D’un côté, la transformation numérique fait naître des modèles de business disruptifs et une compétition agressive pour l’acquisition de parts de marché, imposant une création de valeur rapide et agile. D’un autre côté, le Cloud, avec ses points d’accès publics et son évolution en continu, met en défaut les vieux paradigmes de sécurité pendant que le RSSI voit les investissements pour bâtir une défense en profondeur pour protéger le réseau d’entreprise et les applications devenir moins pertinents devant la sophistication, la fréquence et l’échelle des cyberattaques.
Après la migration d’une majorité des applicatifs métiers dans Microsoft Azure, l’adoption des méthodes Agiles et la transformation DevOps, Microsoft IT opère une transformation de ses équipes en SecDevOps comme un des éléments de réponses à ces contraintes.
Cette session s’intéressera à la façon dont Microsoft IT a outillé ses équipes afin de suivre le processus SDL (Secure Development Lifecycle) pour des applications désormais hébergées dans Microsoft Azure.
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurité aux équipes DevOps
1. #experiences18
Comment Microsoft IT a transféré certaines
responsabilités liées à la sécurité aux équipes
DevOps
Philippe Beraud
Direction Technique et Sécurité
Microsoft France
Marc Thenot
Microsoft IT
Microsoft France
2. #experiences18Microsoft experiences18
95 percent of security issues and failures of cloud
services will be the fault of the customer, rather than
the service provider, in 2020.
- Gartner
GartnerRevealsTopPredictionsforITOrganizationsandUsersfor2016andBeyond
https://www.gartner.com/newsroom/id/3143718
6. #experiences18Microsoft experiences18
L’approche en matière de sécurité doit être repensée…
Et Microsoft CSEOn’y fait pas exceptionpour son portefeuilledesolutions…
Vitesse versus Contrôle
Développement Gouvernance IT
Vitesse Contrôle
7. #experiences18Microsoft experiences18
L’approche en matière de sécurité doit être repensée…
Et Microsoft CSEOn’y fait pas exceptionpour son portefeuilledesolutions…
File d'attente de revues de sécurité
Processus de
revue SDL
Processus de revue
de l’infrastructure
• Auto-approvisionnement sûr, auto-
gouvernance des environnements applicatifs
• Sécurité intégrée dans DevOps
• Modèles Ville, État et Gouvernement federal
pour la sécurité
LE QUOTIDIEN AVEC LE CLOUD
Processus de revue
de la protection de
la vie privée
Télémétrie de
sécurité
LE QUOTIDIEN AVANT LE CLOUD
8. #experiences18Microsoft experiences18
L’approche en matière de sécurité doit être repensée…
Comment embrasser la vitesse de DevOps et la livraison continue dans un
environnement sûr ?
Ou comment s’assurer notamment de la mise en œuvre des contrôles appropriés pour l’environnement des
solutions déployées et les données concernées ?
Des centaines de pages de
documentation sur la sécurité
Azure
Avec des services en croissance constante,
des capacités sans cesse plus nombreuses
et évoluées, etc.
9. #experiences18Microsoft experiences18
Les enseignements des projets pilotes HC(Highly ConfidentialData)
Pour Microsoft CSEO
> L’automatisation de la sécurité est une obligation !
Difficile de maintenir la parité entre “DevTest-> SIT-> UAT-> PROD". Trop d'environnements à passer en revue !
Nécessité de s'efforcer de valider de bout en bout - d'une réclamation lors d’un modèle de menaces à une ressource réelle
dans l'abonnement cible
Nécessité de suivre les artefacts critiques hautement confidentiels ("instantanés" sécurisés). L’étiquetage/l’organisation
peuvent vous aider.
Les processus d'exception tels que les récupérations après sinistre sont source d'angoisse
> Nécessité de pousser l'autonomisation de l'équipe d'ingénierie au niveau
supérieur
Faciliter la pré-configuration de la sécurité – p. ex. modèles ARM miniatures
Intégrer des outils de sécurité tels que CredScan dans le flux de travail de construction du projet CSEO Azure DevOps OneITVSO
Étendre la portée de la vérification automatisée des contrôles de sécurité (plus de services, plus de contrôles pour chaque
service)
10. #experiences18Microsoft experiences18
Les enseignements des projets pilotes HC(Highly ConfidentialData)
Pour Microsoft CSEO
> Le changement continu nécessite un passage à la conformité continue !
