Expert sécurité, réseau et services informatiques
Version :
Date :
Diffusion :
Web Application Firewall :
une nouvelle génération indispensable ?
Public
1.0
Web Application Firewall : une nouvelle génération indispensable ?
29.06.2016
Kyos SARL
Kyos en quelques mots
• Expert sécurité, réseau et services informatiques• Implanté à Genève depuis novembre 2002• Fusion par absorption avec la société Spacecom,
spécialiste réseau, en juin 2013• Entreprise à taille humaine : 31 personnes• Des valeurs communes :
‒ Sens du service‒ Ethique‒ Simplicité
• Société autofinancée et indépendante• Une signature : « embedded security »
Web Application Firewall : une nouvelle génération indispensable ?
229.06.2016
Web Application Firewall : une nouvelle génération indispensable ?
"Eh...what's up, doc?"
Kyos SARL
Quoi de neuf ?
Nouveau CRM Nouvelle équipe de consultant sécurité
Un outil en adéquation avec
notre sens du service
Asset Management
Plus de transparence
Plus de proximité avec
nos clients historiques en
Suisse Alémanique
Développement Géographique
de Kyos
Export de nos expertises sécurité et
réseau
Accompagner nos clients
sécurité
Nouveau bureauà St Gallen
Web Application Firewall : une nouvelle génération indispensable ?
429.06.2016
Expert sécurité, réseau et services informatiques
Agenda
Applications, Flexibilité et Sécurité‐ Applications, Flexibilité
et Sécurité
‐ Publication de services de Messagerie et collaboration Microsoft : Exchange et SharePoint
‐ Sécurisation avec Denyall
‐ Discussion ouverte
Web Application Firewall : une nouvelle génération indispensable ?
Kyos SARL
Le contexte
Application Flexibilité Sécurité
Web Application Firewall : une nouvelle génération indispensable ?
«Une application ou un applicatifest, dans le domaine informatique, un programme (ou un ensemble logiciel) directement utilisé par l'utilisateur pour réaliser une tâche, ou un ensemble de tâches élémentaires d'un même domaine ou formant un tout. Typiquement, un éditeur de texte, un navigateur web, un lecteur multimédia, un jeu vidéo, sont des applications. Les applications s'exécutent en utilisant les services du système d'exploitation pour utiliser les ressources matérielles.»
Outil de l’utilisateur Nouveaux modes de travail Nécessité, voir obligation
Une initiative locale qui concrétise une tendance profonde :
http://work‐smart‐initiative.ch
• Faits divers
• La Suisse coffre fort numérique
629.06.2016
Expert sécurité, réseau et services informatiques
Kyos SARL
La solution de notre partenaire
Web Application Firewall : une nouvelle génération indispensable ?
Appl
icat
ions
, Fle
xibi
lité
et S
écur
ité
Kyos SARL 8
CONSTRUIRE SA DÉFENSE DANS LE MONDE DIGITAL
• DES MURS POUR SÉCURISER LE PÉRIMÈTRE‒ Garder les « méchants » en dehors‒ Chercher des signes d’activités suspicieuses
au sein du trafic réseau ‒ S’appuyer sur des signatures d’attaques
• CRÉER DES APPS SANS VULNÉRABILITÉS‒ Former les développeurs, auditer le code‒ Tester les applications en mode runtime
• CRÉER DES ZONES DE CONFIANCE DANS UN MONDE OUVERT
‒ Autoriser les personnes à accéder et partager des données en toute sécurité
• PRÉVENIR LES COMPORTEMENTS ILLÉGAUX ET MALICIEUX
‒ Surveiller l’usage, comprendre les intentions‒ Évaluer le niveau de confiance‒ Répondre en conséquence
• LA SÉCURITÉ APPLICATIVE AU SEIN DE DEVOPS
‒ Scanneur et WAF dès développement et préprod
LE NOUVEAU MODÈLE SE CONCENTRE SUR LES UTILISATEURS
L’APPROCHE DU 20ÈME SIÈCLE A ÉCHOUÉ
Kyos SARL 9
IMPACT DES ATTAQUES SUR LA COUCHE APPLICATIVE
Fuite de données financière
Altération du processus commercial
Problématique
Mortel
Indexation de données
Défacement
Déni de service
Vols de données personnelles
Injection de logiciels malveillants
Clients compromis
Usurpation d’identité
Contrôle à distance
Destruction du système IT
Kyos SARL 10
DENYALL EN QUELQUES MOTS…
Siège à Paris70 personnes
dont 30 en R&DCommerciaux à travers l’EMEA
Applicationsprotégées
Clients dans toutes
les industries
35%de CA à
l’international
Certification de Sécurité de 1er Niveau pour les WAFs
Co-fondateur de l’alliance pour la cybersécurité et la confiance numérique
Visionnaire dans le Magic Quadrant WAF 2015
ANNEES D’EXPERIENCE DANS LA SECURITÉ APPLICATIVE
DETECT
MANAGE
PROTECT
CONNECT
App Web & Web Services
THEY TRUST US
Kyos SARL 11
FAITES CONFIANCE AUX EXPERTS
This graphic was published by Gartner, Inc. as part of a larger research document and should be evaluated in the context of the entire document. The Gartner document is available upon request from DenyAll. Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings. Gartner research publications consist of the opinions of Gartner's researchorganization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, includingany warranties of merchantability or fitness for a particular purpose.
