SlideShare uma empresa Scribd logo

Kubernetes est-il soluble dans la sécurité ? NBS System & Doctolib - Assises de la Sécurité 2019

NBS System
NBS System

NBS System et Doctolib ont proposé un retour d'expérience sur Kubernetes et la sécurité, lors des Assises de la sécurité 2019.

Engenharia
1 de 11
Baixar para ler offline
KUBERNETES EST-IL SOLUBLE DANS LA SÉCURITÉ ? Intervenants NBS System – Assises de la Sécurité – 10/10/19 @nbs_system / @doctolib
Intervenants NBS System assure la sécurité informatique de plateformes web & systèmes d’information depuis 1999. Fort de cette expérience et du GoToCloud, l’entreprise s’est spécialisée en sécurité sur les clouds publics et privés. Emile HEITOR, Directeur Technique Guillaume SEVESTRE, RSSI Leader de l'e-santé en Europe, Doctolib a une mission simple : améliorer le système de santé de demain. Entreprise tech, elle innove pour accompagner plus de 150 000 praticiens et secrétaires et plus de 2000 établissements de santé. Pascal FOULON, RSSI NBS System – Assises de la Sécurité – 10/10/19 @nbs_system / @doctolib
Les conteneurs • Ce mécanisme permet d'exécuter des applications de façon isolées sur un même système hôte • L'application et les programmes, bibliothèques, ressources dont elle a besoin forment une image • Des instances de l'image contenant l'application sont lancées dans des conteneurs • La technologie majeure des conteneurs est Docker NBS System – Assises de la Sécurité – 10/10/19 INFRA HOST OS DOCKER APP 3 APP 4 APP 1 APP 2 Description de l’image Image Application + Libs + Binaires 3
Kubernetes : l’orchestration de facto • Pilote le déploiement et la configuration des conteneurs, le réseau, le stockage … • Permet un fonctionnement déclaratif de type Architecture As Code • Garantit l'état du cluster tel que spécifié, et automatise les corrections en cas d'altération NBS System – Assises de la Sécurité – 10/10/19 4
4 incontournables pour la défense en profondeur NBS System – Assises de la Sécurité – 10/10/19 5
Quels risques sur l’exposition du cluster ? • Compromission via un compte mal sécurisé ou un manque de restriction réseau : certaines versions de Kubernetes acceptent des requêtes anonymes par défaut • Compromission via une vulnérabilité : la CVE-2018-1002105 permet une élévation de privilège sur le cluster pouvant se propager à l'hôte • Il faut établir une sécurité périmétrique limitant l'accès aux API NBS System – Assises de la Sécurité – 10/10/19 6
Images : illusion de simplicité & de contrôle • Les images se substituent aux packages : • De nouvelles blackboxes, au cœur du cluster • Utiliser une image … c’est déléguer sa sécurité • Toute image vérolée ou obsolète peut compromettre votre cluster • Build d'images minimales (CI/CD, impact sur l'équipe devops, best practices) • Scan de vulnérabilités / Analyse statique NBS System – Assises de la Sécurité – 10/10/19 7
Des capacités de protection... désactivées ! • Kubernetes : open by design • Accès par défaut aux mécanismes les plus sensibles du cluster (config etcd, API server) • Importance d’appliquer les Best Practices : RBAC, namespaces, rootless images • Impact des Network Policies • Evaluer l’impact fort de l'activation de protections (rootless...) • Se faire accompagner sur le design et l'implémentation • Investir sur la montée en compétence NBS System – Assises de la Sécurité – 10/10/19 8 “People assume Kubernetes has a lot of security, the mistake, however, is in assuming those native controls are configured by default, they’re not !” Kubernetes Security, RedHat Openshift: 5 mistakes to avoid May 2019
Patch management : le challenge ! • Patcher Kubernetes : une toute autre dimension • Cluster : être toujours sur la dernière version ! • Drivers / plugins : drivers réseau, Istio • Patch aussi dans les images • OS, Middleware, Application • Processus maîtrisés de Maj complète de la plateforme • Inter-dépendances : une cascade de Maj • Planifier les downtime NBS System – Assises de la Sécurité – 10/10/19 INFRA HOST OS DOCKER Kubernetes APPS Plugins Drivers 9 image OS Middleware
Kubernetes est il soluble dans la sécurité ? Gérez les 4 domaines de sécurité :  Réduisez l’exposition réseau de votre cluster  Privilégiez des images maitrisées minimales  Appliquez les Best Practices au Design  Pilotez finement patch & inter-dépendances Investissez dans la phase de Design & Implémentation pour réduire vos coûts opérationnels ultérieurs NBS System – Assises de la Sécurité – 10/10/19 10
Merci pour votre attention. www.nbs-system.com 11 @nbs_system @doctolib

