35
Expert sécurité, réseau et services informatiques Version : Date : Diffusion : Web Application Firewall : une nouvelle génération indispensable ? Public 1.0 Web Application Firewall : une nouvelle génération indispensable ? 29.06.2016

Web Application Firewall : une nouvelle génération indispensable ?

  • Upload
    kyos

  • View
    357

  • Download
    2

Embed Size (px)

Citation preview

Page 1: Web Application Firewall : une nouvelle génération indispensable ?

Expert sécurité, réseau et services informatiques

Version :

Date :

Diffusion :

Web Application Firewall :

une nouvelle génération indispensable ?

Public

1.0

Web Application Firewall : une nouvelle génération indispensable ?

29.06.2016

Page 2: Web Application Firewall : une nouvelle génération indispensable ?

Kyos SARL

Kyos en quelques mots

• Expert sécurité, réseau et services informatiques• Implanté à Genève depuis novembre 2002• Fusion par absorption avec la société Spacecom,

spécialiste réseau, en juin 2013• Entreprise à taille humaine : 31 personnes• Des valeurs communes :

‒ Sens du service‒ Ethique‒ Simplicité

• Société autofinancée et indépendante• Une signature : « embedded security »

Web Application Firewall : une nouvelle génération indispensable ?

229.06.2016

Page 3: Web Application Firewall : une nouvelle génération indispensable ?

Web Application Firewall : une nouvelle génération indispensable ?

"Eh...what's up, doc?"

Page 4: Web Application Firewall : une nouvelle génération indispensable ?

Kyos SARL

Quoi de neuf ?

Nouveau CRM Nouvelle équipe de consultant sécurité

Un outil en adéquation avec

notre sens du service

Asset Management

Plus de transparence

Plus de proximité avec

nos clients historiques en

Suisse Alémanique

Développement Géographique

de Kyos

Export de nos expertises sécurité et

réseau

Accompagner nos clients

sécurité

Nouveau bureauà St Gallen

Web Application Firewall : une nouvelle génération indispensable ?

429.06.2016

Page 5: Web Application Firewall : une nouvelle génération indispensable ?

Expert sécurité, réseau et services informatiques

Agenda

Applications, Flexibilité et Sécurité‐ Applications, Flexibilité

et Sécurité

‐ Publication de services de Messagerie et collaboration Microsoft : Exchange et SharePoint

‐ Sécurisation avec Denyall

‐ Discussion ouverte

Web Application Firewall : une nouvelle génération indispensable ?

Page 6: Web Application Firewall : une nouvelle génération indispensable ?

Kyos SARL

Le contexte

Application Flexibilité Sécurité

Web Application Firewall : une nouvelle génération indispensable ?

«Une application ou un applicatifest, dans le domaine informatique, un programme (ou un ensemble logiciel) directement utilisé par l'utilisateur pour réaliser une tâche, ou un ensemble de tâches élémentaires d'un même domaine ou formant un tout. Typiquement, un éditeur de texte, un navigateur web, un lecteur multimédia, un jeu vidéo, sont des applications. Les applications s'exécutent en utilisant les services du système d'exploitation pour utiliser les ressources matérielles.»

Outil de l’utilisateur Nouveaux modes de travail Nécessité, voir obligation

Une initiative locale qui concrétise une tendance profonde :

http://work‐smart‐initiative.ch

• Faits divers

• La Suisse coffre fort numérique

629.06.2016

Page 7: Web Application Firewall : une nouvelle génération indispensable ?

Expert sécurité, réseau et services informatiques

Kyos SARL

La solution de notre partenaire

Web Application Firewall : une nouvelle génération indispensable ?

Appl

icat

ions

, Fle

xibi

lité

et S

écur

ité

Page 8: Web Application Firewall : une nouvelle génération indispensable ?

