cours 03 configurations de sécurité

Question 1

Pourquoi utiliser le protocole SAML ?

Answer 1

Security Assertion Markup Language (SAML)

With increased collaboration and the move towards cloud-based environments, many applications have moved beyond the boundaries of a company’s domain. So authentication to a large number of applications is required from users.
If a user needs to access multiple applications where each one requires a different set of credentials, it becomes a problem for the end user. Federated Authentication is the solution to this problem.
Federated Identity started with the need to support application access that spans beyond a company or organization boundary.

ref:
https://developer.okta.com/docs/concepts/saml/#saml-2-0

Question 2

Qu’est-ce que le protocole SAML?

Answer 2

Security Assertion Markup Language est un standard ouvert qui, par le jeu de fonctions d’authentification et d’autorisation, permet de sécuriser la communication d’identités d’une entreprise à l’autre. Il sert principalement à établir une authentification unique (SSO) entre un fournisseur d’identités (IDP) et un prestataire de services (SP). Lorsqu’un IdP (un employeur, par exemple) et un fournisseur de services (une société SaaS, par exemple) implémentent le protocole SAML, ils peuvent facilement authentifier les utilisateurs accrédités chez l’IdP pour qu’ils puissent utiliser les services.

Question 3

Quel est le principe de fonctionnement de SAML?

Answer 3

Security Assertion Markup Language
Dans un premier temps, l’utilisateur tente d’accéder au prestataire de services via une URL ou un lien vers un portail. Le logiciel de fédération d’identité de l’IdP active et confirme ensuite l’identité de l’utilisateur. L’IdP transmet l’information au même logiciel utilisé chez le prestataire de services. Le message tokenisé contient toutes les informations relatives à l’utilisateur, notamment ses autorisations et les groupes auxquels il appartient. Le logiciel de fédération d’identité du prestataire de services vérifie alors que le message provient d’un IdP de confiance, puis crée une session utilisateur dans l’application.

Question 4

Nommer différents protocoles d’authentification

Answer 4

SAML, OpenId, LDAP, Kerberos,

Question 5

Différence entre SAML et LDAP

Answer 5

SAML gère les identités fédérées. Format XML interopérable. Permet transfert en ligne. LDAP plutôt on-prem, (basé sur les annuaires). Gère les auth/auto aux répertoires d’une machine. (Utilisé sur les serveurs windows).

Question 6

Différence entre LDAP et Kerberos

Answer 6

Kerberos and LDAP are both network protocols used for authentication and authorization.

Intended usage: Kerberos was designed for authentication, while LDAP is a directory management protocol that can also facilitate authentication.

Authentication process: Kerberos uses symmetric key cryptology to facilitate mutual authentication between a client and a resource; LDAP queries a database to compare a user’s input credentials with those stored in the directory.

Because Kerberos and LDAP differ in these key areas, they actually work fairly well together. For example, a system might use Kerberos to authenticate users to resources and use LDAP to store users’ data, which would inform their permission levels within their resources.

Question 7

Application loadBalancing vs Network loadBalancing?

Answer 7

LoadBalancer balance le trafic réseau ou les tâches applicatives.
Réseau -> se fait sur le réseau

App -> on peut répliquer l’app plusieurs fois, alors on dirige/distribue le trafic dans les différentes app répliquées. Dans une instance, il y a plusieurs containeurs, le trafic app est diriger vers le différent containeur.

Question 8

Qu’est-ce que le Constistent haching hache dans un context de network vs application?

Answer 8

hache l’adresse IP, dans un context de network balancing.

Dans un context d’application loadBalancing, alors consistent haching hache le processID.

Question 9

Pourquoi utiliser consistent haching

Answer 9

Distributive hashing prend plus d’espace. Quand bcp de données, hashMap a une limite.

L’aspect circulaire du constitent hashing bon pour plus grosse infra (bcp de données)

Question 10

Quelles sont les connexions VPN qui font le network to vpc? (sur AWS)

Answer 10

Service Aws-Direct-Connect.
Permet à des clients de se connecter direct sur des VPC à travers un tunnel ipSec.

Aws Direct-Connect il peut fonctionner en mode peer-to-peer ou en mode Gateway.
Gateway : les clients passent par une passerelle avant de connecter avec le vpn. La passerelle orchestre les connexions aux vpc. Elle peut mettre des connexions en attente.

Peer-to-peer:
moins bon, moins de gestion des accès aux vpc. Aucun client n’est mis en attente

Question 11

Qu’est-ce que Aws Certificate Manager

Answer 11

Certificat manager permet de gérer les requetes.
CA (central autority)
Certificat doit être présent sur un site pour être https

Question 12

Avantage du trafic mirroring

Answer 12

Analyse du trafic
Permet analyse passive et detection d’intrusion.

Question 13

Qu’utilise-t-on pour chiffrement (protection) en transit?
Quel service permet de gérer les certificats pour la protection en transit.

Answer 13

Vpn ipSec2.
La protection fondamentale : SSL/TLS
SSL manager**

Question 14

Que doit-on définir quand on créer un policy IAM?

