barbus & barbares finistjug

50 %
50 %
Information about barbus & barbares finistjug

Published on September 17, 2015

Author: francoisledroff

Source: slideshare.net

1. Barbus & Barbares

2. @rpelisse Romain

3. @francoisledroff François

4. UnAuditdesécurité? •!Audit

5. Non •!Audit ?

6. LaSécuritéc’esttoi SEC-UR-IT-Y

7. Quelles Menaces ? Threat Modeling

8. Identifierlesmenaces STRIDE •! SpoofingIdentity •! TamperingwithData •! Repudiation •! InformationDisclosure •! DenialofService •! ElevationofPrivilege

9. Prioritiserlesmenaces DREAD •! DamagePotential •! Reproducibility •! Exploitability •! AffectedUsers •! Discoverability

10. Notre Cas d’étude

11. jHipster jHipsterhttps://jhipster.github.io/

12. YojHipster

13. SpringSecurity •! VariousAuthsupport –! OAuth1&OAuth2 –! SAML –! Kerberos –! etc •! Role •! HSTS •! XFrameOption/XSS •! CRSFProtection •! SecurityAuditor

14. En Intranet

15. EnIntranet "Theonlysecurecomputerisonewithnopower, lockedinaroom,withnouser.” http://www.arnoldit.com/articles/10intranetSecAug2002.htm

16. Firewall Muraille? ligneMaginot?

17. ReverseProxy Legrand nettoyage

18. Nos Données

19. Nosdonnées? •! PII •! Internal •! Confidential •! Restricted Yaplusqu’àchiffrer

20. Chiffrerlefront https&SSLc’estbien…mais •! lesclefs –! doiventêtre •! protégées •! longues –! peuventêtre •! cassées •! subtilisées •! choisistesalgos –! HeardofPOODLE? •! lesclients –! deconfiance?

21. Chiffrerleback •!SécuriserMongo –!Authentication –!RoleBasedAccessControl •! https://github.com/jhipster/generator-jhipster/issues/733 –!Audit •!SSLwithMongo

22. Chiffrageaurepos Chiffrer •!auniveaudel’applicatif •!auniveaudustockage

23. Auth Authentification & Autorisation

24. VotremotdePasse? http://xkcd.com/936/

25. https://twitter.com/francoisledroff/status/643365403545219072

26. 1MotdePasse?

27. 156motsdepasse?

28. 1chien?

29. Dessecrets?

30. 100% 100%desattaquesen2014 impliquentdesmotsdepassedérobés http://www.idtheftcenter.org/ Notrebut: •! N’êtrequ’unfournisseurdeservice •! Identifierunfournissseurd’identité,deconfiance •! S’yinterfacer

31. 1IDP?

32. SAML •!SAML –!unstandard •!SSOdunavigateur •!http://www.ssocircle.com •!Justeunstandard

33. SAML

34. SAML&JHipster •!SupportdansSpringSecurity •!PasdeSupportdansJHipster –!#695 –!FrancoisàquandunPR?

35. Click?

36. http://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/

37. 2FAtwofactorauth.org

38. SAML2+OAuth2 •!SAMLv2 •!enterpriseSSO •!OAuthv2 •!Autoriserl’accèsàdesdonnées,àuneAPI •!Etablirunechainedeconfianceentreuneapp etunfournisseurdeservice

39. Autresoptions •!OAuth1.0 •!Kerberos •!Radius •!X509auth •!Combinationsoftheabove –!includingSAML&OAuth2.0

40. Intégration Continue & Gestion des Secrets

41. Ségrégationdessecrets? https://github.com/francoisledroff/devoxx2015/search?utf8=%E2%9C%93&q=secret https://www.google.ie/search?q=%22.git%22+intitle:%22Index+of%22&gws_rd=cr,ssl&ei=hTMRVfHtONbXapDogrgG

42. Ségrégationdessecrets? https://twitter.com/capotribu/status/550079317368381441 http://www.devfactor.net/2014/12/30/2375-amazon-mistake/

43. GestiondesSecrets https://twitter.com/jtimberman/status/568124542553423872

44. UX/Dev/QA/Ops dev QA prod stage Chef-server https RSAprivatekey Auth chef-client chef-client chef-client chef-client https RSAprivatekeyAuth •! Chefencrypteddatabags •! Encryptedfor •! adminusers •! whitelistednodes •! Managedbychef-vaultrubygem Chef-vault

45. Git UX/Dev/QA/Ops dev QA prod stage Chef-server https RSAprivatekey Auth chef-client chef-client chef-client chef-client https RSAprivatekeyAuth •! Ségrégationdelaproduction parorganisation •! SécuriserleChefServer •! Elasticité https://wiki.jenkins-ci.org/display/JENKINS/chef-identity+plugin Ségrégationdelaproduction Chef-vault? Nonprodorganization prodorganization

46. Jenkinssécurisé •!Sécurisetesjenkins –!SAMLestaussiuneoption •!Cloudbees •!Automatise –!Shortlive https://twitter.com/morlhon/status/554899543150850048

47. workstation Git github ArtifactRepository webjarrubygem ArtifactRepositoryArtifactRepository Chef-server nodes RSAkeyAuth ssh https githubgithub rubygemrubygemmaven redhatmaven RSAkeyAuth opscodeopscode npmnpm Gestionsécuriséedesdépendances

48. Et le Cloud ?

49. !"#$%&'(!"#$%&'(

50. Prêt à te faire hacker?

51. Allolespompiers?

52. Yalamaisonquibrûle Détecteurdefumée –!HSM –!IDS •! Portecoupe-feu –!SELinux –!SecurityManager

53. DeDevOpsàDevSecDevOpsDevOps

54. Ce qu’il fallait retenir

55. Cequ’ilfallaitretenir •!Lasecuritec'esttoi •!Penses-y •!T’esjamaisàl'abri –!tesdonnéesnonplus •!Gèretessecrets •!Passeàl’authenticationforte

56. Cequ’ilfallaitretenir •!l'expérienceutilisateurn'estpasun prétextepourunemauvaisesécurité •!n'oubliepasl'extensiondudomainedela lutte •!traitetesserveurscommedubétail •!soisprêt(e)àcombattrelefeu

57. @francoisledroff@ @rpelisse@ Desquestions?Vraiment? Pourtantc’étaitclairnon?

Add a comment

Related pages

Barbus et Barbares | FinistJUG

Barbus et Barbares. C’est un audit de sécurité partiel, partial mais participatif que François et Romain vous proposent dans cette session; l’audit ...
Read more

FinistJUG

Barbus et Barbares. C’est un audit de sécurité partiel, partial mais participatif que François et Romain vous proposent dans cette session; l’audit ...
Read more

francoisledroff (@francoisledroff) | Twitter

Troll quand tu nous tiens :) @FinistJUG soirée de rentrée avec des barbus et des barbares! View translation
Read more

Sébastien Lambour (@FinistSeb) | Twitter

@francoisledroff et @rpelisse font leur show à la soirée de rentrée @FinistJUG #barbusetbarbares pic.twitter ... Soirée Barbus & Barbares au @FinistJUG ...
Read more

Soirée FinistJUG | La Cantine Brestoise – An Daol Vras

La soirée de rentrée du FinistJUG se tiendra le mardi 15 septembre à la Cantine Brest. Au menu, des retrouvailles, ... Barbus et Barbares.
Read more

Billets pour Soirée de rentrée du FinistJUG - Mardi 15 ...

Eventbrite - FinistJUG présente Soirée de rentrée du FinistJUG - Mardi 15 septembre - Mardi 15 septembre 2015 à La Cantine Brest, locaux de la Faculté ...
Read more