Kyos SARL 8

CONSTRUIRE SA DÉFENSE DANS LE MONDE DIGITAL

• DES MURS POUR SÉCURISER LE PÉRIMÈTRE‒ Garder les « méchants » en dehors‒ Chercher des signes d’activités suspicieuses

au sein du trafic réseau ‒ S’appuyer sur des signatures d’attaques

• CRÉER DES APPS SANS VULNÉRABILITÉS‒ Former les développeurs, auditer le code‒ Tester les applications en mode runtime

• CRÉER DES ZONES DE CONFIANCE DANS UN MONDE OUVERT

‒ Autoriser les personnes à accéder et partager des données en toute sécurité

• PRÉVENIR LES COMPORTEMENTS ILLÉGAUX ET MALICIEUX

‒ Surveiller l’usage, comprendre les intentions‒ Évaluer le niveau de confiance‒ Répondre en conséquence

• LA SÉCURITÉ APPLICATIVE AU SEIN DE DEVOPS

‒ Scanneur et WAF dès développement et préprod

LE NOUVEAU MODÈLE SE CONCENTRE SUR LES UTILISATEURS

L’APPROCHE DU 20ÈME SIÈCLE A ÉCHOUÉ

Page 9: Web Application Firewall : une nouvelle génération indispensable ?

Kyos SARL 9

IMPACT DES ATTAQUES SUR LA COUCHE APPLICATIVE

Fuite de données financière

Altération du processus commercial

Problématique

Mortel

Indexation de données

Défacement

Déni de service

Vols de données personnelles

Injection de logiciels malveillants

Clients compromis

Usurpation d’identité

Contrôle à distance

Destruction du système IT

Page 10: Web Application Firewall : une nouvelle génération indispensable ?

Kyos SARL 10

DENYALL EN QUELQUES MOTS…

Siège à Paris70 personnes

dont 30 en R&DCommerciaux à travers l’EMEA

Applicationsprotégées

Clients dans toutes

les industries

35%de CA à

l’international

Certification de Sécurité de 1er Niveau pour les WAFs

Co-fondateur de l’alliance pour la cybersécurité et la confiance numérique

Visionnaire dans le Magic Quadrant WAF 2015

ANNEES D’EXPERIENCE DANS LA SECURITÉ APPLICATIVE

DETECT

MANAGE

PROTECT

CONNECT

App Web & Web Services

THEY TRUST US

Page 11: Web Application Firewall : une nouvelle génération indispensable ?

Kyos SARL 11

FAITES CONFIANCE AUX EXPERTS

This graphic was published by Gartner, Inc. as part of a larger research document and should be evaluated in the context of the entire document. The Gartner document is available upon request from DenyAll. Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings. Gartner research publications consist of the opinions of Gartner's researchorganization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, includingany warranties of merchantability or fitness for a particular purpose.

• LEADER EN MATIÈRE D’INNOVATION• DenyAll reconnu comme Visionnaire• “Les organisations recherchant une forte

sécurité, devraient commencer par ajouter DenyAll à leur shortlists”

• UN MARCHÉ OUVERT ET EN PLEINECROISSANCE• 420M $ en 2014, +24% YOY• Beaucoup de généralistes,

peu d’experts en sécurité applicative comme DenyAll

Page 12: Web Application Firewall : une nouvelle génération indispensable ?

6/29/2016 12

SÉCURITÉ APPLICATIVE DE NOUVELLE GÉNÉRATION

Web Application FirewallsWeb Services Firewalls

Réseau & ApplicationScanners de vulnérabilités

Gestion des accès Web

Central ProvisioningMonitoring & Reporting

DETECT

MANAGE

PROTECT

CONNECT

• Identifie les atouts• Détecte les vulnérabilités• Réduit la surface d’attaque

• Les applications sont plus sures et plus rapide

• Protège contre les fuites de données et les attaques de dénis de service

• Répond aux comportements dangereux des utilisateurs

• Simplifie la sécurité pour les utilisateurs (SSO)

• Adapte l’authentification au contexte et au comportement des utilisateurs

• Peut être déployé n’importe ou • Mesure les progrès au fil du temps

Page 13: Web Application Firewall : une nouvelle génération indispensable ?

6/29/2016 13

• ROUTAGE• Routage facile du traffic depuis des URLs publiques vers les applications

internes• Forcer le traffic HTTPS avec un chiffrement choisi

• MONITORING• Usages, Utilisateurs connectés, etc• Visibilité sur le traffic, attaques, throughput, etc

• MASQUAGE DE DONNÉES• Masquer des informations sur l’infrastructure interne (IP, hostnames, etc)• Configurer une DMZ publique appropriée avant l’accès à vos données

• CENTRALISATION• Manager la sécurité d’un point central (politique homogène)• Déployer rapidement et facilement les patchs (open SSL par exemple)

POURQUOI UN WAF EN MODE REVERSE PROXY

Page 14: Web Application Firewall : une nouvelle génération indispensable ?