Answer 14

IAM policy specifies the effect (allow, deny), actions (e.g ec2CreateVPC) and ressources (arn:aws:ec2*).

OPTIONNEL: Condition(e.g. filtrer uniquement sur les vpc productions)

Principal : utilisateur ou ressource sur qui la politique s’applique

Question 15

Quel protocole utilise les routeurs?

Answer 15

Protocole BGP
Path vector algorithm

Question 16

Qu’est-ce que le Vpc peering?

Answer 16

connecter directement deux vpc aver leur adresses privées, pour redondance, “no single point of failure, no network bandwidth bottleck”

Question 17

Qu’est-ce qu’un tier?

Answer 17

Réplication d’un containeur (plusieurs containeurs répliqués) au cas où un containeur fail. On peut répliquer des bds.
Pas forcément dans un même subnet,
Pas forcément dans une même instance,
Les tières doivent être connectés*

Question 18

Qu’est-ce que les standards SOC et hipaa?

Answer 18

Des standard d’audit

The Need for HIPAA Compliance
HHS points out that as health care providers and other entities dealing with PHI move to computerized operations, including computerized physician order entry (CPOE) systems, electronic health records (EHR), and radiology, pharmacy, and laboratory systems, HIPAA compliance is more important than ever. Similarly, health plans provide access to claims as well as care management and self-service applications. While all of these electronic methods provide increased efficiency and mobility, they also drastically increase the security risks facing healthcare data.
The Security Rule is in place to protect the privacy of individuals’ health information, while at the same time allowing covered entities to adopt new technologies to improve the quality and efficiency of patient care. The Security Rule, by design, is flexible enough to allow a covered entity to implement policies, procedures, and technologies that are suited to the entity’s size, organizational structure, and risks to patients’ and consumers’ e-PHI.

SOC (un peu comme ISO9001):
standard,
ensemble de processus, procédures bien documentés
assure que l’organisation est bien structurée

Question 19

Service Aws qui découvre vulnérabilités?

Answer 19

Aws Inspector

Question 20

What is SIEM? What are the main fonctions?

Answer 20

Security Information and Event Management

At its core, SIEM is a data aggregator, search, and reporting system. SIEM gathers immense amounts of data from your entire networked environment, consolidates and makes that data human accessible. With the data categorized and laid out at your fingertips, you can research data security breaches with as much detail as needed.

SIEM provides two primary capabilities to an Incident Response team:

Reporting and forensics about security incidents
Alerts based on analytics that match a certain rule set, indicating a security issue

Collecte: alertes remontées par les IDS et IPS, journeaux.
Normalisation: format lisible permettant des recherches multi-critères
Agrégation: regrouper et réduire le nombre d’évènements
Corrélation: application de règles logiques et statistiques
Reporting: création et gestion de tableaux de bord
Archivage: besoin de garantir l’intégrité des traces (valeur juridique et réglementaire)
Rejeu des évènements: mener des investigations post-incidents

Question 21

Quel est le role de audit manager:

Answer 21

évaluer les risques qui sont liés à l’infrastructure complète. Documente tous les comportements anormaux selon les normes de standards (ex ISO27001 et autres). Par ex: chiffrement non activé dans la BD. Fournit également des blueprints (templates) d’architecture pour rendre l’architecture conforme au standard.

Question 22

Qu’est-ce que la gestion des vulnérabilités et ses composantes?

Answer 22

Permet
- d’identifier les risques et vulnérabilités
et Rapporte les vulnérabilités liées au fournisseau ( si on intègre d’autres outils on peut détecter d’autres vulnérabilités).
- Classification des risques par niveau de priorité

Question 23

Qu’est-ce que le flow log et à quel niveau se situe l’information?

Answer 23

au niveau de la couche 4: session. On peut capturer le traffic rejeté ou accepté.

on veut seulement garder ip source, ip destination, port et protocole.

Question 24

What is the difference between AWS KMS and Certification Manager ?

Answer 24

Certification Manager manages and deploys Secure Sockets Layer/Transport Layer Security certificates while KMS manages the encryption keys used to encrypt your data

Question 25

Qu’est-ce que la Threat Intelligence et ses composants?

Answer 25

Ex: ElasticSearch : prend l’info des agents et l’affiche et Guard Duty sur AWS

Ingestion: Ensemble d’agents récultent des infos

Veille de sécurité:
Analyse des informations recues par les différents agents

Collecte des signatures des attaques

SOAR (Security Orchestration, Automation, and Response) Ex: automatiquement fermer une instance qui a eu un ransomware pour éviter le mouvement latéral.

Incident response management: Permet d’identifier les phases avec des plans d’actions pour la gestion des incidents. Systèmede gouvernance des incidents.

ref crowdstrike : “Threat intelligence is data that is collected, processed, and analyzed to understand a threat actor’s motives, targets, and attack behaviors. Threat intelligence enables us to make faster, more informed, data-backed security decisions and change their behavior from reactive to proactive in the fight against threat actors.

