Comment sécuriser ses flux entre le PaaS (Data Lake Store, SQL Database, Storage) où sont stockées nos datas et logs (application insights) et le IaaS qui consomme nos données.
2. Un peu de contexte : GPDR et Fuite de données
Le réglement européen sur la protection des données arrive bientôt :
25 mai 2018
Pour l’IT, cela implique :
• Secure & Privacy by Design :
les exigences relatives à la sécurité doivent être prise en compte dès
le début du projet
La donnée : c’est de l’argent.
Nous assistons à de nouvelles vagues d’attaques :
• Récupération des données à des fins de reventes
• Mise en place de rançons
3. Un use case pas si simple
Une entreprise X veut fournir de la BI sur ses ventes à ses commerciaux.
Ses ventes représente un volume de 3 millions de transactions / jour sur différents
produits.
Ces données contiennent :
• Des données personnelles (nom, prénom, numéro de dossier, etc…)
• Des informations sur la commande
Les données initiales sont stockées On-Prem, le calcul se fera sur Azure.
5. Sécuriser les accès au PaaS : NVA
Nous souhaitons bloquer les accès publics au Data Lake Store, active le
firewall pour ne permettre que les VMs d’y accéder mais nous ne
souhaitons pas active des IP publiques pour chaque VM.
La solution : Network Virtual Appliance (Checkpoint, Palo Alto, etc…)
Ingestion des
données
VM de Calcul
Data Lake Store
6. Sécuriser dans le PaaS : Data Lake Store
Trois techniques à appliquer :
• Firewall : Autoriser que les IP des NVAs
• Les Access Control List pour l’accés aux données :
• Donner à chaque appli (ingestion et calcul) des Services Principals
• Ingestion : droit de Write
• Calcul : droit de Read
• Cryptage des données par certificat
7. Service Endpoint
Azure Storage et SQL Database sont par défaut exposés sur Internet.
Comment y bloquer cet accès public et n’y autoriser que mes VMs ? Les Services Endpoints
Services Endpoints :
• Connecte les services PaaS à votre virtual network
• Bloque l’accès internet à ces ressources
• Monte un tunneling entre votre VNET et vos ressources
8. Service Tags & NSGs Augmented Rules
Par défaut, les NSGs autorisent l’outbound internet.
Afin d’éviter les fuites de données, nous bloquons l’outbound internet.
Comment accéder à Application Insights ? Les Services Tags ou NSG Augmented Rules
Services Tags :
• Apporte de la simplicité sur les règles NSGs : Permet d’autoriser ou pas l’accès vers des Services
Azure spécifiques
• Tout les services ne sont pas encore disponibles
NSG Augmented Rules :
• Simplifie la gestion des règles NSGs :
• Avant : Une IP (ou range) = Une règle
• Avec les Augmented Rules : Une règle = plusieurs Ips ou Range
9. Usage des NSG
VM de Calcul
Résultats
Logs
Fichiers
Attachés
Sur notre projet :
• Service Endpoints : usage sur storage & SQL
• Service Tags : usage sur storage & sql
• Augmented Rules :
• Ajouter l’ensemble des IPs Azure dans une règle