cours 03 configurations de sécurité Flashcards
Pourquoi utiliser le protocole SAML ?
Security Assertion Markup Language (SAML)
With increased collaboration and the move towards cloud-based environments, many applications have moved beyond the boundaries of a company’s domain. So authentication to a large number of applications is required from users.
If a user needs to access multiple applications where each one requires a different set of credentials, it becomes a problem for the end user. Federated Authentication is the solution to this problem.
Federated Identity started with the need to support application access that spans beyond a company or organization boundary.
ref:
https://developer.okta.com/docs/concepts/saml/#saml-2-0
Qu’est-ce que le protocole SAML?
Security Assertion Markup Language est un standard ouvert qui, par le jeu de fonctions d’authentification et d’autorisation, permet de sécuriser la communication d’identités d’une entreprise à l’autre. Il sert principalement à établir une authentification unique (SSO) entre un fournisseur d’identités (IDP) et un prestataire de services (SP). Lorsqu’un IdP (un employeur, par exemple) et un fournisseur de services (une société SaaS, par exemple) implémentent le protocole SAML, ils peuvent facilement authentifier les utilisateurs accrédités chez l’IdP pour qu’ils puissent utiliser les services.
Quel est le principe de fonctionnement de SAML?
Security Assertion Markup Language
Dans un premier temps, l’utilisateur tente d’accéder au prestataire de services via une URL ou un lien vers un portail. Le logiciel de fédération d’identité de l’IdP active et confirme ensuite l’identité de l’utilisateur. L’IdP transmet l’information au même logiciel utilisé chez le prestataire de services. Le message tokenisé contient toutes les informations relatives à l’utilisateur, notamment ses autorisations et les groupes auxquels il appartient. Le logiciel de fédération d’identité du prestataire de services vérifie alors que le message provient d’un IdP de confiance, puis crée une session utilisateur dans l’application.
Nommer différents protocoles d’authentification
SAML, OpenId, LDAP, Kerberos,
Différence entre SAML et LDAP
SAML gère les identités fédérées. Format XML interopérable. Permet transfert en ligne. LDAP plutôt on-prem, (basé sur les annuaires). Gère les auth/auto aux répertoires d’une machine. (Utilisé sur les serveurs windows).
Différence entre LDAP et Kerberos
Kerberos and LDAP are both network protocols used for authentication and authorization.
Intended usage: Kerberos was designed for authentication, while LDAP is a directory management protocol that can also facilitate authentication.
Authentication process: Kerberos uses symmetric key cryptology to facilitate mutual authentication between a client and a resource; LDAP queries a database to compare a user’s input credentials with those stored in the directory.
Because Kerberos and LDAP differ in these key areas, they actually work fairly well together. For example, a system might use Kerberos to authenticate users to resources and use LDAP to store users’ data, which would inform their permission levels within their resources.
Application loadBalancing vs Network loadBalancing?
LoadBalancer balance le trafic réseau ou les tâches applicatives.
Réseau -> se fait sur le réseau
App -> on peut répliquer l’app plusieurs fois, alors on dirige/distribue le trafic dans les différentes app répliquées. Dans une instance, il y a plusieurs containeurs, le trafic app est diriger vers le différent containeur.
Qu’est-ce que le Constistent haching hache dans un context de network vs application?
hache l’adresse IP, dans un context de network balancing.
Dans un context d’application loadBalancing, alors consistent haching hache le processID.
Pourquoi utiliser consistent haching
Distributive hashing prend plus d’espace. Quand bcp de données, hashMap a une limite.
L’aspect circulaire du constitent hashing bon pour plus grosse infra (bcp de données)
Quelles sont les connexions VPN qui font le network to vpc? (sur AWS)
Service Aws-Direct-Connect.
Permet à des clients de se connecter direct sur des VPC à travers un tunnel ipSec.
Aws Direct-Connect il peut fonctionner en mode peer-to-peer ou en mode Gateway.
Gateway : les clients passent par une passerelle avant de connecter avec le vpn. La passerelle orchestre les connexions aux vpc. Elle peut mettre des connexions en attente.
Peer-to-peer:
moins bon, moins de gestion des accès aux vpc. Aucun client n’est mis en attente
Qu’est-ce que Aws Certificate Manager
Certificat manager permet de gérer les requetes.
CA (central autority)
Certificat doit être présent sur un site pour être https
Avantage du trafic mirroring
Analyse du trafic
Permet analyse passive et detection d’intrusion.
Qu’utilise-t-on pour chiffrement (protection) en transit?
Quel service permet de gérer les certificats pour la protection en transit.
Vpn ipSec2.
La protection fondamentale : SSL/TLS
SSL manager**
Que doit-on définir quand on créer un policy IAM?
IAM policy specifies the effect (allow, deny), actions (e.g ec2CreateVPC) and ressources (arn:aws:ec2*).
OPTIONNEL: Condition(e.g. filtrer uniquement sur les vpc productions)
Principal : utilisateur ou ressource sur qui la politique s’applique
Quel protocole utilise les routeurs?
Protocole BGP
Path vector algorithm