Sophos Security for IaaS Bonjour et merci de votre presence en ce seminaire autour de solutions dematirialisées Cloud Aujourd’hui, je vais vous expliquer les solutions Sophos offerte en cloud L'Infrastructure as a Service (iaas)qui est l'une des trois principales catégories de services de Cloud computing, avec Platform as a Service (PaaS) et Software as a Service (SaaS). Pour la petite histoire : les premiers services de cloud computing sont apparus et se sont concentrés assez naturellement sur les opportunités les plus faciles à saisir. Leur terrain de jeu était centré sur des applications essentielles mais génériques, telles que la messagerie électronique, la productivité bureautique et le stockage, qui sont rapidement devenues les premières à être transférées dans le cloud. Une grande revolution est entrain de se passer et nous sommes tous des temoins pour raconter cela a la prochaine generation: Les prestataires de services de cloud computing avaient tendance à se concentrer sur des applications, rivalisant sur la disponibilité, le niveau de service, le prix, la localisation et de nombreux autres critères et fonctionnalités. Aujourd'hui, bien qu'ils soient toujours importants, ces services sont un minimum : pratiquement tous les prestataires de services de cloud computing les proposent sous une forme ou un autre, même s'il reste des différenciateurs clés entre acteurs. il s'agit bien de solutions dematirialisées offrant des capacities astronomique tout en offrant la notion d’ adaptabilite ; il n’y a rien d’étonnant à cela vu les avantages existants que cloud technologie apporte Yassine Abbad Andaloussi Presales Manager - Morocco 22 March, DIGICloud, Mazagan Hotel

Outline What is Cloud Computing? What Type of Security Do You Need? What Products does Sophos have? Durant cette présentation j essayerai de répondre sur ces trois questions majeurs : Qu'est-ce que le Cloud Computing? Quel type de sécurité avez-vous besoin en tant que client? Comment Sophos apporte une solution adapte au besoin des aujourd hui

What is Cloud Computing?

Busy Time In the beginning… Avant de parler de la genèse du «cloud computing», je voudrais faire une préface de toute cette présentation avec ce qui suit: 1. Le cloud public n'est rien d'autre qu'une autre option de déploiement, tout comme les centres de données sur site et les installations heberge ou virtuelle. 2. de plus en plus de clients examinent les avantages du cloud computing. 3. Vous pouvez absolument aider vos clients et faire de l'argent où les ambitions cloud sont concernés. Derrière le site Amazon.com il y a une vaste gamme de puissance de calcul. Et même il y a 12 ans avant AWS, de serveurs et d'autres composants informatiques coûtait tres chere , et il fallait une armée de professionnels de centre de données pour que tout fonctionne parfaitement. Mais Amazon avait un problème: ils avaient besoin d'avoir assez d'infrastructure pour gérer l'énorme charge de clients qu'ils voyaient en période de pointe comme Noël> mais une fois que ces clients sont partis, ils n'avaient besoin que d'une partie de leur vaste réseau. En Attendant la prochaine forte demande. L'expertise acquise au fil du temps par les équipes de centre de données d'Amazon a été canalisée en outils pour les clients. Ces outils sont appelés services Web et permettent à un client d'accéder facilement à l'infrastructure AWS où ils peuvent commencer à construire leurs propres réseaux et à lancer des machines virtuelles. Les clients peuvent également choisir la simplicité ou la complexité de ces réseaux. Par exemple, ils pourraient simplement héberger quelques serveurs virtuels sur AWS pour stocker des données ou tester des choses, ou bien ils pourraient construire des réseaux complexes couvrant les centres de données. Ils peuvent également utiliser des outils sophistiqués qui fournissent l'équilibrage de charge et l'automatisation, et ils sont seulement facturés pour les services qu'ils utilisent. Donc, si elles ont ce réseau simple avec seulement quelques machines, ils ne sont facturés pour cela, mais comme ils ajoutent plus de services et de composants au réseau, ils paient pour ceux. Il en va de même pour Azure, qui suivait de près l'AWS. De nombreuses organisations optent pour une configuration hybride, avec des ressources à la fois dans AWS / Azure et sur site. Par exemple Microsoft Active Directory où les clients veulent garder l'identité on site, tout en permettant également aux applications basées sur le cloud d'exploiter leur répertoire. Le cloud vous permet d’adapter le besoin . Il n'y a plus de deviner la capacité. Vous pouvez utiliser les modèles de gestion des ressources Azure pour augmenter et diminuer en fonction de la demande des utilisateurs pour les applications.