• LEADER EN MATIÈRE D’INNOVATION• DenyAll reconnu comme Visionnaire• “Les organisations recherchant une forte
sécurité, devraient commencer par ajouter DenyAll à leur shortlists”
• UN MARCHÉ OUVERT ET EN PLEINECROISSANCE• 420M $ en 2014, +24% YOY• Beaucoup de généralistes,
peu d’experts en sécurité applicative comme DenyAll
6/29/2016 12
SÉCURITÉ APPLICATIVE DE NOUVELLE GÉNÉRATION
Web Application FirewallsWeb Services Firewalls
Réseau & ApplicationScanners de vulnérabilités
Gestion des accès Web
Central ProvisioningMonitoring & Reporting
DETECT
MANAGE
PROTECT
CONNECT
• Identifie les atouts• Détecte les vulnérabilités• Réduit la surface d’attaque
• Les applications sont plus sures et plus rapide
• Protège contre les fuites de données et les attaques de dénis de service
• Répond aux comportements dangereux des utilisateurs
• Simplifie la sécurité pour les utilisateurs (SSO)
• Adapte l’authentification au contexte et au comportement des utilisateurs
• Peut être déployé n’importe ou • Mesure les progrès au fil du temps
6/29/2016 13
• ROUTAGE• Routage facile du traffic depuis des URLs publiques vers les applications
internes• Forcer le traffic HTTPS avec un chiffrement choisi
• MONITORING• Usages, Utilisateurs connectés, etc• Visibilité sur le traffic, attaques, throughput, etc
• MASQUAGE DE DONNÉES• Masquer des informations sur l’infrastructure interne (IP, hostnames, etc)• Configurer une DMZ publique appropriée avant l’accès à vos données
• CENTRALISATION• Manager la sécurité d’un point central (politique homogène)• Déployer rapidement et facilement les patchs (open SSL par exemple)
POURQUOI UN WAF EN MODE REVERSE PROXY
6/29/2016 14
• ACCELERATION• Terminaison SSL à la place du back end• Mettre les fichiers statique en chache• Compresser Le cache et la compression économisent en moyenne ~80% du traffic
sur les back-ends
• PROTECTION DDOS • Blocage des DDoS niveau 7• Blocage des tentatives de Brute Force
AUTRES AVANTAGES
6/29/2016 15
• ANALYSER LE COMPORTEMENT UTILISATEUR• Prevenir un abu ou détournement de droits• Detecter les attaques automatisées ”bots” Le futur réside dans le profilage de l’utilisateur pour comprendre son
intention• MONITORER LE COMPORTEMENT DE L’UTILISATEUR POUR PRÉVENIR LES
ATTAQUES
• USER REPUTATION SCORING POUR PRENDRE DES DECISIONS PLUSINTELLIGENTES
• User tracking, reputation and scoring avec les réactions adéquates• AUTHENTIFICATION ADAPTATIVE: AJUSTER LA POLITIQUE DE SÉCURITÉ AU
CONTEXTE UTILISATEUR VOIR NOTRE WEBINAR “ANGEL OR DEVIL?”*
SÉCURITÉ APPLICTIVE : “USER-CENTRIC”
Expert sécurité, réseau et services informatiques
Kyos SARL
Le film de la publication d’application
Web Application Firewall : une nouvelle génération indispensable ?
Appl
icat
ions
, Fle
xibi
lité
et S
écur
ité
Kyos SARL
Notre scénario
Web Application Firewall : une nouvelle génération indispensable ?
1 projet de publication
1 sociétéspécialisé
dansl’Applicatif
1 expert sécurité
1 leader du WAF
1 portaild’information
sécurisés
1729.06.2016
Kyos SARL
Nos acteurs
Web Application Firewall : une nouvelle génération indispensable ?
1 portailinformation
sécurisé
1829.06.2016
Expert sécurité, réseau et services informatiques
Agenda
Publication de services de Messagerie et collaboration Microsoft :
Exchange et SharePointMathias Crochat
‐ Applications, Flexibilitéet Sécurité
‐ Publication de services de Messagerie et collaboration Microsoft : Exchange et SharePoint
‐ Sécurisation avec Denyall
‐ Discussion ouverte
Web Application Firewall : une nouvelle génération indispensable ?