Recomendados

Virtualization fr datasheet
Virtualization fr datasheetVirtualization fr datasheet
Virtualization fr datasheet
Julien Pulvirenti
 
Architectures de virtualisation
Architectures de virtualisationArchitectures de virtualisation
Architectures de virtualisation
Antoine Benkemoun
 
Kubernetes est-il soluble dans la sécurité ? Meetup Genève
Kubernetes est-il soluble dans la sécurité ? Meetup GenèveKubernetes est-il soluble dans la sécurité ? Meetup Genève
Kubernetes est-il soluble dans la sécurité ? Meetup Genève
Net4All
 
IBM Bluemix Paris meetup #23 - 20170425
IBM Bluemix Paris meetup #23 - 20170425IBM Bluemix Paris meetup #23 - 20170425
IBM Bluemix Paris meetup #23 - 20170425
IBM France Lab
 
Ciel ! Mon Kubernetes mine des bitcoins...
Ciel ! Mon Kubernetes mine des bitcoins...Ciel ! Mon Kubernetes mine des bitcoins...
Ciel ! Mon Kubernetes mine des bitcoins...
Open Source Experience
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
Chiheb Ouaghlani
 
The Dark Side Of The Cloud
The Dark Side Of The CloudThe Dark Side Of The Cloud
The Dark Side Of The Cloud
Robert Viseur
 
Meeting Nuvollo - La passerelle-I.D.E (french)
Meeting Nuvollo - La passerelle-I.D.E (french)Meeting Nuvollo - La passerelle-I.D.E (french)
Meeting Nuvollo - La passerelle-I.D.E (french)
Nuvollo
 

Recomendados

Virtualization fr datasheet
Virtualization fr datasheetVirtualization fr datasheet
Virtualization fr datasheet
Julien Pulvirenti
 
Architectures de virtualisation
Architectures de virtualisationArchitectures de virtualisation
Architectures de virtualisation
Antoine Benkemoun
 
Kubernetes est-il soluble dans la sécurité ? Meetup Genève
Kubernetes est-il soluble dans la sécurité ? Meetup GenèveKubernetes est-il soluble dans la sécurité ? Meetup Genève
Kubernetes est-il soluble dans la sécurité ? Meetup Genève
Net4All
 
IBM Bluemix Paris meetup #23 - 20170425
IBM Bluemix Paris meetup #23 - 20170425IBM Bluemix Paris meetup #23 - 20170425
IBM Bluemix Paris meetup #23 - 20170425
IBM France Lab
 
Ciel ! Mon Kubernetes mine des bitcoins...
Ciel ! Mon Kubernetes mine des bitcoins...Ciel ! Mon Kubernetes mine des bitcoins...
Ciel ! Mon Kubernetes mine des bitcoins...
Open Source Experience
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
Chiheb Ouaghlani
 
The Dark Side Of The Cloud
The Dark Side Of The CloudThe Dark Side Of The Cloud
The Dark Side Of The Cloud
Robert Viseur
 