IaaS Market Market for IaaS has consolidated around two leading providers AWS Pioneered IaaS in 2006 Broadest range of services Is now the safe bet Azure Incorporates PaaS & IaaS Existing enterprise relationships Not feature rich but good enough Le positionnement au niveau de l IAAS est comme suit Pour AWS amazon web services Pionniers IaaS en 2016 La plus large gamme de services C'est maintenant le pari sûr Quant a Azure Intégration PaaS & IaaS (Platform as a Service, souvent appelé simplement PaaS; est une catégorie de services de Cloud computing qui fournit la plateforme et l'environnement informatique nécessaire aux développeurs pour mettre en place leurs différents services et applications sur Internet.) Relations d'entreprise existantes Pas assez riche, mais assez bonne

Why Use Cloud Computing? Cloud All-up Save money by paying only for what you use Easily scale up or down; no guessing capacity Focus on developing and running services instead of data centers Improve speed and agility AWS Born-in-the-cloud applications and services (e.g., AirBnB, Netflix, Uber) Long tail business Tinker and experiment Command-line driven Azure Hybrid approach allowing time to migrate to cloud Incremental and transitional business Big investment in developer tools IT pros Console / UI driven D'une manière générale, les organisations se tournent vers le cloud computing pour plusieurs raisons. Pour des raisons economique, le cloud computing peut être moins cher pour de nombreux clients par rapport à la construction et l'exploitation de leurs propres centres de données. Les services basés sur le cloud et les charges de travail peuvent également être conçus pour augmenter et réduire automatiquement les coûts en fonction des demandes d'utilisation. Cela équivaut souvent à des clients économiser de l'argent, parce qu'ils ne paient que pour les ressources qu'ils utilisent. En outre, ils n'ont plus besoin de budgétiser de gros investissements en capital d'infrastructure pour des choses comme le stockage où les clients ont traditionnellement acheté plus qu'ils n'en avaient besoin, avec l'espoir qu'ils auraient alors le stockage que leurs besoins augmentés au fil du temps. Lorsque les clients prennent ce type de considérations hors de la table, il leur permet de se concentrer sur la gestion de leurs services et de fournir une plus grande valeur pour leur entreprise et pour leurs clients. Enfin, parce que le provisionnement des ressources du cloud et le déploiement du code peuvent être effectués en une fraction du temps requis dans un environnement local, les organisations ont plus de rapidité et d'agilité pour répondre aux exigences des clients et aux réactions des concurrents. Nous voyons certaines différences dans les types de clients qui choisissent d'utiliser AWS et Microsoft. Cela s'explique en partie par la genèse des services respectifs, ainsi que par les bases de clients existantes. AWS est née dans le secteur du cloud et a toujours attiré des entreprises technologiques et des start-ups qui utilisent des applications et des services nés dans le cloud. Pensez AirBnB, Netflix et Uber. Il est facile de démarrer, de sorte que le temps de mise sur le marché est réduit et de grands investissements en capital dans l'infrastructure n'étaient pas nécessaires. Les utilisateurs ont tendance à être des développeurs qui sont plus axés sur la ligne de commande. Ils commencent à exécuter des expériences et leurs succès, les applications basées sur le Web croître à mesure que les utilisateurs augmentent. Parce que le coût initial et les efforts peuvent être plus faibles, ils voient également une entreprise en bonne santé longue queue de petits magasins qui veulent juste un serveur web ou une base de données. Microsoft Azure vient d'un endroit différent. Les clients de Microsoft investissent beaucoup dans l'infrastructure et les logiciels locaux. Comme le cloud computing est devenu plus populaire, Microsoft a vu la nécessité de créer et d'offrir des services en cloud. Microsoft Office 365 est le service en cloud le plus populaire. La société a également fait un investissement important dans la reconstruction de leur communauté de développeurs pour faire appel à des développeurs de logiciels en tenant compte AWS. Les activités d'Azure sont beaucoup plus transitoires, car elles cherchent à conserver leur clientèle existante tout en attirant de nouveaux cas d'utilisation, tels que les services de logiciels sur le Web. Les utilisateurs ont tendance à être IT Pros qui cherchent à migrer les charges de travail traditionnelles vers le cloud, au lieu d'investir dans du matériel et des systèmes d'exploitation vieillissants. Ces utilisateurs ont tendance à être plus console / UI conduit.

