Réduire

Notes de lecture et autres

DevOps vs Site Reliability Engineering: Concepts, Practices, and Roles | by AltexSoft Inc | Feb, 2021 | Medium

6 mars 2021


For over a decade, two similar concepts — DevOps and Site Reliability Engineering (SRE) — have been coexisting in the world of software development. At first glance, they may look like competitors…
— À lire sur altexsoft.medium.com/devops-vs-site-reliability-engineering-concepts-practices-and-roles-8d38b3a92f34

Depuis plus d’une décennie, deux concepts similaires – DevOps et Site Reliability Engineering (SRE) – coexistent dans le monde du développement logiciel. À première vue, ils peuvent sembler concurrents. Mais ils sont en fait les pièces complémentaires d’un puzzle qui s’emboîtent bien.

A short comparison of OpenShift and Cloud Foundry

23 décembre 2020


A short comparison of OpenShift and Cloud Foundry
— À lire sur www.google.fr/amp/s/www.hcs-company.com/blog/containers/a-short-comparison-of-openshift-and-cloud-foundry?hs_amp=true

Red Hat OpenShift and Pivotal Cloud Foundry are two standard implementations of a Platform-as-a-Service. Even though there are quite a few similarities between the two, an objective comparison is hard to find. Now there might be sound reasoning behind that, but as these platforms are essentially open, such a comparison should be possible.


Architecture is the important stuff, whatever that happens to be

5 décembre 2020


Martin Fowler : Since the begining of agile methods, there’s always been a deep debate on what role (if any) software architecture should play on agile projects. Much of this depends on what you consider architecture should be.

Depuis le début des méthodes agiles, il y a toujours eu un débat sur le rôle (si nécessaire) que l’architecture logicielle devrait jouer sur les projets agiles. La reponse dépendra en grande partie de ce que vous considérez comme une architecture.

Architecture et sécurité, ZTA pas vraiment compris et surtout grosse perte de temps sur le périmétrique au detriment des applications.

Pourquoi la confiance accordée à la sécurité périmétrique est-elle insuffisante ?

Avec l’adoption du cloud, le travail à distance, le BYOD et la Covid-19 il exite de moins en moins de scénarios dans lesquels la sécurisation via un périmètre de sécurité réseau (par exemple, un firewall ou une liaison VPN) suffit à établir qu’une demande d’accès provient d’une adresse IP « sûre. »

Cette technique, nommée ‘backhauling’ (réacheminement ou Québec réseau d’amenée), renforce le mythe selon lequel la sécurité basée sur la défense périmètrique est efficace. Or, les nombreuses manières utilisées pour s’introduire de facon malvaillante dans des réseaux d’entreprise sont connues, en particulier le déplacement transversal qui consiste à se déplacer depuis le périmétre compromis pour voler des données ou les corrompre.

Accorder une confiance à un utilisateur qui a pu, d’une manière ou d’une autre, obtenir un accès au réseau affaiblit la posture de sécurité d’une organisation, et cela de quatre manières :

–  Non prise en compte des vols d’identifiants
Le Data breaches Investigations Report 2020 de Verizon a révélé que les attaques par ingénierie sociale (phishing, compromission demessageries professionnelles, etc.) et les erreurs humaines sont à l’origine de la majorité des compromissions de données (67% ou plus), et que 27% impliquaient l’utilisation d’identifiants volés. Des identifiants valides suffisent souvent à accéder à un réseau d’entreprise.

– Non prise compte des terminaux compromis
L’Internet Security Threat Report 2019 de Symantec a révélé qu’« un appareil sur 36 utilisés dans les organisations était classé comme à haut risque. Ceci comprend des terminaux ‘rootés’ ou ‘jailbreakés’, ainsi que les appareils infectés par un malware. » Les utilisateurs légitimes de ces terminaux compromis peuvent exposer, par accident, des ressources sensibles via leur propre accès au réseau d’entreprise.

– Non prise compte du contexte de la demande d’accès
Les adresses IP aident à établir qu’un utilisateur demande un accès à partir d’un « réseau de confiance ». Mais compter sur ces seules données a pour résultat une protection insuffisante des ressources de l’entreprise, car sont ignorées d’autres sources de risques basées sur le type d’utilisateur (service, ancienneté, privilège), sur le contexte de la demande (moment de la journée, terminal, géolocalisation), ainsi que le niveau de risque de la ressource demandée (application financière vs calendrier des vacances).