Les conceptions « validées » et les évaluations « ponctuelles » amène une tension naturelle avec l’Intégration
Continue/Déploiement continu (pipeline CICD)
Besoin d'une capacité à capturer des instantanés de sécurité et à suivre la « dérive » d'un état sécurisé
> Nécessité de comprendre et d'établir une hygiène de sécurité opérationnelle
dans Azure
Hygiène des abonnements, revues d'accès et gestion du changement
Configurations des ressources, pare-feu, revues de la configuration réseau (appliance)
Rotation des clés, récupération après sinistre/continuité des activités (BC/DR) , audit/surveillance, réponse aux incidents
12. #experiences18Microsoft experiences18
Niveau
organisationnel Portée Azure
Application de la
politique Azure
Automatisation
fournie par l’IT Support DevOps BI + Analytique
Mondiale
(Microsoft.com)
Des milliers
d'abonnements
Politiques globales
légères
AIRS ServiceTree
Fédéral
(Microsoft CSEO)
Des centaines
d'abonnements
Politiques DSRE
Politiques réseau
Modèles ARM
Bibliothèque
d'automatisation Azure
Mise à disposition de
boîtes à outils DevOp
Reporting des données
agrégées
LT CIO
État
(Service en ligne)
Des dizaines
d'abonnements
Politiques propres à
l’organisation
Modèles personnalisés,
automatisation
Boîtes à outils
personnalisées
Plusieurs instances OMS
Données agrégées
Rapports
LT BPU
Ville
(Services/Apps)
Plusieurs abonnements
+ groupes de ressources
Politiques propres au
service
Modèles CI/CD Télémétrie et alertes Espace de travail OMS
Opérationnalisation du Cloud
Gestion des abonnements Azure
13. #experiences18Microsoft experiences18
Vous avez dit Secure DevOps Kit for Azure
(AzSK) ?
- ou- Comment concevoir, élaborer et mettre en œuvre une stratégie de
gouvernance qui réponde aux besoins de Microsoft CSEO en matière de
gouvernance Cloud pour l’entreprise tout en améliorant les capacités des
services Azure
14. #experiences18Microsoft experiences18
Secure DevOps Kit pour Azure (AzSK)
Un objectif simple! ;-)
Pouvoir manuellement auditeur et corriger toutes les ressources déployéess dans Azure vis-à-vis
de la conformité en matière de sécurité
Dans la pratique
Un ensemble de scripts, d'outils, d'extensions, d'automatisations, etc. pour les équipes DevOps
qui utilisent l'automatisation et intègrent la sécurité dans les flux de travail DevOps natifs
Construit par Microsoft CSEO (Microsoft Core Services Engineering)
Utilisé pour sécuriser plus de 750 abonnements Azure chez Microsoft
15. #experiences18Microsoft experiences18
Secure DevOps Kit
pour Azure (AzSK) Sécurité des
abonnements
(Policy, config.
ASC, alertes, RBAC,
etc.)
Assurer la sécurité dans l'abonnement
Un abonnement cloud sécurisé constitue la base des activités
de développement et de déploiement.
Sécurité
IntelliSense,
Tests de
vérification de
sécurité (SVTs)
Développer de manière sécurisée,
contrôler ponctuellement la
sécurité via des scripts
Les développeurs doivent avoir la possibilité
d'écrire du code sécurisé et de tester la
configuration sécurisée de leurs applications
cloud.
CICD
Extensions
Build/Release
Déployer de manière sécurité à
partir du pipeline Build/Release
d’Azure DevOps
Possibilité d'exécuter des tests de
vérification de sécurité (SVTs) dans le cadre
du pipeline CICD d’Azure DevOps
Runbooks
d'assurance
continue
Balayage périodique en production
pour détecter toute dérive
Traiter la sécurité d'un système comme un état
en constante évolution avec une assurance
continue
Surveillance
Azure pour les
alertes
Tableau de bord de sécurité
unique sur toutes les étapes
DevOps
Fournir des solutions pour les équipes
d'applications individuelles et pour les
équipes d'entreprises centrales
Gouvernance
des risquesApporter des améliorations
de sécurité basées sur les
données
Un Framework de télémétrie qui
génère des événements capturant
l'utilisation, l'adoption, les résultats
d'évaluation, etc.
16. #experiences18Microsoft experiences18
Déploiement de la gouvernance et des politiques de sécurité
Zone de fonctionnalité
• Le déploiement est manuel – Le déploiement de politiques exige
que les utilisateurs exécutent la commande azsk sur chaque
abonnement.
