Merci d'avoir envoyé votre demande ! Un membre de notre équipe vous contactera sous peu.
Merci d'avoir envoyé votre réservation ! Un membre de notre équipe vous contactera sous peu.
Plan du cours
Fondamentaux de Zero Trust
- Évolution de la sécurité du périmètre vers Zero Trust
- Principes fondamentaux de Zero Trust : ne jamais faire confiance, toujours vérifier, privilège minimal
- Cadre d'architecture Zero Trust NIST SP 800-207
- Zero Trust vs les modèles de sécurité réseau traditionnels
- Écosystème open source pour la mise en œuvre de Zero Trust
Composants de l'architecture Zero Trust
- L'identité comme nouveau périmètre
- Confiance des appareils et validation de la posture
- Segmentation réseau et micro-segmentation
- Protection des charges de travail des applications
- Classification et protection des données
- Points de contrôle des politiques et points de décision des politiques
Fondations de l'identité pour Zero Trust
- Fournisseurs d'identité : Keycloak, Authentik, Dex
- Intégration OAuth 2.0, OIDC et SAML
- Mise en œuvre de l'authentification multifactorielle
- Authentification basée sur le risque et authentification par paliers
- Gestion du cycle de vie de l'identité
- Vérification et justification de l'identité
Confiance des appareils et posture
- Enregistrement et attestation des appareils
- Vérification de la conformité des appareils avec des outils comme Kolide, OSQuery
- Intégration de détection et réponse aux extrémités
- Authentification des appareils basée sur les certificats
- Intégration MDM pour les données de posture
- Évaluation continue de la confiance des appareils
Zero Trust au niveau du réseau
- Concepts de périmètre défini par logiciel (SDP)
- Implémentations SDP open source
- Micro-segmentation avec OVN, Cilium, Calico
- Architecture d'accès Zero Trust au réseau (ZTNA)
- Remplacement du VPN par un accès Zero Trust
- Politique réseau en tant que code
Proxies conscients de l'identité et passerelles d'accès
- Pomerium : architecture de proxy conscient de l'identité
- vouch-proxy pour l'intégration nginx/Apache
- Déploiement et configuration d'OAuth2 Proxy
- Traefik avec authentification forward
- Kong Gateway avec plugins OIDC
- Configuration et application des politiques d'accès
Maillage de services pour Zero Trust
- Maillage de services comme tissu de confiance Zero Trust
- Configuration Zero Trust d'Istio
- Motifs de déploiement sécurisé Linkerd
- mTLS partout : authentification service-à-service
- SPIFFE/SPIRE pour l'identité des charges de travail
- Politiques d'autorisation dans le maillage de services
- Domaines de confiance du maillage de services multi-clusters
PKI et gestion des certificats
- Authentification basée sur les certificats dans Zero Trust
- Smallstep CA pour les identités de charges de travail
- Moteur PKI de HashiCorp Vault
- Rotation et automatisation du cycle de vie des certificats
- CA privée pour l'établissement de confiance interne
- Transparence et surveillance des certificats
Gestion des secrets
- HashiCorp Vault pour la gestion des secrets
- Sealed Secrets pour Kubernetes
- Opérateur External Secrets
- SOPS : Secrets OPerationS
- Secrets dynamiques et rotation automatique
- Motifs d'injection de secrets pour les applications
Politique en tant que code et autorisation
- Fondamentaux d'Open Policy Agent (OPA)
- Bases du langage de politique Rego
- OPA avec contrôle d'admission Kubernetes
- OPA avec Envoy pour l'autorisation des services
- OPA avec passerelles API
- Tests et validation des politiques
- Intégration d'Apache APISIX avec OPA
Sécurité des API dans Zero Trust
- Motifs de sécurité des passerelles API
- Kong open source avec plugins de sécurité
- Limitation du débit et protection contre le DDoS
- Authentification et autorisation des API
- Considérations de sécurité GraphQL
- Découverte des API et détection des API fantômes
Protection des données et DLP (Data Loss Prevention)
- Cadres de classification des données
- Outils DLP open source et intégration
- Chiffrement en transit et au repos
- Stratégies de tokenisation et de masquage
- Politiques de prévention de la perte de données
- Traitement souverain des données dans Zero Trust
Authentification et autorisation continues
- Gestion des sessions dans les environnements Zero Trust
- Mécanismes d'authentification continue
- Décisions d'accès conscientes du contexte
- Notation des risques et autorisation dynamique
- Déclencheurs d'authentification par paliers
- Application des politiques en temps réel
Surveillance et observabilité dans Zero Trust
- Collecte de télémétrie de sécurité
- Intégration SIEM avec des outils open source
- Analyse des comportements des utilisateurs et des entités (UEBA)
- Journalisation des audits et rapports de conformité
- Détection des anomalies avec l'apprentissage automatique
- Tableaux de bord de sécurité et alertes
Zero Trust pour les charges de travail cloud-native
- Sécurité des conteneurs dans le contexte Zero Trust
- Gestion des identités éphémères des charges de travail
- Contrôleurs d'admission pour l'application de Zero Trust
- Sécurité au moment de l'exécution avec Falco et Tetragon
- Politiques réseau pour la segmentation des conteneurs
- Motifs d'infrastructure immuable
Mise en œuvre de la feuille de route Zero Trust
- Évaluation de la maturité et analyse des écarts
- Approche de mise en œuvre par phases
- Conception et exécution du projet pilote
- Gestion du changement et adoption par les utilisateurs
- Mesure des indicateurs de succès de Zero Trust
- Défis et pièges à éviter
Déploiement en production et opérations
- Motifs de conception haute disponibilité
- Récupération après sinistre pour l'infrastructure Zero Trust
- Stratégies d'optimisation des performances
- Dépannage des problèmes d'authentification et d'autorisation
- Mise à jour et correctifs des composants Zero Trust
- Création de documentation et de manuels d'intervention
Avenir de Zero Trust et de l'open source
- Normes et protocoles émergents
- Considérations de Zero Trust résistant à la mécanique quantique
- IA/ML dans les décisions Zero Trust
- Architectures de confiance Zero Trust fédérées
- Ressources communautaires et développement continu
- Résumé et prochaines étapes
Pré requis
- Compréhension solide des concepts et principes de la sécurité réseau
- Expérience avec les systèmes de gestion de l'identité et des accès
- Connaissance des fondamentaux de l'infrastructure à clés publiques (PKI), des certificats et du chiffrement
- Familiarité avec les architectures de microservices et de conteneurs
- Expérience dans le déploiement et la gestion de logiciels open source
Audience
- Architectes et ingénieurs en sécurité
- Architectes d'infrastructure concevant des postures de sécurité modernes
- Ingénieurs DevSecOps implémentant des pipelines de sécurité
- Administrateurs réseau passant à des modèles Zero Trust
35 Heures
Nos clients témoignent (2)
J'ai découvert de nouvelles choses.
Cristian
Formation - OpenStack Security
Traduction automatique
communication, connaissances issues de l'expérience, résolution de problèmes,
Marcin Walewski - Intel Technology Poland Sp. z o.o.
Formation - OpenStack Bootcamp
Traduction automatique