Meeting Nuvollo - La passerelle-I.D.E (french)
Meeting Nuvollo - La passerelle-I.D.E (french)Meeting Nuvollo - La passerelle-I.D.E (french)
Meeting Nuvollo - La passerelle-I.D.E (french)
Nuvollo
 
Nuvollo and La passerelle-I.D.E (french)
Nuvollo and La passerelle-I.D.E (french)Nuvollo and La passerelle-I.D.E (french)
Nuvollo and La passerelle-I.D.E (french)
Nuvollo
 
La protection des données : Entre confiance & agilité
La protection des données : Entre confiance & agilitéLa protection des données : Entre confiance & agilité
La protection des données : Entre confiance & agilité
RSD
 
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaSEvaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
NBS System
 
Sécurité dans le cloud
Sécurité dans le cloudSécurité dans le cloud
Sécurité dans le cloud
Hassan EL ALLOUSSI
 
Solutions linux ec2 surveillance
Solutions linux ec2 surveillanceSolutions linux ec2 surveillance
Solutions linux ec2 surveillance
Sergio Loureiro
 
Surveillance Amazon EC2 infrastructure (french)
Surveillance Amazon EC2 infrastructure (french) Surveillance Amazon EC2 infrastructure (french)
Surveillance Amazon EC2 infrastructure (french)
Sergio Loureiro
 
IBM Bluemix Paris meetup #16 20160914 - Introduction à Bluemix -v2
IBM Bluemix Paris meetup #16 20160914 - Introduction à Bluemix -v2IBM Bluemix Paris meetup #16 20160914 - Introduction à Bluemix -v2
IBM Bluemix Paris meetup #16 20160914 - Introduction à Bluemix -v2
IBM France Lab
 
Article open-silicium-juin-juillet-aout-2013
Article open-silicium-juin-juillet-aout-2013Article open-silicium-juin-juillet-aout-2013
Article open-silicium-juin-juillet-aout-2013
O10ée
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume Croteau
Patrick Leclerc
 
SUSE Expert Days Paris 2018 – Sécurité et Gestion des Systèmes
SUSE Expert Days Paris 2018 – Sécurité et Gestion des SystèmesSUSE Expert Days Paris 2018 – Sécurité et Gestion des Systèmes
SUSE Expert Days Paris 2018 – Sécurité et Gestion des Systèmes
SUSE
 
AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...
AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...
AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...
NBS System
 
XebiCon'16 : Architecture MicroServices avec Azure par Michel Hubert, CTO de ...
XebiCon'16 : Architecture MicroServices avec Azure par Michel Hubert, CTO de ...XebiCon'16 : Architecture MicroServices avec Azure par Michel Hubert, CTO de ...
XebiCon'16 : Architecture MicroServices avec Azure par Michel Hubert, CTO de ...
Publicis Sapient Engineering
 
Net Worker 9 : une solution orientée Backup As a Service
Net Worker 9 : une solution orientée Backup As a ServiceNet Worker 9 : une solution orientée Backup As a Service
Net Worker 9 : une solution orientée Backup As a Service
RSD
 
Bornes, écrans, automates: ce qui se cache derrière les systèmes embarqués qu...
Bornes, écrans, automates: ce qui se cache derrière les systèmes embarqués qu...Bornes, écrans, automates: ce qui se cache derrière les systèmes embarqués qu...
Bornes, écrans, automates: ce qui se cache derrière les systèmes embarqués qu...
Microsoft
 
Competitic cloud - numerique en entreprise
Competitic cloud - numerique en entrepriseCompetitic cloud - numerique en entreprise
Competitic cloud - numerique en entreprise
COMPETITIC
 
Transformer votre Cloud : est-ce si simple ? La réponse avec les solutions EM...
Transformer votre Cloud : est-ce si simple ? La réponse avec les solutions EM...Transformer votre Cloud : est-ce si simple ? La réponse avec les solutions EM...
Transformer votre Cloud : est-ce si simple ? La réponse avec les solutions EM...
Microsoft Ideas
 
