azure iaas : concevoir en architecture sécurisée en tirant bénéfice des nouveautés

SEC310 Azure IaaS : concevoir une architecture sécurisée en tirant bénéfice des nouveautés

René Jaouen – Thales e-securityArnaud Jumelet – Microsoft FranceStéphane Woillez – Microsoft France

tech.days 2015#mstechdays

tech days•

2015

#mstechdays techdays.microsoft.fr

La plateforme de Cloud Public

• Microsoft Azure, un ensemble de data centers à travers le monde.

• Le client sélectionne des ressources et des services dans la ou les régions de son choix.

US US US US Europe Europe AsieAsieAsieAsie

AustralieBrésil

Azure ADVMs

Cloud Svcs

Remote App

Multi-factor

Auth

Virtual N/W

Express

Route

Traffic

Manager

Blobs

Tables

Operational

Insights

Key Vault

HDInsight Media

Scheduler

Backup

StorSimpleMedia

Machine

Learning

Websites

MobileSQL

Azure

Visual

StudioBizTalk

Cache Hybrid Notification

HubService

Bus

…VM

Extensions

Risques qu’un fournisseur

Cloud peut aider à réduire

Risques partagés

Risques qu’un client doit gérer

Data governance &

rights management

Responsibility On prem IaaS PaaS SaaS

Client end-points

Account & access

management

Identity & directory

infrastructure

Application

Network controls

Operating system

Physical network

Physical datacenter

CustomerMicrosoft

Physical hosts

http://www.microsoft.com/en-us/server-cloud/roadmap

http://www.microsoft.com/en-us/server-cloud/roadmap

tech days•

2015


Antivirus/antimalware dans AzureLa responsabilité est partagée entre Microsoft et les utilisateurs Azure

AZURE

• Réalise la supervision et la gestion des

alertes anti malware au niveau de la

plateforme

• Propose la protection antimalwares des VM,

et le scan à la demande via les extensions

de machines virtuelles

UTILISATEURS

• Installe et configure l’anti malware de

Microsoft ou d’un partenaire

• Extrait les événements vers un outil de

centralisation

• Supervise les alertes associées aux machines

virtuelles

• Réagit aux alertes relevées

Azure

Storage

Customer

Admin

Guest VM Cloud Services

Customer VMs

Portal

SMAPI

Guest VM

Enable & configure

antimalware

Events

Extract Antimalware Health Events

to SIEM or other Reporting System

Event ID Computer Event Description Severity DateTime

1150 Machine1 Client in Healthy State 4 04/29/2014

2002 Machine2 Signature Updated Successfully 4 04/29/2014

5007 Machine3 Configuration Applied 4 04/29/2014

1116 Machine2 Malware Detected 1 04/29/2014

1117 Machine2 Malware Removed 1 04/29/2014

SIEM Admin View

Alerting & reporting

Microsoft Azure

•

•

•

•

•

•

•www.cloudlinktech.com/azure

http://www.cloudlinktech.com/azure

tech days•

2015


Operational Insights

• Centralisation et corrélation de

logs en provenance des

machines virtuelles

• Recherche et analyses

prédictives sur ces logs

• Pack d’intelligence pour faciliter

la supervision

• Intégration avec System Center

Operations Manager

Supervision Opérationnelle et prédictive des logs de machines virtuelles

Microsoft Azure Operational Insights Preview

Serveursconnectésà SCOM

Windows & Linux

Windows & Linux

Serveursconnectésen direct

VMs

Azure

Event Logs | Logs IIS | Logs SécuritéPerformances | Syslog | & plus…

Données Machines

Log Management

Sources de données multiples

Contexte opérationnel

Audits système

Prévisions de capacité

Gestion du changement

Supervision de l’identité

Intégration System Center

• Antimalware

• Security

• Active Directory

• System Update

Operational InsightsAppli MobileVM Extensions Sécurité

tech days•

2015


Key Vault

Microsoft Azure

Microsoft Confidential

IaaS SaaSPaaS

Microsoft Azure

IaaS SaaSPaaS


Key Vault offre un moyen facile, abordable

pour protéger les clés et les autres secrets

utilisés par les applications cloud à l'aide de

boitiers HSMs.

Importer

clés

HSM

Key Vault

Key Vault

Vos applicationsFournir à vos applications métiers un accès sécurisé aux clés pour signer

et chiffrer les données.

SQL ServerMettre en œuvre et gérer des clés pour SQL Server à demeure ou sous

forme de machines virtuelles dans le Cloud avec Transparent Data

Encryption (TDE), Column Level Encryption (CLE) et les sauvegardes

Machines virtuellesChiffrer les données des disques OS et DATA des machines virtuelles

Azure

Chiffrer les certificats utilisés par les machines virtuelles Azure pour plus

de sécurité

•

•

•

•

•

•

•

•

•

•

•

•

HSM

HSM

o Delivers High Performance / High Quality Key Generation

o Provides Certified Full Lifecycle Hardware Key Management

o Mitigates Risks Of Non-Compliance With Regulatory Mandates

o Facilitates Security Auditing Taking Systems Out Of Scope

o Maintains Your Control Of Key Protecting Your Tenant Key

o Ensures Control Over The Security Of Your Data

Enables You to Use The Cloud With Confidence!