• L'application des politiques est manuelle – Comme le
déploiement est manuel, l'abonnement doit être surveillé pour
l'existence de contrôles
• Les rapports de conformité sont centralisés – La surveillance des
violations des politiques sont centralisées et exige une équipe
pour notifier les propriétaires d'abonnement lorsque des
ressources ne sont plus conformes
• La correction est manuelle – La correction d’un problème de
conformité nécessite que les utilisateurs exécutent des
commandes azsk sur chaque abonnement avec des ressource
défaillantes
Sécurité des
abonnements
Vérification de la sécurité des
abonnements
Provisionnement d'abonnements
Développement sécurisé Tests de vérification de sécurité (SVTs)
Extension éditeur VS de sécurité
IntelliSense
Sécurité dans le pipeline
CICD
Extension AzureDevOps AzSK-SVTs pour
l'injection de tests de sécurité dans un
pipeline CICD
Assurance continue Analyse de sécurité des abonnements
Azure et des applications via des
runbooks Automation
Alertes et surveillance Vue à volet unique de la sécurité à
travers les étapes de DevOps
Gouvernance des risques
liés au Cloud
Prise en charge des tableaux de bord
d'attestation de contrôle et de
gouvernance de la sécurité.
Défis
17. #experiences18Microsoft experiences18
Activation de Secure DevOps
Abonnement
Bilan de santé
Approvisionnement
Administration
« juste assez » (JEA)
Tests de vérification de la
sécurité dans les flux de travail
CI/CD
Sécurité IntelliSense
Tests de vérification de la sécurité
Tests de vérification de la sécurité
Tests de vérification de la
sécurité dans les flux de travail
CI/CD
Solution OMS pour AzSK
Conformité continue
Bilan de santé
Approvisionnement
Administration
« juste assez » (JEA)
19. #experiences18Microsoft experiences18
Déploiement de la gouvernance et des politiques de sécurité Azure
Impacts@Microsoft CSEO
Plus de 750 abonnements scannés
35000 ressources Azure scannées
2,2 millions contrôles scannés à date
Plus de 110 000 heures d'effort manuel d’économisées
Plus de 280 contrôles de sécurité sur plus de 30 services Azure de type IaaS/PaaS
Plus de 200 SDLs sur des apps métier d’entreprise au sein de l’IT
20. #experiences18Microsoft experiences18
Déploiement de la gouvernance et des politiques de
sécurité Azure
Impacts@Microsoft CSEO
Plus de 280 contrôles de sécurité couverts par le Kit AzSK
Automatisés par le kit DevOps ou qui doivent être vérifiés manuellement
aka.ms/azsdkosstcp
21. #experiences18Microsoft experiences18
Ce que nous aurions souhaité avoir ou connaitre...
Migration et planification
Standards et architecture
Consultatif
Sécurité pour les
développeurs
Migration et automatisation
Multi-Cloud
Outillage Sec aaS
Services de sécurité pour les
applications
Centralisation des opérations
(surveillance, vérification de la
configuration)
22. #experiences18Microsoft experiences18
Et ensuite ? Comme voie à suivre
Devenir natif Azure afin :
• d’empêcher le déploiement de ressources non conformes
• d’automatiser la remédiation
• d’être "Secure by default"
23. #experiences18Microsoft experiences18
Déploiement des politiques de sécurité Azure
Prochaines étapes
✓ Le déploiement est automatisé – Le déploiement des stratégies
est poussé à tous les abonnements selon l’arborescence des
groups d’administration
✓ L'application des politiques est automatisée – L'inhérence est
appliquée à tous les abonnements selon l’arborescence des
groups d’administration
✓ La déclaration de conformité est multi niveau – Les résultats
d'audit des politiques peuvent être consultés par les propriétaires
d'abonnement via une lame Azure ou des gestionnaires IT
✓ Les rapports de conformité sont à plusieurs niveaux – Les
propriétaires d'abonnement peuvent voir les résultats de l’audit
de politiques via une lame Azure ou des responsables IT
✓ La remédiation est automatisée – La nouvelle fonctionnalité de
remédiation d’Azure Policy permet aux utilisateurs d’avoir des
échecs
Défis résolus
Groupes d'administration déployés pour les abonnements de test
• Politiques de sécurité prêtes pour les pilotes (74)
• Politiques d'infrastructure prêtes pour les pilotes (19)
Adoption des groupes d'administrationde production
• Journalisation de l’activité des groupes d'exploitation
• RBAC améliorés pour les groupes d’administration
24. #experiences18Microsoft experiences18
Vers la mise en œuvre d’une gouvernance moderne native
Vitesse versus Contrôle
Développement Gardien du Cloud
Vitesse Contrôle
Modèles
Politiques
RBAC
Groupes
d’administration
Gestion des
coûts
Graphe de
Ressources
Gouvernance Azure
Blueprints
27. #experiences18Microsoft experiences18
En guise de conclusion
Mettre en place des bonnes pratiques pour protéger votre environnement dans une
posture « Assumer les violations » ! ;-)
Inventorier vos actifs
Investissez dans votre
plate-forme.