Xebicon architectures microservices azure v1.0
Xebicon architectures microservices azure v1.0Xebicon architectures microservices azure v1.0
Xebicon architectures microservices azure v1.0
Michel HUBERT
 
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...
matteo mazzeri
 
Simplifier vos déploiements vers Windows 10
Simplifier vos déploiements vers Windows 10Simplifier vos déploiements vers Windows 10
Simplifier vos déploiements vers Windows 10
Microsoft Technet France
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
Sébastien GIORIA
 
Risk Management : comment gérer la crise de sécurité ? - Christian Belval, Di...
Risk Management : comment gérer la crise de sécurité ? - Christian Belval, Di...Risk Management : comment gérer la crise de sécurité ? - Christian Belval, Di...
Risk Management : comment gérer la crise de sécurité ? - Christian Belval, Di...
NBS System
 
AWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
AWS et NBS System présentent la Très Haute Sécurité - Emile HeitorAWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
AWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
NBS System
 

Mais conteúdo relacionado

Semelhante a Kubernetes est-il soluble dans la sécurité ? NBS System & Doctolib - Assises de la Sécurité 2019

Nuvollo and La passerelle-I.D.E (french)
Nuvollo and La passerelle-I.D.E (french)Nuvollo and La passerelle-I.D.E (french)
Nuvollo and La passerelle-I.D.E (french)
Nuvollo
 
Solutions linux ec2 surveillance
Solutions linux ec2 surveillanceSolutions linux ec2 surveillance
Solutions linux ec2 surveillance
Sergio Loureiro
 
Article open-silicium-juin-juillet-aout-2013
Article open-silicium-juin-juillet-aout-2013Article open-silicium-juin-juillet-aout-2013
Article open-silicium-juin-juillet-aout-2013
O10ée
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume Croteau
Patrick Leclerc
 
Bornes, écrans, automates: ce qui se cache derrière les systèmes embarqués qu...
Bornes, écrans, automates: ce qui se cache derrière les systèmes embarqués qu...Bornes, écrans, automates: ce qui se cache derrière les systèmes embarqués qu...
Bornes, écrans, automates: ce qui se cache derrière les systèmes embarqués qu...
Microsoft
 
Transformer votre Cloud : est-ce si simple ? La réponse avec les solutions EM...
Transformer votre Cloud : est-ce si simple ? La réponse avec les solutions EM...Transformer votre Cloud : est-ce si simple ? La réponse avec les solutions EM...
Transformer votre Cloud : est-ce si simple ? La réponse avec les solutions EM...
Microsoft Ideas
 
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...
matteo mazzeri
 

Semelhante a Kubernetes est-il soluble dans la sécurité ? NBS System & Doctolib - Assises de la Sécurité 2019 (20)

Nuvollo and La passerelle-I.D.E (french)
Nuvollo and La passerelle-I.D.E (french)Nuvollo and La passerelle-I.D.E (french)
Nuvollo and La passerelle-I.D.E (french)
 
La protection des données : Entre confiance & agilité
La protection des données : Entre confiance & agilitéLa protection des données : Entre confiance & agilité
La protection des données : Entre confiance & agilité
 
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaSEvaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
 
Sécurité dans le cloud
Sécurité dans le cloudSécurité dans le cloud
Sécurité dans le cloud
 
Solutions linux ec2 surveillance
Solutions linux ec2 surveillanceSolutions linux ec2 surveillance
Solutions linux ec2 surveillance
 
Surveillance Amazon EC2 infrastructure (french)
Surveillance Amazon EC2 infrastructure (french) Surveillance Amazon EC2 infrastructure (french)
Surveillance Amazon EC2 infrastructure (french)
 