– Cela créé une impression fallacieuse de sécurité 
Le mythe de la sécurité derrière le firewall est dangereux. Faute de prendre en compte l’hypothèse que le réseau a déjà fait l’objet d’une attaque, les habituelles bonnes pratiques de sécurité sont trop souvent remises à plus tard ou ignorées car « personne ne pourra accéder à cette ressource de l’extérieur, et elle se trouve derrière le firewall. »

Le modèle Zero Trust permet de contrôler les accès des utilisateurs en répondant à des questions spécifiques. Ces questions doivent vérifier la légitimité de l’accès au terminal et à la ressource. Ces questions peuvent être par exemple :

  • Au cours de l’authentification

Cet utilisateur est-il autorisé à accéder au terminal et à la ressource ? Est-il qui il prétend être ? Son terminal est-il suffisamment sécurisé pour la tâche demandée ?

  • Au cours de l’opération

Cette session est-elle toujours contrôlée par le bon utilisateur ? La demande a-t-elle été vérifiée ?

  • Au cours de l’accès aux données

L’utilisateur a-t-il donné son consentement pour l’accès ? Si oui, à qui ? Quelles actions a-t-il autorisées (lecture, modification, suppression, etc.) ?Ces données devraient-elles être chiffrées ?

Quels sont les avantages supplémentaires du modèle Zero Trust ?

  • Cette solution permet d’uniformiser les contrôles d’accès à toutes les ressources quelle que soit la localisation et le terminal utilisé par le demandeur afin d’améliorer la productivité des employés.
  • Elle est adaptable en s’appuyant indifféremment sur des data centers sur site, des clouds privés ou publics et s’adapte selon chaque catégorie de ressource. De ce fait, des économies peuvent être réalisées en optimisant les frais d’hébergement et de gestion par catégorie de ressource.
  • Le Zero Trust s’appuie sur la micro-segmentation pour assigner des règles de sécurité à un niveau plus précis.

Quelles sont les clés stratégiques du modèle Zero Trust

Afin de construire une architecture Zero Trust inclusive et favoriser un accès sécurisé à une application dans un environnement cloud ou sur site, plusieurs étapes clés sont nécessaires:

  • Cesser de protéger uniquement les accès au réseau de l’entreprise

Les clients peuvent accéder aux applications par exemple depuis des réseaux wifi publics. Par conséquent il n’est pas suffisant de sécuriser uniquement les accès au réseau d’entreprise. Les applications critiques doivent également être sécurisées pour tout type d’accès à distance.

  • Authentifier les utilisateurs

L’authentification forte est le pilier d’une architecture Zero Trust. Ce type de solution permet d’authentifier les utilisateurs via plusieurs facteurs d’authentification (mémoriel, corporel, matériel) afin de prouver son identité. Suivant l’activité de l’utilisateur, différents niveaux d’authentification sont nécessaires.

  • Authentifier et valider le terminal

Les utilisateurs légitimes peuvent être amenés à travailler sur des appareils compromis (postes de travail, téléphones, etc.). Il est par conséquent nécessaire de mettre en place une authentification du matériel (via l’émission d’un certificat par exemple).

  • Authentifier la demande

Même si un utilisateur légitime se trouve sur un appareil de confiance, l’application utilisée peut être compromise. Les méthodes de validation des applications doivent être mises en place telles que le contrôle de la version du système d’exploitation ou bien la validation du client OAuth (nécessitant de nouveaux standards de sécurité plus sophistiqués comme l’utilisation de jetons).

  • Autoriser l’opération

Une autorisation générale doit pouvoir juger si un utilisateur est autorisé ou non à effectuer une opération. Sans informations suffisantes, l’opération ne doit pas être acceptée. Le système peut utiliser certaines variables comme la biométrie comportementale, l’authentification continue, la localisation, l’heure, etc.


2 décembre 2020

Pour 2021 – 4 outils cyber

En septembre 2020, Gartner a publié la liste des « 9 tendances en matière de sécurité et de risque pour 2020 », l’accent est mis sur la complexité et la taille croissantes du paysage des menaces.

Le manque de visibilité des surfaces d’attaque externes a entraîné une augmentation spectaculaire des compromisions et des fuites de données personnelles en 2020, compromettant l’IIP (Personal Identifiable Information) et d’autres données sensibles de millions de personnes.Ces incidents découlent d’intrusions sophistiquées d’acteurs malveillants d’État-nation, de groupes de pirates APT (ATP signifie Advanced Persistent Threat), d’erreurs humaines et de d’erreur de configurations généralisées exposant sur Internet le stockage ou les bases dedonnées cloud avec des données confidentielles.

Les analystes du Gartner recommandent d’automatiser les tâches et les processus de sécurité laborieux, dans un contexte de pénurie persistante de compétences en cybersécurité et de s’attaquer rapidement aux risques émergents liés à la sécurité des Clouds et des conteneurs. Gartner recommande d’être très vigilant aux exigences en matière de protection de la vie privée et de réglementation afin d’éviter des amendes sévères et d’autres sanctions.