L'agilité et l'évolutivité
nécessitent une réflexion
prospective et la création de
plates-formes le permettant
Investissez dans votre
Instrumentation
Assurez-vous de mesurer de manière
exhaustive les éléments de votre
plate-forme
Investissez dans vos personnes
Des analystes qualifiés et des data
scientists sont le fondement de la
défense, tandis que les utilisateurs
constituent le nouveau périmètre de
sécurité
Surveiller votre réseau, vos hôtes et
vos journaux
Tester régulièrement les contrôles
pour l'exactitude et l'efficacité -
RedTeam
Mettre l’emphase sur la
communication entre les équipes de
réponse aux incidents
Pratiquer une bonne hygiène
Supprimer les droits d'administrateur
permaments
Définir les modèles et l’architecture
Automatiser la sécurité – Rendre cela
facile
Tout le monde est responsable !
28. #experiences18Microsoft experiences18
En guise de conclusion
Utiliser le Secure DevOps Kit for Azure (AzSK)
Il est très facile à démarrer avec des analyses de vulnérabilité non intrusives
• Une seule ligne de PowerShell
• Non intrusif : le rôle RBAC Reader est suffisant
• Après le premier scan, il est fort possible que vous soyez occupé pendant un moment ! ;-)
Lorsque les analyses de vulnérabilité AzSK sont déjà une habitude dans votre organisation, vous pouvez étendre l’outillage de bout en
bout, de la machine du développeur au pipeline CI/CD, en passant par l'assurance continue
• Configurer l’assurance continue pour Log Analytics
• Configurer le support CI/CD avec les plugins Azure DevOps
• Sensibiliser vos équipes sur les contrôles de sécurité défaillants les plus courants
• Construire de nouveaux environnements sécurisés dès le départ avec le vérificateur de modèles ARM AzSK
29. #experiences18Microsoft experiences18
Pour aller plus loin
Sur SecDevOps
SANS A DevSecOps Playbook
Awesome DevSecOps sur GitHub :
• Manifeste : devsecops.org/
github.com/devsecops/awesome-devsecops
OWASP Glue sur GitHub : github.com/OWASP/glue
30. #experiences18Microsoft experiences18
Pour aller plus loin
Sur le Secure DevOps Kit for Azure (AzSK)
Getting started with the Secure DevOps Kit for Azure (AzSK)
Building cloud apps using the Secure DevOps Kit for Azure (IT showcase)
Site web: https://azsk.azurewebsites.net/index.html
Repo GitHub :
github.com/azsk/DevOpsKit
github.com/azsk/DevOpsKit-docs
Support : mailto:azsdksupext@microsoft.com
31. #experiences18Microsoft experiences18
Pour aller plus loin
Avec des sessions lors de la conférence Ignite 2018
• BRK3062 - Architecting Security and Governance Across your Azure Subscriptions
• BRK3085 - Deep dive into Implementing governance at scale through Azure Policy
• THR2360 - Cloud governance at Microsoft through Azure Policy, management groups, and the Azure Secure
DevOps Kit
• THR2104 – Assess your Microsoft Azure security Center like a pro
• THR2194 - Azure IT controls for automation and configurations of your Azure and on-prem environment
• THR2358 Building cloud apps using the Secure DevOps for Azure
Et d’autres informations et webcasts
• Govern your Azure environment through Azure Policy - Build 2018
• Implement governance in Microsoft Azure at scale with policy-based management - Ignite 2017
32. #experiences18Microsoft experiences18
Pour aller plus loin
De la formation à la certification
Microsoft Learning: http://learning.microsoft.com
#experienceslive
Pour des réponses à toutes vos questions techniques
Microsoft Docs: https://docs.microsoft.com