IBM Bluemix Paris meetup #16 20160914 - Introduction à Bluemix -v2
IBM Bluemix Paris meetup #16 20160914 - Introduction à Bluemix -v2IBM Bluemix Paris meetup #16 20160914 - Introduction à Bluemix -v2
IBM Bluemix Paris meetup #16 20160914 - Introduction à Bluemix -v2
 
Article open-silicium-juin-juillet-aout-2013
Article open-silicium-juin-juillet-aout-2013Article open-silicium-juin-juillet-aout-2013
Article open-silicium-juin-juillet-aout-2013
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume Croteau
 
SUSE Expert Days Paris 2018 – Sécurité et Gestion des Systèmes
SUSE Expert Days Paris 2018 – Sécurité et Gestion des SystèmesSUSE Expert Days Paris 2018 – Sécurité et Gestion des Systèmes
SUSE Expert Days Paris 2018 – Sécurité et Gestion des Systèmes
 
AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...
AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...
AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...
 
XebiCon'16 : Architecture MicroServices avec Azure par Michel Hubert, CTO de ...
XebiCon'16 : Architecture MicroServices avec Azure par Michel Hubert, CTO de ...XebiCon'16 : Architecture MicroServices avec Azure par Michel Hubert, CTO de ...
XebiCon'16 : Architecture MicroServices avec Azure par Michel Hubert, CTO de ...
 
Net Worker 9 : une solution orientée Backup As a Service
Net Worker 9 : une solution orientée Backup As a ServiceNet Worker 9 : une solution orientée Backup As a Service
Net Worker 9 : une solution orientée Backup As a Service
 
Bornes, écrans, automates: ce qui se cache derrière les systèmes embarqués qu...
Bornes, écrans, automates: ce qui se cache derrière les systèmes embarqués qu...Bornes, écrans, automates: ce qui se cache derrière les systèmes embarqués qu...
Bornes, écrans, automates: ce qui se cache derrière les systèmes embarqués qu...
 
Competitic cloud - numerique en entreprise
Competitic cloud - numerique en entrepriseCompetitic cloud - numerique en entreprise
Competitic cloud - numerique en entreprise
 
Transformer votre Cloud : est-ce si simple ? La réponse avec les solutions EM...
Transformer votre Cloud : est-ce si simple ? La réponse avec les solutions EM...Transformer votre Cloud : est-ce si simple ? La réponse avec les solutions EM...
Transformer votre Cloud : est-ce si simple ? La réponse avec les solutions EM...
 
Xebicon architectures microservices azure v1.0
Xebicon architectures microservices azure v1.0Xebicon architectures microservices azure v1.0
Xebicon architectures microservices azure v1.0
 
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...
 
Simplifier vos déploiements vers Windows 10
Simplifier vos déploiements vers Windows 10Simplifier vos déploiements vers Windows 10
Simplifier vos déploiements vers Windows 10
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
 

Mais de NBS System

Mais de NBS System (10)

Risk Management : comment gérer la crise de sécurité ? - Christian Belval, Di...
Risk Management : comment gérer la crise de sécurité ? - Christian Belval, Di...Risk Management : comment gérer la crise de sécurité ? - Christian Belval, Di...
Risk Management : comment gérer la crise de sécurité ? - Christian Belval, Di...
 
AWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
AWS et NBS System présentent la Très Haute Sécurité - Emile HeitorAWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
AWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
 
Le Darwinisme Digital
Le Darwinisme DigitalLe Darwinisme Digital
Le Darwinisme Digital
 
Magento security 2015 best practices
Magento security 2015 best practicesMagento security 2015 best practices
Magento security 2015 best practices
 
Magento performances 2015 best practices
Magento performances 2015 best practicesMagento performances 2015 best practices
Magento performances 2015 best practices
 
2016 - B2B, e-commerce et sécurité
2016 - B2B, e-commerce et sécurité2016 - B2B, e-commerce et sécurité
2016 - B2B, e-commerce et sécurité
 
2015 - Concilier exploitabilité & Sécurité : challenge relevé !
2015 - Concilier exploitabilité & Sécurité : challenge relevé !2015 - Concilier exploitabilité & Sécurité : challenge relevé !
2015 - Concilier exploitabilité & Sécurité : challenge relevé !
 