La mise en œuvre d’un modèle « Zéro Trust » (confiance zéro) au sein de tout type d’organisation, quelle que soit sa taille est le conseil avisé pour 2021. Alors que la pandémie a un impact dévastateur sur de nombreuses organisations et entreprises, la plupart d’entres ont tenté ou déplacé chaotiquement leurs processus d’affaires vers l’espace numérique moins affecté.

Houx l'hiver à Paris
Paris à automne.

Toutefois, les budgets consacrés à la cybersécurité ont été malmenés compte tenu de l’effet collatéral du ralentissement économique global. La diminution des budgets a sans surprise exacerbé la transformation numérique en mode stress au mépris flagrant des composants de sécurité et de confidentialité qu’implique cette sur exposition. Les dépenses de cybersécurité vont probablement rebondir voire augmenter à nouveau en 2021, pour soulager les DSI blasés et à leurs équipes de sécurité informatique à bout. En attendant, voici quelques outils de sécurité vous pouvez vous familiariser qui, il me semble, pourraient faire une différence à tout les programmes de cybersécurité et leur planification budgétaire 2021.

Fin novembre 2020, la société de sécurité ImmuniWeb a annoncé une mise à jour majeure de son édition communautaire libre. La solution fournit 4 tests de sécurité gratuits qui couvrent les priorités en matière de sécurité et de confidentialité mentionnées par Gartner et offrent également de solides capacités pour surveiller les incidents de sécurité et les cybermenaces externes ciblant votre entreprise.

ImmuniWeb fait parti des fournisseurs de cybersécurité les plus innovants de la Conférence RSA 2020. Depuis lors, les progrès sont impressionnants dans de nombreuses directions et domaines de sécurité de l’information. Voici un tour d’horizon d’ImmuniWeb Community Edition et vous pouvez l’essayer maintenant sans hésiter.

Test de sécurité et de conformité du site Web

Pour certains une analyse de surface, en staging exposé, ce test de sécurité du site web peut précéder un scanner de vulnérabilité web commercial. Le test gratuit est non intrusif et sans danger pour la production – vous ne planterez pas accidentellement votre ancien serveur Web ou votre application Web à cause d’un débordement ou de l’exploitation d’un Bufferflow ou d’un RCE (n an RCE attack, hackers intentionally exploit a remote code execution vulnerability to run malware. RCE can have disastrous ramifications for an MSP’s network—by prompting the targeted device to perform code execution, a hacker can run their own programming in its place.).

ImmuniWeb et son module « Software Composition Analysis (SCA) » dispose d’une énorme base de données de logiciels Web diversifiés, allant de WordPress open-source et Drupal à des produits web propriétaires et commerciaux par Microsoft et Oracle. Le module SCA comprendrait plus de 300 framework CMS et Web, 160 000 plugins et extensions, et 8 900 bibliothèques JavaScript et sa base de données intégrée sur les vulnérabilités couvre plus de 12 000 vulnérabilités CVE :

 ImmuniWeb que son  module "Software Composition Analysis (SCA)"  dispose d’une énorme base de données de logiciels Web diversifiés, allant de WordPress open-source et Drupal à des produits web propriétaires et commerciaux par Microsoft et Oracle.

En plus des vulnérabilités Web et des mises à jour logicielles manquantes, le test gratuit vérifie si la configuration du site web est conforme aux exigences spécifiques de GDPR et PCI DSS :

En plus des vulnérabilités Web et des mises à jour logicielles manquantes, le test gratuit vérifie si la configuration du site web est conforme aux exigences spécifiques de GDPR et PCI DSS
In one test, you simultaneously get an inclusive picture on how to harden your website security, improve web server resilience, and enhance applicable privacy and compliance requirements.

Test d’exposition au Dark Web et de détection de phishing

Il semble être un des seul outil gratuit pour les analystes de menaces et les blue team qui cherchent à accroître leur connaissance des incidents de sécurité en cours, y compris les discussions dark web et les offres de vente de données volées impliquant leur organisation ou vos principaux fournisseurs. – Les équipes qui imitent des attaquants (hackers) en utilisant leurs techniques (Red Team) et les équipes qui utilisent leurs compétences pour s’en défendre (Blue Team) –

Pour des raisons juridiques et de confidentialité, le test gratuit ne divulguera pas tous les détails des incidents, tels que les mots de passe volés ou des copies complètes des bases de données compromises. Mais cette vue d’ensemble est suffisamment détaillée et mesurable est facilement disponible pour améliorer le processus décisionnel avant d’investir dans des solutions de surveillance Dark Web :

Exposition AWS au dark Web. Il semble être un des seul outil gratuit pour les analystes de menaces et les blue team qui cherchent à accroître leur connaissance des incidents de sécurité en cours, y compris les discussions dark web et les offres de vente de données volées impliquant leur organisation ou vos principaux fournisseurs. - Les équipes qui imitent des attaquants (hackers) en utilisant leurs techniques (Red Team) et les équipes qui utilisent leurs compétences pour s'en défendre (Blue Team)