6/29/2016 14

• ACCELERATION• Terminaison SSL à la place du back end• Mettre les fichiers statique en chache• Compresser Le cache et la compression économisent en moyenne ~80% du traffic

sur les back-ends

• PROTECTION DDOS • Blocage des DDoS niveau 7• Blocage des tentatives de Brute Force

AUTRES AVANTAGES

Page 15: Web Application Firewall : une nouvelle génération indispensable ?

6/29/2016 15

• ANALYSER LE COMPORTEMENT UTILISATEUR• Prevenir un abu ou détournement de droits• Detecter les attaques automatisées ”bots” Le futur réside dans le profilage de l’utilisateur pour comprendre son

intention• MONITORER LE COMPORTEMENT DE L’UTILISATEUR POUR PRÉVENIR LES

ATTAQUES

• USER REPUTATION SCORING POUR PRENDRE DES DECISIONS PLUSINTELLIGENTES

• User tracking, reputation and scoring avec les réactions adéquates• AUTHENTIFICATION ADAPTATIVE: AJUSTER LA POLITIQUE DE SÉCURITÉ AU

CONTEXTE UTILISATEUR VOIR NOTRE WEBINAR “ANGEL OR DEVIL?”*

SÉCURITÉ APPLICTIVE : “USER-CENTRIC”

Page 16: Web Application Firewall : une nouvelle génération indispensable ?

Expert sécurité, réseau et services informatiques

Kyos SARL

Le film de la publication d’application

Web Application Firewall : une nouvelle génération indispensable ?

Appl

icat

ions

, Fle

xibi

lité

et S

écur

ité

Page 17: Web Application Firewall : une nouvelle génération indispensable ?

Kyos SARL

Notre scénario

Web Application Firewall : une nouvelle génération indispensable ?

1 projet de publication

1 sociétéspécialisé

dansl’Applicatif

1 expert sécurité

1 leader du WAF

1 portaild’information

sécurisés

1729.06.2016

Page 18: Web Application Firewall : une nouvelle génération indispensable ?

Kyos SARL

Nos acteurs

Web Application Firewall : une nouvelle génération indispensable ?

1 portailinformation

sécurisé

1829.06.2016

Page 19: Web Application Firewall : une nouvelle génération indispensable ?

Expert sécurité, réseau et services informatiques

Agenda

Publication de services de Messagerie et collaboration Microsoft :

Exchange et SharePointMathias Crochat

‐ Applications, Flexibilitéet Sécurité

‐ Publication de services de Messagerie et collaboration Microsoft : Exchange et SharePoint

‐ Sécurisation avec Denyall

‐ Discussion ouverte

Web Application Firewall : une nouvelle génération indispensable ?

Page 20: Web Application Firewall : une nouvelle génération indispensable ?

SHAREPOINT

Agenda Enjeux pour l’entreprise

Solution SharePoint

Architecture

Sécurité

Web Application Firewall : une nouvelle génération indispensable ? 2029.06.2016

Page 21: Web Application Firewall : une nouvelle génération indispensable ?

ENJEUX POUR L’ENTREPRISE

Faits Réponses Production massive d’information

Difficile de trouver rapidement l’information

Équipe de plus en plus géo-distantes

Grande appréciation des réseaux sociaux

Publication rapide d’information

Puissant algorithme de recherche et d’indexation

Haute granularité pour les autorisations (Application web, Collections de sites, sites,sous-sites)

Analyse et monitoring

Forte intégration avec les outils Office

Edition en ligne (Office WebApp Server)

Fonctions de réseau social d’entreprise

Web Application Firewall : une nouvelle génération indispensable ? 2129.06.2016

Page 22: Web Application Firewall : une nouvelle génération indispensable ?

SOLUTION SHAREPOINT

Outil de collaboration

Listes, Bibliothèque de documents, Tâches, Wikis, Forums

Prise en main très simple

Centralisation de l’information

Grande flexibilité organisationnelle

Versionning, checkin-checkout

Workflows

Fonctionnalités sociales

Web Application Firewall : une nouvelle génération indispensable ? 2229.06.2016

Page 23: Web Application Firewall : une nouvelle génération indispensable ?

