La Sécurité des Données en Environnement DataCenter Thien-Trung Nguyen tnguyen@imperva.com 1
Agenda Présentation Imperva Protection des applications Web Protection des données sensibles Modes de déploiement Administration centralisée 2
Imperva: Un Leader dans la Sécurité des Data Centers 140 120 137,7 Notre Mission Protection des applications et données à haute valeur ajoutée dans les Data Centers physiques et virtuels 100 80 60 40 20 0 104.2 78.3 55.4 39.3 32.1 17.7 2007 2008 2009 2010 2011 2012 2013 Notre Profil Fondée en 2002 Siège Social à Redwood Shores, CA Clients dans 75+ pays Nos Clients 2,700+ directs; Plusieurs milliers en env. cloud 8 du top 10 des Fournisseurs Telecom Globaux 5 du top 10 des Banques Commerciales US 3 du top 5 des Firmes Globales de Services Financiers 4 du top 5 Constructeurs Matériels Informatiques 250+ Agences et Départements Gouvernementaux 337 du Global 2000 3
Evolution de la Sécurité d Entreprise Imperva fournit le troisième pilier de sécurité d entreprise 1er Pilier : Sécurité des Terminaux Bloque les menaces visant les équipements terminaux 2ème Pilier : Sécurité des Réseaux Bloque les menaces essayant d accéder au réseau 3ème Pilier : Sécurité des Data Centers Protège les données à forte valeur ajoutée et assure leur sécurité et leur disponibilité 4
Sécurité des Data Centers Protection Audit et contre des Attaques Reporting Externe Clients Employés, Partenaires Hackers Protection Attaque Tech. Protection Attaques Logiques Protection contre la fraude Audit des usages Mngt des droits Utilisateurs Contrôle d accès Interne Employés, Personnel malveillant ou compromis Scan de vulnérabilités Patching Virtuel Data Center Systèmes et Admins Inventaires & Classification Contrôle des comptes à privilèges Evaluation & Management des Risques 5
Imperva : Une Solution Globale Imperva Agent Databases Network Monitoring Users Web Servers & SharePoint Web Application Firewall Database Firewall Native Audit File Servers & NAS Imperva Agent File Firewall Internet Management Server (MX) 6
La preuve par l application: SharePoint Administrateurs Changements non autorisés Web-Application Firewall Activity Monitoring & User Rights Management DB Activity Monitoring & Access Control XSS Droits Excessifs Audit The Internet Injection SQL Enterprise Users Accès non autorisés Audit IIS Web Servers Application Servers MS SQL Databases 7
Partenariat Cisco : Interoperability Verification Testing (IVT) Solution Certifiée sur Plateforme UCS (Cisco Marketplace) SIP certifié 8
Protection des Applications Web Imperva Web Application Firewall 9
Solutions Web Application Firewall Intérêt de plus en plus important pour ces solutions Gartner a publié récemment un rapport sur l importance des Web Application Firewalls pour les entreprises 28 February 2014* Et annonce également la sortie cet été de leur premier Magic Quadrant dédié au marché WAF** * http://www.gartner.com/reprints/imperva?id=1-1rtlh9w&ct=140313&st=sb ** http://www.gartner.com/technology/research/methodologies/magicquadrants.jsp#w 10
Imperva Sécurité des Applications Web Bots Scrapers Web Attacks SecureSphere App DDoS Known Attackers Undesirable Countries Web Apps Comment Spammers Phishing Sites Vulnerabilities Web Fraud 11
Correlated Attack Validation Les Défenses Requises pour Protéger les Applications Web Dynamic Profiling Attack Signatures HTTP Protocol Validation Technical Attack Protection Cookie Protection IP Reputation Anti-Scraping Policies Bot Mitigation Policies IP Geolocation Web Fraud Detection Business Logic Attack Protection Fraud Prevention 12
Architecture de Sécurité Conçue pour la Précision Blocage des attaques avérées (signatures), envoie les requêtes suspectes au moteur d analyse SQL Injection Le moteur SQL Injection traite et bloque les attaques plus complexes /login.php?id=5 or 1=1 Hacker SQL Injection SecureSphere WAF Signature, Protocol Violations SQL Injection Engine with Profile Analysis Web Server Moteurs de correlation SQLi et XSS; faible taux de faux positifs 13
ThreatRadar en action: Optimisation du Traitement Opérationnel Anonymous Proxy Malicious/ TOR IP Phishing Site Signatures Policies Correlation 1. Veille globale sur les menaces numériques ThreatRadar Server 2. Distribution automatique de l information vers nos clients Vulnerability Recon Web Servers Zero Day Attack Phishing Incident 14 3. Détection rapide et blocage des sources malveillantes
Le WAF pour un développement sécurisé Cycle de Development Logiciel DESIGN & CODAGE Architecture et implémentation Correction des erreurs et traitement des vulnérabilités TESTS Tests de vulnérabilités «Patching» virtuel des vulnerabilities DEPLOIEMENT Blocage des attaques Supervision des alertes et notification des violations de sécurité Détection des erreurs et des fuites de données sensibles Imperva SecureSphere Processus manuel ou utilisation d outils tiers Imperva is an OWASP Member 15
La Protection Web en mode Cloud Protection DDoS Content Delivery Network Web Application Firewall Imperva Incapsula Load Balancing & Failover www.incapsula.com/demo 16