Customer Journey AWS Run an Experiment (DevOps) Development and test workloads Web and Database Develop cloud-based applications Azure Evaluate Trial Services (IT Pro) Database, storage and web workloads Migrate line-of-business applications Development, test and cloud native applications Le trajet du client dans AWS et Azure diffèrent généralement en fonction des types d'utilisateurs discutés dans le profil du client. Pour AWS, les clients ont tendance à commencer par des expériences. Les utilisateurs veulent avoir une idée et ils veulent le tester rapidement et à moindre coût. À partir de là, les clients déplacent souvent les fonctions de développement et de développement dans le cloud, car elle leur permet d'utiliser rapidement des environnements qui nécessitaient un fonctionnement permanent. À partir de là, les clients commencent à exécuter des charges de travail Web et de base de données dans le cloud, car ils choisissent le all-in et d'exécuter leurs applications Web dans le cloud. Pour Azure, les clients ont tendance à évaluer les services d'essai, car ils envisagent la migration ds cloud. Ces essais sont de nature plus exploratoire et aident l'organisation à comprendre les implications de la gestion de ses charges de travail existantes sur place dans un environnement en cloud. Comme AWS, la base de données, le stockage et les charges de travail sur le Web sont les premiers à migrer ou à naître dans le nuage. Une fois qu'une organisation se sent à l'aise avec la sécurité, la fiabilité et les performances d'Azure, elle commence à migrer des applications métiers. Dans le même temps, ou aussi après, ces clients vont investir dans le développement d'applications natives du cloud sur Azure.

Adoption Fueled by Market Dynamics SaaS goes Mainstream Mobile First SaaS Data in Motion, Sovereignty, Safe Harbor is real, but attitudes are changing La tendance se confirme pour le SaaS Le Mobile comme exemple de deploiement SaaS Les données en mouvement, la souveraineté, bref, les attitudes changen

What Security Do you Need?

Shared Responsibility Model Customer is expected to add protection layer Host Security WAF IPS VPN NGFW Outbound Proxy Customer is responsible for security ‘in’ the Cloud Customer updates OS and Applications Application Updates Application Security AWS Security Group / Azure NSG Data Encryption AWS Access Control / Azure AD VPC NACL Customer configures AWS / Azure security features AWS / Azure Database Storage Virtual Servers Networking La relation de Sophos avec le cloud public a commencé avec la version d'accueil gratuite de Sophos UTM. Quelques membres de l'équipe de sécurité d'AWS ont visité le spectacle RSA à San Francisco il y a quelques années et sont venus par le stand pour dire bonjour et nous dire qu'ils utilisaient le produit à la maison et l'ont aimé. Ce sont les gars de sécurité sérieux et paranoïaques chargés de la sécurité de l'infrastructure AWS. Ils se sont renseignés sur la possibilité de nous faire créer Amazon Machine Image afin qu'ils puissent utiliser le produit sur leur nuage public pour certains de leurs propres environnements et tests. Quelques-uns de leurs clients recherchaient des outils de sécurité à utiliser sur AWS. While it’s true that the platforms itself are very, very secure, AWS/Azure use what’s called a Shared Security Model, which specifically states that customers need to take responsibility in securing any applications and/or servers they host on or connect to in AWS. This means that additional security tools are suggested to do things like application level scanning, content filtering, IPS and VPN. So while most customers at that time weren’t really thinking about adding additional security to their AWS environments, the AWS team recognized the value of doing just that, and so did we. AWS & Azure take care of the security ‘of’ the Cloud AWS & Azure Regions AWS / Azure Global Infrastructure Express Route CDN POP

Why Customers Need More Security IaaS providers cover the physical layer and provide basic tools for other layers but don’t provide complete security Security Groups UTM Port or IP based filtering No traffic or application visibility Unable to prevent threats No zero-day or ATP protection Application control Outbound URL filtering IPS deep packet inspection WAF protection against SQLi or XSS Les fournisseurs IaaS couvrent la couche physique et fournissent des outils de base pour d'autres couches, mais ne fournissent pas de sécurité complète Grouop de securite Filtrage par port ou IP Aucune visibilité de la circulation ou des applications Impossible de prévenir les menaces Pas de protection zéro jour ou ATP UTM Contrôle d'application Filtrage d'URL sortant Inspection approfondie des paquets IPS Protection WAF contre SQLi ou XSS

What Products Does Sophos Have?