ARCHITECTURE PHYSIQUE

Solution standard

2 Serveurs web

1 Serveur SQL

1 Serveur Office Web Apps

Intégration avec Active Directory

Web Application Firewall : une nouvelle génération indispensable ? 2329.06.2016

Page 24: Web Application Firewall : une nouvelle génération indispensable ?

Exemple

ARCHITECTURE LOGIQUE

Administration centrale Portail intranet

Administratif

Collaboratif

Team sites

Projet A Projet B Direction

Social

MySites

Web Application Firewall : une nouvelle génération indispensable ? 2429.06.2016

Page 25: Web Application Firewall : une nouvelle génération indispensable ?

ARCHITECTURE (SUITE)

Applications publiéesConsommation publique

Intranet institutionnelUtilisateurs ADContenu sensible

Fonctionnalités socialesSites/infos personnelles

Web Application Firewall : une nouvelle génération indispensable ? 2529.06.2016

Page 26: Web Application Firewall : une nouvelle génération indispensable ?

SÉCURITÉ

Problématiques

Publication vers l’extérieur

Abandon du support Microsoft TMG/UAG

Remplacé par WAP

Services EOL EOS Serveur

UAG 07.2014 04.2015 2008 R2

TMG 07.2014 04.2015 2008 R2

Roadmap Microsoft

Web Application Firewall : une nouvelle génération indispensable ? 2629.06.2016

Page 27: Web Application Firewall : une nouvelle génération indispensable ?

Expert sécurité, réseau et services informatiques

Agenda

Sécurisation avec Denyall‐ Applications, Flexibilité

et Sécurité

‐ Publication de services de Messagerie et collaboration Microsoft : Exchange et SharePoint

‐ Sécurisation avec Denyall

‐ Discussion ouverte

Web Application Firewall : une nouvelle génération indispensable ?

Page 28: Web Application Firewall : une nouvelle génération indispensable ?

Kyos SARL

Use cases

Configuration simplifiée User Reputation Single Sign‐On Modification de Contenu

Web Application Firewall : une nouvelle génération indispensable ?

UserBehaviorAnalysis

UserReputation

Scoring

Bon

Suspect

Danger

Autorisé

Ban IP

Login

Password

CRM

2829.06.2016

Page 29: Web Application Firewall : une nouvelle génération indispensable ?

Démonstration

Page 30: Web Application Firewall : une nouvelle génération indispensable ?

Kyos SARL

Conclusion

Web Application Firewall :une nouvelle génération indispensable ?

Web Application Firewall : une nouvelle génération indispensable ?

3029.06.2016

Page 31: Web Application Firewall : une nouvelle génération indispensable ?

Kyos SARL

Conclusion

Web Application Firewall :une nouvelle génération indispensable ?

Web Application Firewall : une nouvelle génération indispensable ?

3129.06.2016

Page 32: Web Application Firewall : une nouvelle génération indispensable ?

Kyos SARL

Conclusion

Besoins exponentiels de publication externe• Single‐Sign‐On pour garantir la facilité d’utilisation• Réécriture de code à la volée pour la compatibilité

Applications web de plus en plus complexes• Développement axé sur les fonctionnalités et pas forcément la sécurité• Détection comportementale des attaques

Etre réactif face aux attaques c’est arriver trop tard• Proactivité et automatisation nécessaires (IP reputation, User Reputation)

La confidentialité des données doit être respectée• Authentification à plusieurs facteurs• Chiffrement des services en clair

Web Application Firewall : une nouvelle génération indispensable ?

3229.06.2016

Page 33: Web Application Firewall : une nouvelle génération indispensable ?

Expert sécurité, réseau et services informatiques

Agenda

Discussion ouverte‐ Applications, Flexibilité

et Sécurité

‐ Publication de services de Messagerie et collaboration Microsoft : Exchange et SharePoint

‐ Sécurisation avec Denyall

‐ Discussion ouverte

Web Application Firewall : une nouvelle génération indispensable ?

Page 34: Web Application Firewall : une nouvelle génération indispensable ?
Page 35: Web Application Firewall : une nouvelle génération indispensable ?

Expert sécurité, réseau et services informatiques

Contact us

Kyos SARL

Chemin Frank‐Thomas, 321208 Genève

Tel. : +41 22 566 76 30Fax : +41 22 734 79 03

www.kyos.ch

[email protected]

Merci

Web Application Firewall : une nouvelle génération indispensable ?