Protection des Données Sensibles Imperva File & Database Security 17
Imperva SecureSphere : Sécurité des données de l entreprise Audit des Usages Analyse & Reporting SecureSphere Contrôle d Accès DB/File Activity Monitoring DB/File Firewall SecureSphere for SharePoint Audit des Activités Privilégiées DB, File Servers, NAS, AD & SharePoint Mgmt de Droits Utilisateurs User Rights Management for DB/Files ADC Insights Propriété des Données 18
Exemples d Utilisation : Audit des données sensibles Cycle de gestion de la sécurité des données 19
#1: Audit des données sensibles Database User Une multinationale a besoin de : Auditer les DB/Serveurs de fichiers dans le cadre de régulation PCI & SOX SecureSphere FAM/DAM: Capturer les détails de l audit & générer des rapports Générer des alertes SIEM Logger les accès aux Fichiers/DB Envoyer des alertes d activités au Security Information Event Manager (SIEM) Audit Reports Audit Logs! SIEM 20
Audit des données sensibles - Audit détaillé Détails d Audit Quand? Qui? Où? Comment? Quoi? 21
Audit des données sensibles Fonctions clefs Rapports Outil puissant de création de rapports Analyser les menaces Accélérer la mise en place de la conformité PCI, HIPAA, SOX Custom Alertes Alertes en temps réel sur des comportements suspicieux Identifier rapidement les attaques Prévenir le vol de 22 données SIEM Email SYSLOG Dashboard
#2: Cycle de gestion de la sécurité des données Etape 1 - Quels sont les droits Focus sur les accès aux données Médicales Quels départements y ont accès? Pourquoi les Services Généraux y ont accès? Quels sont les utilisateurs? Quels types d accès ont-ils? Comment ont-ils obtenu cet accès? 23
#2: Cycle de gestion de la sécurité des données Etape 2 - Est-ce une situation normale? Focus sur les données financières Quels sont les principaux départements ayant accès à ces données Pourquoi les services généraux ont-ils accès à ces données? Qui accède à ces données? Quelles sont les actions effectuées et quand? Qui est propriétaire de ces données? 24
Cycle de gestion de la sécurité des données Généraliser l étape 2 pour détecter les comportements malveillants Flexibilité Tableaux de bord graphiques de management Rapports détaillés d audit et de supervision Totalement personnalisable Contenu, format, distribution, etc. 25
Bloquer ces comportements Bloquer et alerter quand des utilisateurs non autorisés tentent d accéder aux données Finance Voir les alertes générées puis les détails : qui, quoi, quand, où 26
Modes de Déploiement Une intégration sans impact sur les applications 27
Flexible, Mode de Déploiement Transparent Transparent Inline Bridge Haute Performance, Faible Latence Interfaces «Fail-open» SecureSphere non-inline Data Center Transparent & Reverse Proxy Réécriture d URL, Signature des cookies, Terminaison SSL Déploiement Non-inline INTERNET Essentiellement pour du «monitoring» Switch SecureSphere inline bridge ou proxy Possibilité d un déploiement non intrusif sans Non-Inline Reverse Deployment Proxy changement au niveau IP, DNS ou certificats SSL 28
Administration Centralisée 29
Administration Centralisée MX Management Server 30 Interface de configuration unifiée pour Web, Base de Données & Fichiers Système d alertes et de reporting intégré Système RBAC LDAP, Certificate Auth SecureSphere Operations Manager Distribution des politiques de sécurité vers les serveurs MX Supervision du bon fonctionnement des composants de l architecture : MX, GW, agents, MX Server MX Server SecureSphere Operations Manager
Tableaux de Bord Temps Réel Le tableau de bord configurable montre l utilisation des ressources systèmes les dernières alertes de sécurité et les évènements système 31
Visibilité complète des événements de sécurité SecureSphere bloque l attaque en identifiant une SQL Injection Actions de blocage et de notification 32
Visibilité complète des événements de sécurité SecureSphere fournit également plus de détails pour un diagnostique plus poussé Identification de la requête malveillante 33
SecureSphere Reporting Pre-Defined Compliance Reports Rapports prédéfinis Rapports personnalisables Rapports créés sur demande ou distribution programmée Format PDF ou CSV (Excel) format Intégration avec des outils tiers de reporting et SIEM 34
Plate-forme de sécurité complète et intégrée Attack Protection File Security Auditing Audit, and protection temps Reporting réel et gestion des droits pour les données non structurées External Customers Staff, Partners Hackers Tech. Attack Protection Logic Attack Protection Web Application Security Protection contre les Fraud Prevention attaques Web à grande échelle avec contrôle de réputation, management automatisé et déploiement transparent Vulnerability Scanning Virtual Patching Data Center Systems and Admins Usage Audit User Rights Management Access Control Discovery & Classification Privileged User Monitoring Internal Employees Malicious Insiders Compromised Insiders Database Security Audit des accès et protection temps réel contre les attaques de base de données Assessment & Risk Management 35
Q&A 36 Confidential