HSM

App

Propriétaire de la clé

Key Vault

Opérateur de l’App

Key Vault Service

Azure Active Directory

SQL Server

Admin

Operations

de sécurité

Auditeur

SQL Server

Connector

EKM

1. Inscrit l’instance SQL

Server dans Azure AD

2a. Créer le Vault

2b. Créer la clé

2c. Autoriser l’accès

au Vault à SQL Server

4. Authentification

3. Configurer le

chiffrement SQL Server

5. Protection

des clefs

6. Auditer l’utilisation des clés

(bientôt)

• SQL Server 2014 RTM Enterprise

• SQL Server 2012 SP2 Enterprise

• SQL Server 2012 SP1 CU6 Enterprise

• SQL Server 2008 R2 SP2 CU8 Enterprise

tech.days 2015#mstechdaysTitre session pied de page

Add-AzureKeyVaultKey -VaultName 'MyHSMKeyVault' –Name ‘SQLMasterKeyHW' –Destination 'HSM'

Azure Key Vault + SQL Server 2014

•

•

•Extensible Key Management Using Azure Key Vault (SQL Server)

http://msdn.microsoft.com/en-us/library/dn198405.aspx

tech days•

2015


Azure Virtual Network

VPN GW

FrontauxApplicationBackend

InternetConnectivité versMon réseau Privé

Connectivité vers/depuis Internet

• IP Load-balancés ou directes

• protection ACLs & DDoS

• Traffic Manager

• Support IaaS + PaaS

• Topologies multi tiers

• ACLs Réseau (Access Groups)

• Connectivité multiple inter VNET

• Connectivité VPN IPSec

via Internet

• Passerelles classiques et

premium

• Connectivité privée via

Azure ExpressRoute

AZURE

• Contrôle le trafic réseau en

provenance d’Internet

• Propose une configuration par

défaut autorisant uniquement

l’admin remote des serveurs

• Implémente l’état de l’art de la

protection anti DDOS

• Exécute des tests de sécurité

réguliers

UTILISATEURS

• Contrôlent le firewall de

protections des services et VMs

• Etablissent les liens de

connectivité entre réseaux

• Configurent les règles de

filtrage réseau

Customer 2

INTERNET

Isolated Virtual Networks

Customer 1

Isolated Virtual Network

Deployment X Deployment X Deployment Y

Portal

Smart API

Administration

par l’utilisateur

VNET to VNET

Cloud Access Layer

Web Endpoint(public access)

RDP Endpoint(password access)

Client Client

VPN

Corp 1

Microsoft Azure

Portal

SMAPI

Protection et filtrage réseauLa responsabilité est partagée entre Microsoft et les utilisateurs Azure

•

•

•

•

•

•

•

•

•

•

VirtualNetwork

Backend10.3/16

Mid-tier10.2/16

Frontend10.1/16

VPN GW

Internet

On Premises 10.0/16

S2SVPNs

Internet

Priorité Source Src.Port Destination Dest. Port Protocol Accès

65000 * * * 80 TCP ALLOW

32000 * * * * TCP DENY

Filtrage Réseau

1.

New-AzureNetworkSecurityGroup -Name “Backend Policy" -Location europenorth -Label “NSG pour controler la securite backend"

2.

Get-AzureNetworkSecurityGroup -Name "MyVNetSG" | Set-AzureNetworkSecurityRule -Name WEB -Type Inbound -Priority 100 -Action Allow -SourceAddressPrefix 'INTERNET' -SourcePortRange '*' -DestinationAddressPrefix '*' -DestinationPortRange '*' -Protocol TCP

3.

Get-AzureVM -ServiceName "MyWebsite" -Name "Instance1" | Set-AzureNetworkSecurityGroupConfig -NetworkSecurityGroupName "MyVNetSG" | Update-AzureVM

Get-AzureNetworkSecurityGroup -Name "MyVNetSG" | Set-AzureNetworkSecurityGroupToSubnet -VirtualNetworkName 'VNetUSWest' -SubnetName'FrontEndSubnet'

Virtual Network

DB-Tier10.1.3/24

App-tier10.1.2/24

Web-Tier10.1.1/24

Internet

Internet

Ressource : https://msdn.microsoft.com/en-us/library/azure/dn848316.aspx

Jusqu’à 4 adresses IP par VM

Les multi adresses MAC et IP des VMs sont persistantes

Les scénarios possibles en multi NIC

Virtual Appliances

Séparation des types de trafic réseau

Implémentation de Firewalls spécifiques

Analyse des flux réseau

Azure Virtual Machine

NIC2 NIC1 Default

Azure Virtual Network

FrontendSubnet

AppSubnet

BackendSubnet

Internet

10.2.2.2210.2.3.33 10.2.1.11

VIP: 133.44.55.66

Add-AzureNetworkInterfaceConfig -Name "Ethernet1" -SubnetName"Midtier" -StaticVNetIPAddress "10.1.1.11" -VM $vm

Add-AzureNetworkInterfaceConfig -Name "Ethernet2" -SubnetName"Backend" -StaticVNetIPAddress "10.1.2.22" -VM $vm

Implémentation réelle du scénario « extension privée de DataCenter sur Azure »

“Force” ou redirige le trafic Internet des VMs Azure vers le réseau privé, au travers d’ExpressRoute

Permet le contrôle et l’analyse du traffic internet des VMs Azure par les outils habituels des utilisateurs

Virtual Network

Backend10.3/16

Mid-tier10.2/16

Frontend10.1/16

VPN GW

Internet

On Premises

S2SVPNs

Forced Tunneledvia S2S VPN Internet

tech days•

2015



Examen 70-532 Examen 70-533 Examen 70-534

azure iaas : concevoir en architecture sécurisée en tirant bénéfice des nouveautés

Technology