Benchmark of e-commerce solutions
Benchmark of e-commerce solutionsBenchmark of e-commerce solutions
Benchmark of e-commerce solutions
 
Benchmark des solutions e-commerce
Benchmark des solutions e-commerceBenchmark des solutions e-commerce
Benchmark des solutions e-commerce
 
Livre blanc des connecteurs de paiement
Livre blanc des connecteurs de paiementLivre blanc des connecteurs de paiement
Livre blanc des connecteurs de paiement
 

Último

conception d'un batiment r+4 comparative de defferente ariante de plancher
conception d'un batiment r+4 comparative de defferente ariante de plancherconception d'un batiment r+4 comparative de defferente ariante de plancher
conception d'un batiment r+4 comparative de defferente ariante de plancher
mansouriahlam
 
comprehension de DDMRP dans le domaine de gestion
comprehension de DDMRP dans le domaine de gestioncomprehension de DDMRP dans le domaine de gestion
comprehension de DDMRP dans le domaine de gestion
yakinekaidouchi1
 

Último (7)

conception d'un batiment r+4 comparative de defferente ariante de plancher
conception d'un batiment r+4 comparative de defferente ariante de plancherconception d'un batiment r+4 comparative de defferente ariante de plancher
conception d'un batiment r+4 comparative de defferente ariante de plancher
 
firefly algoriyhm sac a dos step by step .pdf
firefly algoriyhm sac a dos step by step .pdffirefly algoriyhm sac a dos step by step .pdf
firefly algoriyhm sac a dos step by step .pdf
 
JTC 2024 Bâtiment et Photovoltaïque.pdf
JTC 2024 Bâtiment et Photovoltaïque.pdfJTC 2024 Bâtiment et Photovoltaïque.pdf
JTC 2024 Bâtiment et Photovoltaïque.pdf
 
optimisation logistique MLT_231102_155827.pdf
optimisation logistique MLT_231102_155827.pdfoptimisation logistique MLT_231102_155827.pdf
optimisation logistique MLT_231102_155827.pdf
 
comprehension de DDMRP dans le domaine de gestion
comprehension de DDMRP dans le domaine de gestioncomprehension de DDMRP dans le domaine de gestion
comprehension de DDMRP dans le domaine de gestion
 
Algo II: les files cours + exercices corrigés
Algo II: les files cours + exercices corrigésAlgo II: les files cours + exercices corrigés
Algo II: les files cours + exercices corrigés
 
Présentation_Soirée-Information_ Surverse_Thibert _30 avril 2024
Présentation_Soirée-Information_ Surverse_Thibert _30 avril 2024Présentation_Soirée-Information_ Surverse_Thibert _30 avril 2024
Présentation_Soirée-Information_ Surverse_Thibert _30 avril 2024
 

Kubernetes est-il soluble dans la sécurité ? NBS System & Doctolib - Assises de la Sécurité 2019

