
mailbox items
Edge
Transport
Routing and
AV/AS
Mailbox
Storage of
mailbox items
Client Access
Client
connectivity
Web services
(IIS)
Hub
Transport
Routing and
policy
Client Access
Client
connectivity
Web services
(IIS)
Hub
Transport
Routing and
policy
Get general flow and traffic
statistics from the application
CAS Servers (member: CAS_LS)
Allow HTTPS connections from external LB
Allow communication with mailbox servers
Allow communications with AD
BlockAD
traffic
between web servers
AD servers (member:
group)
Allow traffic to / from default gateway
Allow traffic to / from applications
Can receive authentication requests
from CAS servers
DAG
CONFIDENTIAL
21
Visualisation des politiques et des contexts
CONFIDENTIAL
22
Exemple
CONFIDENTIAL
23
Appel à tous
Opportunité qui ne se présente qu’une fois par vague
Équipes de
sécurité
Virtualisation
Le “Goldilock” de la sécurité
Manufacturiers
Sécurité
3ième vague
2ième vague
1ière vague
Mainframe | Terminaux
Millions d’utilisateurs
Millier d’applications
PC | Client/Serveur | LAN/Internet
Centaine de millions d’utilisateurs
Dizaine de milliers d’applications
Nuage/SDDC | Mobilité | Social | Big Data
Milliard d’utilisateurs. Millions d’applications
Billions d’appareil
La Zone “Goldilock”
Les opportunités apportées par la virtualisation sur les
architectures de sécurité à l’ère de l’infonuagique
Bruno Germain ccie, cissp
Conseiller Résident
Virtualisation de réseau et sécurité
18 novembre 2014
© 2014 VMware Inc. All rights reserved.