Threat intelligence is evidence-based knowledge (e.g., context, mechanisms, indicators, implications and action-oriented advice) about existing or emerging menaces or hazards to assets. – Gartner”

Question 26

Étapes du ransomware

Answer 26

-Initial access
-encryption
-lateral movement (infecter plusieurs machines du reseau)

Question 27

comment proteger un VPC

Answer 27

Firewall

Isolation : creer des reseaux différents pour les domaines (ex marketing) et les utilisateurs internes et externes. Utiliser les subnets pour isoler les reseaux. Avantage: s’il y a une vulnerabilité ca reste dans un sous-reseau.

Question 28

Difference entre DDos et distributed DDos

Answer 28

distributed: plusieurs sources provenant p-e de regions differentes envoient des requetes.

Question 29

Qu’est-ce que AWS WAF?

Answer 29

Premiere ligne de defense du VPC mais pas suffisamment specialise pour gerer DDos. On l’utilise normalement comme 1e ligne de defense avant Shield pour eviter des couts.

Question 30

Qu’est-ce que AWS Cloudfront

Answer 30

CDN dans plusieurs regions. Basé sur algo consistent hashing. Utile pour videos.

Question 31

Quelle attaque est mitigée par le CDN?

Answer 31

CDN permet de lutter contre DDos car quand il recoit des infos (videos) , il va cacher ces infos. Il y aura un systeme pour verifier le contenu à l’aide de centre de données proche de la ressource.

Question 32

Qu’est-ce que AWS security HUB?

Answer 32

permet de verifier activités malicieuses et les afficher selon un niveau de risque (high, low). Il faut investiguer ensuite selon les alertes.

Question 33

What is the difference between AWS GuardDuty and Inspector ?

Answer 33

Inspector monitors software vulnerabilities (en rapport aux standard sélectionné) while GuardDuty monitors threat activities on AWS resources

Question 34

Qu’est-ce que SOAR?

Answer 34

SOAR (Security Orchestration, Automation, and Response) refers to a collection of software solutions and tools that allow organizations to streamline security

Question 35

What is the Threat Intelligence Lifecycle?

Answer 35

1. Requirements
   The requirements stage is crucial to the threat intelligence lifecycle because it sets the roadmap for a specific threat intelligence operation. During this planning stage, the team will agree on the goals and methodology of their intelligence program based on the needs of the stakeholders involved. The team may set out to discover:

who the attackers are and their motivations
what is the attack surface
what specific actions should be taken to strengthen their defenses against a future attack
2. Collection
Once the requirements are defined, the team then sets out to collect the information required to satisfy those objectives. Depending on the goals, the team will usually seek out traffic logs, publicly available data sources, relevant forums, social media, and industry or subject matter experts.

3. Processing
   After the raw data has been collected, it will have to be processed into a format suitable for analysis. Most of the time, this entails organizing data points into spreadsheets, decrypting files, translating information from foreign sources, and evaluating the data for relevance and reliability.
4. Analysis
   Once the dataset has been processed, the team must then conduct a thorough analysis to find answers to the questions posed in the requirements phase. During the analysis phase, the team also works to decipher the dataset into action items and valuable recommendations for the stakeholders.
5. Dissemination
   The dissemination phase requires the threat intelligence team to translate their analysis into a digestible format and present the results to the stakeholders. How the analysis is presented depends on the audience. In most cases the recommendations should be presented concisely, without confusing technical jargon, either in a one-page report or a short slide deck.
6. Feedback
   The final stage of the threat intelligence lifecycle involves getting feedback on the provided report to determine whether adjustments need to be made for future threat intelligence operations. Stakeholders may have changes to their priorities, the cadence at which they wish to receive intelligence reports, or how data should be disseminated or presented.

Question 36

What is LDAP protocol

Answer 36

Lightweight directory access protocol (LDAP) is a protocol that makes it possible for applications to query user information rapidly.

Someone within your office wants to do two things: Send an email to a recent hire and print a copy of that conversation on a new printer. LDAP (lightweight directory access protocol) makes both of those steps possible.

Set it up properly, and that employee doesn’t need to talk with IT to complete the tasks.

What Is LDAP?
Companies store usernames, passwords, email addresses, printer connections, and other static data within directories. LDAP is an open, vendor-neutral application protocol for accessing and maintaining that data. LDAP can also tackle authentication, so users can sign on just once and access many different files on the server.

LDAP is a protocol, so it doesn’t specify how directory programs work. Instead, it’s a form of language that allows users to find the information they need very quickly.

Question 37

What is Kerberos

Answer 37

Kerberos is a computer network security protocol that authenticates service requests between two or more trusted hosts across an untrusted network, like the internet. It uses secret-key cryptography and a trusted third party for authenticating client-server applications and verifying users’ identities.

Initially developed by the Massachusetts Institute of Technology (MIT) for Project Athena in the late ’80s, Kerberos is now the default authorization technology used by Microsoft Windows. Kerberos implementations also exist for other operating systems such as Apple OS, FreeBSD, UNIX, and Linux.