  • 1. KUBERNETES EST-IL SOLUBLE DANS LA SÉCURITÉ ? Intervenants NBS System – Assises de la Sécurité – 10/10/19 @nbs_system / @doctolib
  • 2. Intervenants NBS System assure la sécurité informatique de plateformes web & systèmes d’information depuis 1999. Fort de cette expérience et du GoToCloud, l’entreprise s’est spécialisée en sécurité sur les clouds publics et privés. Emile HEITOR, Directeur Technique Guillaume SEVESTRE, RSSI Leader de l'e-santé en Europe, Doctolib a une mission simple : améliorer le système de santé de demain. Entreprise tech, elle innove pour accompagner plus de 150 000 praticiens et secrétaires et plus de 2000 établissements de santé. Pascal FOULON, RSSI NBS System – Assises de la Sécurité – 10/10/19 @nbs_system / @doctolib
  • 3. Les conteneurs • Ce mécanisme permet d'exécuter des applications de façon isolées sur un même système hôte • L'application et les programmes, bibliothèques, ressources dont elle a besoin forment une image • Des instances de l'image contenant l'application sont lancées dans des conteneurs • La technologie majeure des conteneurs est Docker NBS System – Assises de la Sécurité – 10/10/19 INFRA HOST OS DOCKER APP 3 APP 4 APP 1 APP 2 Description de l’image Image Application + Libs + Binaires 3
  • 4. Kubernetes : l’orchestration de facto • Pilote le déploiement et la configuration des conteneurs, le réseau, le stockage … • Permet un fonctionnement déclaratif de type Architecture As Code • Garantit l'état du cluster tel que spécifié, et automatise les corrections en cas d'altération NBS System – Assises de la Sécurité – 10/10/19 4
  • 5. 4 incontournables pour la défense en profondeur NBS System – Assises de la Sécurité – 10/10/19 5
  • 6. Quels risques sur l’exposition du cluster ? • Compromission via un compte mal sécurisé ou un manque de restriction réseau : certaines versions de Kubernetes acceptent des requêtes anonymes par défaut • Compromission via une vulnérabilité : la CVE-2018-1002105 permet une élévation de privilège sur le cluster pouvant se propager à l'hôte • Il faut établir une sécurité périmétrique limitant l'accès aux API NBS System – Assises de la Sécurité – 10/10/19 6
  • 7. Images : illusion de simplicité & de contrôle • Les images se substituent aux packages : • De nouvelles blackboxes, au cœur du cluster • Utiliser une image … c’est déléguer sa sécurité • Toute image vérolée ou obsolète peut compromettre votre cluster • Build d'images minimales (CI/CD, impact sur l'équipe devops, best practices) • Scan de vulnérabilités / Analyse statique NBS System – Assises de la Sécurité – 10/10/19 7
  • 8. Des capacités de protection... désactivées ! • Kubernetes : open by design • Accès par défaut aux mécanismes les plus sensibles du cluster (config etcd, API server) • Importance d’appliquer les Best Practices : RBAC, namespaces, rootless images • Impact des Network Policies • Evaluer l’impact fort de l'activation de protections (rootless...) • Se faire accompagner sur le design et l'implémentation • Investir sur la montée en compétence NBS System – Assises de la Sécurité – 10/10/19 8 “People assume Kubernetes has a lot of security, the mistake, however, is in assuming those native controls are configured by default, they’re not !” Kubernetes Security, RedHat Openshift: 5 mistakes to avoid May 2019
  • 9. Patch management : le challenge ! • Patcher Kubernetes : une toute autre dimension • Cluster : être toujours sur la dernière version ! • Drivers / plugins : drivers réseau, Istio • Patch aussi dans les images • OS, Middleware, Application • Processus maîtrisés de Maj complète de la plateforme • Inter-dépendances : une cascade de Maj • Planifier les downtime NBS System – Assises de la Sécurité – 10/10/19 INFRA HOST OS DOCKER Kubernetes APPS Plugins Drivers 9 image OS Middleware
  • 10. Kubernetes est il soluble dans la sécurité ? Gérez les 4 domaines de sécurité :  Réduisez l’exposition réseau de votre cluster  Privilégiez des images maitrisées minimales  Appliquez les Best Practices au Design  Pilotez finement patch & inter-dépendances Investissez dans la phase de Design & Implémentation pour réduire vos coûts opérationnels ultérieurs NBS System – Assises de la Sécurité – 10/10/19 10
  • 11. Merci pour votre attention. www.nbs-system.com 11 @nbs_system @doctolib