AWS Sophos UTM Server Protection Stand Alone: single virtual machine with support for High Availability (HA) Auto Scaling: multiple virtual machines that scale depending upon traffic Available from AWS Marketplace or CloudFormation Server Protection Windows and Linux agents with support for Auto Scaling Deployed from CloudFormation and managed from Sophos Central Sophos is an Advanced Security Technology Partner Sophos UTM Stand Alone: machine virtuelle unique avec prise en charge de haute disponibilité (HA) Mise à l'échelle automatique: plusieurs machines virtuelles qui varient en fonction du trafic Disponible chez AWS Marketplace ou CloudFormation Protection du serveur Agents Windows et Linux avec prise en charge de la mise à l'échelle automatique Déployé à partir de CloudFormation et géré depuis Sophos Central Sophos est un partenaire de technologie de sécurité avancée

Launches UTMs and associated services UTM: Stand Alone HA Internet gateway CloudFormation Launches UTMs and associated services S3 Stores license, config, logs & reports Auto Scaling Launches & maintains UTM Auto Scaling group Elastic IP Sophos UTM Sophos UTM Standby Auto Scaling Group Availability Zone #1 Availability Zone #2 Cloud Watch Monitors health & collects logs VPC Private Subnets Internal ELB EC2 Instances EC2 Instances

(Controller -> Workers) (Controller <- Workers) UTM: Auto Scaling Internet gateway CloudFormation Launches UTMs and associated services S3 Stores license, config, logs & reports Availability Zone #1 Availability Zone #2 Internal ELB Auto Scaling Launches & maintains UTM Auto Scaling group Admin (Controller -> Workers) Syslog (Controller <- Workers) UTM Controller UTM Worker UTM Worker SNS Alerts Workers to new config snapshot in S3 Auto Scaling Group Cloud Watch Monitors health & collects logs GRE Tunnel GRE Tunnel OGW Subnet Can be setup as Active/Active, or Active/Passive Internal ELB OGW Subnet Private Client Subnet Private Client Subnet

XG Firewall on Azure Consistent Experience Primary Use-cases Same easy user experience Familiar and consistent Primary Use-cases NGFW, WAF, IPS, VPN Easy deployment and simple licensing Deploy virtual machine in minutes from the Microsoft Azure Marketplace BYOL or Pay-as-you-go (hourly) licensing Expérience cohérente Une expérience utilisateur simple et conviviale? Cas d'utilisation primaire NGFW, WAF, IPS, VPN? Déploiement facile et licence simple Déployer la machine virtuelle en quelques minutes à partir du? Microsoft Azure Marketplace BYOL ou Pay-as-you-go (toutes les heures) licensin 16

XG Firewall – Solving today’s top problems Simpler to Manage We make managing advanced protection simple Instant Visibility Unprecedented insights into user and network activity Complete Protection More-in-one protection than any other firewall Top Performance Industry leading performance Suppression de la complexité et fourniture d'une sécurité intégrée Offre une sécurité complète quelle que soit la plate-forme Même niveau de visibilité et de contrôle que XG Firewall fournit on site Network Security Control Center: méthode facile mais puissante pour comprendre et contrôler la sécurité Identifie automatiquement les applications et les attaques Vous avertit des menaces possibles de l'ATP Met en évidence les utilisateurs risqués qui peuvent compromettre la sécurité dans votre environnement Azure Synchronized Security A revolution in advanced threat protection and response Central Management Comprehensive centralized management made simple

Sophos Central: Admin Dashboard User-Centric Unified Powerful Simple Fast

Sophos Central  AWS

Server Protection

Synchronized Security Platform and Strategy Sophos Central Admin Self Service Partner | Manage All Sophos Products | User Customizable Alerts | Management of Customer Installations In Cloud On Prem UTM/Next-Gen Firewall Endpoint/Next-Gen Endpoint Wireless Mobile Email Server Web Encryption Cloud Intelligence Sophos Labs Analytics | Analyze data across all of Sophos’ products to create simple, actionable insights and automatic resolutions | 24x7x365, multi-continent operation | URL Database | Malware Identities | File Look-up | Genotypes | Reputation | Behavioural Rules | APT Rules Apps | Anti-Spam | Data Control | SophosID | Patches | Vulnerabilities | Sandboxing | API Everywhere

Questions to Ask Are you using AWS or Azure for compute workloads? How are you protecting your applications in AWS? What are you doing to make sure your EC2 instances aren’t compromised? How are you locking down access to your resources in AWS? Are you using WorkSpaces in AWS? If so, how do you ensure your users aren’t visiting prohibited web sites or downloading malware? Do you need to prove compliance like PCI, HIPPA, or FedRamp? Utilisez-vous AWS ou Azure pour calculer les charges de travail? Comment protégez-vous vos applications dans AWS? Que faites-vous pour vous assurer que vos instances EC2 ne sont pas compromises? Comment bloquez-vous l'accès à vos ressources dans AWS? Utilisez-vous WorkSpaces dans AWS? Si oui, comment assurez-vous que vos utilisateurs ne visitent pas les sites Web interdits ou ne téléchargent pas de logiciels malveillants? Avez-vous besoin de prouver la conformité comme PCI, HIPPA ou FedRamp?