SHAREPOINT
Agenda Enjeux pour l’entreprise
Solution SharePoint
Architecture
Sécurité
Web Application Firewall : une nouvelle génération indispensable ? 2029.06.2016
ENJEUX POUR L’ENTREPRISE
Faits Réponses Production massive d’information
Difficile de trouver rapidement l’information
Équipe de plus en plus géo-distantes
Grande appréciation des réseaux sociaux
Publication rapide d’information
Puissant algorithme de recherche et d’indexation
Haute granularité pour les autorisations (Application web, Collections de sites, sites,sous-sites)
Analyse et monitoring
Forte intégration avec les outils Office
Edition en ligne (Office WebApp Server)
Fonctions de réseau social d’entreprise
Web Application Firewall : une nouvelle génération indispensable ? 2129.06.2016
SOLUTION SHAREPOINT
Outil de collaboration
Listes, Bibliothèque de documents, Tâches, Wikis, Forums
Prise en main très simple
Centralisation de l’information
Grande flexibilité organisationnelle
Versionning, checkin-checkout
Workflows
Fonctionnalités sociales
Web Application Firewall : une nouvelle génération indispensable ? 2229.06.2016
ARCHITECTURE PHYSIQUE
Solution standard
2 Serveurs web
1 Serveur SQL
1 Serveur Office Web Apps
Intégration avec Active Directory
Web Application Firewall : une nouvelle génération indispensable ? 2329.06.2016
Exemple
ARCHITECTURE LOGIQUE
Administration centrale Portail intranet
Administratif
Collaboratif
Team sites
Projet A Projet B Direction
Social
MySites
Web Application Firewall : une nouvelle génération indispensable ? 2429.06.2016
ARCHITECTURE (SUITE)
Applications publiéesConsommation publique
Intranet institutionnelUtilisateurs ADContenu sensible
Fonctionnalités socialesSites/infos personnelles
Web Application Firewall : une nouvelle génération indispensable ? 2529.06.2016
SÉCURITÉ
Problématiques
Publication vers l’extérieur
Abandon du support Microsoft TMG/UAG
Remplacé par WAP
Services EOL EOS Serveur
UAG 07.2014 04.2015 2008 R2
TMG 07.2014 04.2015 2008 R2
Roadmap Microsoft
Web Application Firewall : une nouvelle génération indispensable ? 2629.06.2016
Expert sécurité, réseau et services informatiques
Agenda
Sécurisation avec Denyall‐ Applications, Flexibilité
et Sécurité
‐ Publication de services de Messagerie et collaboration Microsoft : Exchange et SharePoint
‐ Sécurisation avec Denyall
‐ Discussion ouverte
Web Application Firewall : une nouvelle génération indispensable ?
Kyos SARL
Use cases
Configuration simplifiée User Reputation Single Sign‐On Modification de Contenu
Web Application Firewall : une nouvelle génération indispensable ?
UserBehaviorAnalysis
UserReputation
Scoring
Bon
Suspect
Danger
Autorisé
Ban IP
Login
Password
CRM
2829.06.2016
Démonstration
Kyos SARL
Conclusion
Web Application Firewall :une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?
3029.06.2016
Kyos SARL
Conclusion
Web Application Firewall :une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?
3129.06.2016
Kyos SARL
Conclusion
Besoins exponentiels de publication externe• Single‐Sign‐On pour garantir la facilité d’utilisation• Réécriture de code à la volée pour la compatibilité
Applications web de plus en plus complexes• Développement axé sur les fonctionnalités et pas forcément la sécurité• Détection comportementale des attaques
Etre réactif face aux attaques c’est arriver trop tard• Proactivité et automatisation nécessaires (IP reputation, User Reputation)
La confidentialité des données doit être respectée• Authentification à plusieurs facteurs• Chiffrement des services en clair
Web Application Firewall : une nouvelle génération indispensable ?
3229.06.2016
Expert sécurité, réseau et services informatiques
Agenda
Discussion ouverte‐ Applications, Flexibilité
et Sécurité
‐ Publication de services de Messagerie et collaboration Microsoft : Exchange et SharePoint
‐ Sécurisation avec Denyall
‐ Discussion ouverte
Web Application Firewall : une nouvelle génération indispensable ?
Expert sécurité, réseau et services informatiques
Contact us
Kyos SARL
Chemin Frank‐Thomas, 321208 Genève
Tel. : +41 22 566 76 30Fax : +41 22 734 79 03
www.kyos.ch
Merci
Web Application Firewall : une nouvelle génération indispensable ?