Test de sécurité et de conformité SSL

Contrairement à de nombreux services concurrent, ce test de sécurité SSL gratuit permet de tester non seulement l’omniprésent HTTPS, mais toute implémentation du cryptage TLS, y compris les serveurs de messagerie et SSL VPN:

Contrairement à de nombreux services concurrent, ce test de sécurité SSL gratuit permet de tester non seulement l’omniprésent HTTPS, mais toute implémentation du cryptage TLS, y compris les serveurs de messagerie et SSL VPN

Pour les serveurs de messagerie, le test vérifie également les SPF, DMARC et DKIM correctement configurés qui sont de facto les meilleures pratiques les plus courantes en matière de sécurité des e-mails aujourd’hui et depuis longtemps, ne pas les implémenter est pénible.
En plus de cela, le test effectuera automatiquement une découverte automatique rapide des sous-tâches en temps opportun, rappelant à tout le monde que non seulement le principal « www » site web nécessite une attention. Le test passe méticuleusement par toutes les implémentations SSL/TLS actuellement connues ou les vulnérabilités cryptographiques, y compris Heartbleed, ROBOT, BEAST, POODLE, et une douzaine d’autres défauts qui peuvent permettre l’interception ou le décryptage de vos données en transit.

Un autre avantage important est la cartographie de votre configuration TLS aux exigences spécifiques de PCI DSS, NIST, et HIPAA, de sorte que vous pouvez vérifier si votre force de cryptage répond correctement aux exigences réglementaires pour éviter les pénalités en cas de non-conformité:

Tous les tests peuvent être actualisés et, si vous créez un compte gratuit, téléchargés sous forme de document PDF afin que vous puissiez le partager en interne ou avec vos clients prouvant que vous vous souciez de leur sécurité de données.

HTTPS correctement durci et un site Web sécurisé sont un avantage concurrentiel pouir le commerce électronique, en particulier après les piratages durant le Black Friday et les vidages récurrent et de masse des portefeuilles des acheteurs en ligne.

Test de sécurité et de confidentialité des applications mobiles

Ce test de sécurité mobile gratuit permet désormais le téléchargement d’applications mobiles directement à partir de différents App Stores publics au-dessus de Google Play, et inclut même Cydia, de sorte que les utilisateurs jailbreakés des appareils iOS peuvent également tester leurs applications mobiles pour des raisons de confidentialité et de sécurité :

et inclut même Cydia, de sorte que les utilisateurs jailbreakés des appareils iOS peuvent également tester leurs applications mobiles pour des raisons de confidentialité et de sécurité

Le test mobile effectue à la fois la numérisation dynamique (DAST) et statique (SAST) des applications mobiles, mettant en lumière sur un large éventail de vulnérabilités et de faiblesses mobiles. L’analyse couvre les 10 principaux risques de l’OWASP Mobile et aussi certains problèmes de sécurité spécifiques mentionnés dans le projet OWASP Mobile Security Testing Guide (MSTG) :

L’analyse couvre les 10 principaux risques de l’OWASP Mobile et aussi certains problèmes de sécurité spécifiques mentionnés dans le projet OWASP Mobile Security Testing Guide (MSTG)

Une attention particulière est accordée à la confidentialité des applications mobiles :

Vous verrez une liste compléte des autorisations demandées par l’application testée et les hébergeurs et serveurs web externes où l’application mobile envoie vos données. Son module intégré d’analyse de composition logicielle (SCA) met en lumiére les bibliothèques tierces et natives utilisées dans l’application mobile.
En raison de sa nature non intrusive, le scanner mobile gratuit ne couvre pas les tests de points de terminaison mobiles tels que les API ou les services Web, qui doivent toujours être inclus dans votre programme de test de sécurité mobile.

Grande pervenche est une plante herbacée pérenne de la famille des Apocynacées. PLante astringente, dirétique, dépurative, tonique, elle est utilisée pour les trouble de la mémoire.
petitepervenche

En testant ImmuniWeb Community Edition, vous allez particulièrement apprécié la réactivité de leur support technique si vous creusez.

Vous pouvez simplement leur laisser un message directement en utilisant une interface Web, devenant une partie de la communauté qui exécute maintenant plus de 100.000 tests quotidiens. Les tests gratuits immuniWeb Community Edition peuvent être consultés par API ou via l’interface Web. Pour les organisations qui cherchent à exécuter un grand nombre de tests par jour ou pour les fournisseurs de cybersécurité qui cherchent à tirer parti des capacités techniques d’ImmuniWeb Community Edition à des fins commerciales, il existe également une API haut de gamme disponible à l’achat.


L’équipe immuniWeb fait des choses cool à suivre en 2021: Leur solution est très prometteuse.

N’hésiter pas à commenter cet article et le partager.