Merci d'avoir envoyé votre demande ! Un membre de notre équipe vous contactera sous peu.
Merci d'avoir envoyé votre réservation ! Un membre de notre équipe vous contactera sous peu.
Plan du cours
Fondamentaux de Zero Trust
- Évolution de la sécurité par périmètre vers Zero Trust
- Principes fondamentaux de Zero Trust : ne jamais faire confiance, toujours vérifier, privilège minimal
- Cadre d'Architecture Zero Trust NIST SP 800-207
- Zero Trust par rapport aux modèles traditionnels de sécurité réseau
- Écosystème open source pour la mise en œuvre de Zero Trust
Composants de l'Architecture Zero Trust
- L'identité comme nouveau périmètre
- Confiance des appareils et validation de la posture
- Segmentation du réseau et micro-segmentation
- Protection des charges de travail applicatives
- Classification et protection des données
- Points d'application des politiques et points de décision des politiques
Fondations de l'identité pour Zero Trust
- Fournisseurs d'identité : Keycloak, Authentik, Dex
- Intégration OAuth 2.0, OIDC et SAML
- Mise en œuvre de l'authentification multifacteur
- Authentification basée sur le risque et authentification progressive
- Gestion du cycle de vie des identités
- Vérification et prévalidation de l'identité
Confiance des appareils et posture
- Enregistrement et attestation des appareils
- Vérification de la conformité des appareils avec des outils comme Kolide, OSQuery
- Intégration de détection et réponse aux endpoints (EDR)
- Authentification des appareils par certificat
- Intégration MDM pour les données de posture
- Évaluation continue de la confiance des appareils
Zero Trust au niveau réseau
- Concepts de périmètre défini par logiciel (SDP)
- Implémentations SDP open source
- Micro-segmentation avec OVN, Cilium, Calico
- Architecture d'accès réseau Zero Trust (ZTNA)
- Remplacement du VPN par un accès Zero Trust
- Politiques réseau en tant que code
Proxys conscients de l'identité et passerelles d'accès
- Pomerium : architecture de proxy conscient de l'identité
- vouch-proxy pour l'intégration avec nginx/Apache
- Déploiement et configuration d'OAuth2 Proxy
- Traefik avec authentification en avant (forward authentication)
- Kong Gateway avec plugins OIDC
- Configuration et application des politiques d'accès
Service Mesh pour Zero Trust
- Service mesh comme tissu de connectivité Zero Trust
- Configuration Zero Trust d'Istio
- Patterns de déploiement sécurisé Linkerd
- mTLS partout : authentification service-à-service
- SPIFFE/SPIRE pour l'identité des charges de travail
- Politiques d'autorisation dans le service mesh
- Domaines de confiance du service mesh multi-clusters
PKI et gestion des certificats
- Authentification par certificat dans Zero Trust
- Smallstep CA pour les identités des charges de travail
- Moteur PKI de HashiCorp Vault
- Rotation des certificats et automatisation du cycle de vie
- Autorité de certification privée pour l'établissement de la confiance interne
- Transparence des certificats et surveillance
Gestion des secrets
- HashiCorp Vault pour la gestion des secrets
- Sealed Secrets pour Kubernetes
- External Secrets Operator
- SOPS : Secrets OPerationS
- Secrets dynamiques et rotation automatique
- Patterns d'injection de secrets pour les applications
Politique en tant que code et autorisation
- Fondamentaux d'Open Policy Agent (OPA)
- Bases du langage de politique Rego
- OPA avec contrôle d'admission Kubernetes
- OPA avec Envoy pour l'autorisation de service
- OPA avec des passerelles API
- Tests et validation des politiques
- Intégration d'Apache APISIX avec OPA
Sécurité des API dans Zero Trust
- Patterns de sécurité des passerelles API
- Kong open source avec plugins de sécurité
- Limitation de débit et protection contre les DDoS
- Authentification et autorisation des API
- Considérations de sécurité GraphQL
- Découverte des API et détection des API ombres (shadow APIs)
Protection des données et DLP
- Cadres de classification des données
- Outils DLP open source et intégration
- Chiffrement en transit et au repos
- Stratégies de tokenisation et de masquage
- Politiques de prévention des pertes de données
- Gestion souveraine des données dans Zero Trust
Authentification et autorisation continues
- Gestion des sessions dans les environnements Zero Trust
- Mécanismes d'authentification continue
- Décisions d'accès contextuelles
- Notation des risques et autorisation dynamique
- Déclencheurs d'authentification progressive
- Application des politiques en temps réel
Surveillance et observabilité dans Zero Trust
- Collecte de télémétrie de sécurité
- Intégration SIEM avec des outils open source
- Analyse du comportement des utilisateurs et des entités (UEBA)
- Journalisation des audits et rapports de conformité
- Détection d'anomalies avec l'apprentissage automatique
- Tableaux de bord de sécurité et alertes
Zero Trust pour les charges de travail cloud-native
- Sécurité des conteneurs dans un contexte Zero Trust
- Gestion des identités de charges de travail éphémères
- Contrôleurs d'admission pour l'application de Zero Trust
- SécuritéRuntime avec Falco et Tetragon
- Politiques réseau pour la segmentation des conteneurs
- Patterns d'infrastructure immuable
Mise en œuvre de la feuille de route Zero Trust
- Évaluation de la maturité et analyse des écarts
- Approche de mise en œuvre par phases
- Conception et exécution de projets pilotes
- Gestion du changement et adoption par les utilisateurs
- Mesure des indicateurs de succès Zero Trust
- Défis et pièges à éviter
Déploiement en production et opérations
- Patterns de conception de haute disponibilité
- Plan de reprise d'activité pour l'infrastructure Zero Trust
- Stratégies d'optimisation des performances
- Dépannage des problèmes d'authentification et d'autorisation
- Mise à niveau et correction des composants Zero Trust
- Documentation et création de manuels de procédure
Avenir de Zero Trust et de l'open source
- Normes et protocoles émergents
- Considérations Zero Trust post-quantiques
- IA/ML dans les décisions Zero Trust
- Architectures Zero Trust fédérées
- Ressources communautaires et développement continu
- Résumé et prochaines étapes
Pré requis
- Solide compréhension des concepts et principes de la sécurité réseau
- Expérience avec les systèmes de gestion des identités et des accès (IAM)
- Connaissance des fondamentaux du PKI, des certificats et du chiffrement
- Familiarité avec les architectures de microservices et de conteneurs
- Expérience dans le déploiement et la gestion de logiciels open source
Public cible
- Architectes et ingénieurs en sécurité
- Architectes infrastructure conceptions de postures de sécurité modernes
- Ingénieurs DevSecOps mettant en œuvre des pipelines de sécurité
- Administrateurs réseau transitionnant vers des modèles Zero Trust
35 Heures
Nos clients témoignent (2)
J'ai découvert de nouvelles choses.
Cristian
Formation - OpenStack Security
Traduction automatique
communication, connaissances issues de l'expérience, résolution de problèmes,
Marcin Walewski - Intel Technology Poland Sp. z o.o.
Formation - OpenStack Bootcamp
Traduction automatique
