Construire une architecture d’hébergement 3 tiers sécurisée

Magazine
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
|
Domaines


Résumé

La vie économique étant étroitement liée à Internet, les échanges de données qui y transitent chaque jour sont la cible potentielle d’attaque venant de virus ou de personnes mal intentionnées. Riche en informations, Internet est également riche en vulnérabilités. De plus, depuis plusieurs années, Internet fait l’objet d’une nouvelle délinquance toujours à l’affût de nouvelles failles sur les sites internet.Ainsi, à travers cet article, nous allons vous présenter un modèle d’architecture appelé « architecture 3 tiers ». Ce type d’architecture assure un certain cloisonnement entre les applications et apporte ainsi une meilleure sécurité, à condition de respecter certaines règles relatives à la configuration des services. Et ce sont les mises en œuvre de ces configurations que nous allons vous présenter ici.


La suite est réservée aux abonnés. Déjà abonné ? Se connecter

Sur le même sujet

De l'utilisation d'une bibliothèque à l'exécution d'un code arbitraire

Magazine
Marque
MISC
Numéro
110
|
Mois de parution
juillet 2020
|
Domaines
Résumé

Dans cet article, nous présentons une vulnérabilité de la version 3.1 de Commons Collections. Cette vulnérabilité, nommée « CommonsCollections1 », permet à un attaquant l’exécution d’un code arbitraire ou Remote Code Execution (RCE). Ce travail reprend certains concepts des deux articles publiés dans les versions précédentes de MISC en 2018 et 2019 [1,2].

Le principe de confiance minimale appliqué au Cloud Computing

Magazine
Marque
MISC
Numéro
110
|
Mois de parution
juillet 2020
|
Domaines
Résumé

Avoir la capacité d’identifier des utilisateurs au-delà du système d’information et d’exposer des applications sans la nécessité de passer par un lien réseau de confiance sont deux éléments nécessaires d’une approche Zero-Trust, mais ce ne sont pas forcément des éléments suffisants. Ces applications reposent sur d’autres composants d’infrastructure (comme les serveurs et systèmes de stockage virtualisés) et il est possible d’appliquer une approche de confiance minimale dans ces éléments afin de renforcer la sécurité de ces applications.L’utilisation du Cloud Computing est un bon exemple, car son modèle de responsabilités partagées nécessite une forme de confiance mutuelle entre le fournisseur et l’utilisateur, nous allons donc voir dans cet article comment appliquer un principe de confiance minimale des couches logicielles aux couches matérielles.

Entretien avec Philippe Biondi, figure historique de la scène de la sécurité informatique francophone

Magazine
Marque
MISC
HS n°
Numéro
21
|
Mois de parution
juillet 2020
|
Domaines
Résumé

Philippe Biondi est un expert bien connu du monde de la sécurité informatique, notamment pour la création de l’outil réseau Scapy ainsi que ses divers travaux, comme ceux autour d’Active Directory. Il a accepté de répondre à nos questions afin de revenir sur un parcours de presque 20 ans aujourd’hui dans le secteur de la sécurité des systèmes d’information.

L’authentification par mot de passe unique

Magazine
Marque
Linux Pratique
Numéro
120
|
Mois de parution
juillet 2020
|
Domaines
Résumé

Depuis quelques années, le vol de mot de passe est devenu une industrie. Pour lutter contre le piratage que cela induit, de grands acteurs d’Internet (Google, GitHub…) incitent à utiliser une double authentification : mot de passe classique plus un code temporaire, envoyé par SMS ou généré par une application. Voici comment faire la même chose sur vos machines.

Attaques par déni de service distribué (DDoS)

Magazine
Marque
MISC
HS n°
Numéro
21
|
Mois de parution
juillet 2020
|
Domaines
Résumé

Les attaques par déni de service ont été popularisées il y a déjà 20 ans, et sont aujourd’hui connues de (quasiment) tous. Malgré cela, il reste simple et efficace d’en réaliser une, parfois sans même à avoir à écrire la moindre ligne de code. Nous récapitulerons dans cet article les fondamentaux du déni de service, et quelques conseils pour y faire face.

Introduction à Zero Trust 

Magazine
Marque
MISC
Numéro
110
|
Mois de parution
juillet 2020
|
Domaines
Résumé

La sécurité informatique adore les modes. Le « Zero Trust » fait partie de ces concepts qui sont devenus populaires du jour au lendemain. Et comme le sexe chez les adolescents, « tout le monde en parle, personne ne sait réellement comment le faire, tout le monde pense que tous les autres le font, alors tout le monde prétend le faire* ».

Par le même auteur

Construire une architecture d’hébergement 3 tiers sécurisée

Magazine
Marque
MISC
HS n°
Numéro
4
|
Mois de parution
octobre 2011
|
Domaines
Résumé

La vie économique étant étroitement liée à Internet, les échanges de données qui y transitent chaque jour sont la cible potentielle d’attaque venant de virus ou de personnes mal intentionnées. Riche en informations, Internet est également riche en vulnérabilités. De plus, depuis plusieurs années, Internet fait l’objet d’une nouvelle délinquance toujours à l’affût de nouvelles failles sur les sites internet.Ainsi, à travers cet article, nous allons vous présenter un modèle d’architecture appelé « architecture 3 tiers ». Ce type d’architecture assure un certain cloisonnement entre les applications et apporte ainsi une meilleure sécurité, à condition de respecter certaines règles relatives à la configuration des services. Et ce sont les mises en œuvre de ces configurations que nous allons vous présenter ici.

ISO/IEC 27005 : La gestion des risques de sécurité

Magazine
Marque
MISC
Numéro
50
|
Mois de parution
juillet 2010
|
Domaines
Résumé

Comme nous l’avions vu dans l’article consacré la norme ISO 27001, l’identification et l’analyse des risques en sécurité de l’information sont deux étapes incontournables dans la mise en œuvre d’un système de management ISO 27001. Basée sur un processus itératif et non linéaire, la norme ISO 27005, publiée le 4 juin 2008, vient en appui aux concepts généraux énoncés dans la norme ISO 27001. Inspirée de méthodes existantes et plus particulièrement de la méthode EBIOS V2, la norme ISO 27005 contient les lignes directrices relatives au processus de gestion des risques en sécurité de l’information.

ISO/IEC 27001 : implémentation d’un SMSI

Magazine
Marque
MISC
Numéro
47
|
Mois de parution
janvier 2010
|
Domaines
Résumé

Les systèmes d’information sont au cœur de nos entreprises et sont souvent une ressource indispensable à nos activités. Les protéger et prévenir toute menace devient donc une priorité.Pour beaucoup, la sécurité est avant tout une affaire de techniciens. Mais, beaucoup oublient que la sécurité des systèmes d’information concerne également la Direction Générale de l’organisme. Comment serait-il possible de répondre aux besoins sécurité d’une entreprise sans une implication forte du management.L’objectif de cet article est donc de vous présenter la démarche à suivre lors de la mise en place d’un système de management de la sécurité de l’information, en vous présentant les étapes majeures devant être réalisées pour mener à bien un tel projet.