Merci d'avoir envoyé votre demande ! Un membre de notre équipe vous contactera sous peu.
Merci d'avoir envoyé votre réservation ! Un membre de notre équipe vous contactera sous peu.
Plan du cours
Fondamentaux de Zero Trust
- Évolution de la sécurité périmétrique vers Zero Trust
- Principes fondamentaux de Zero Trust : ne jamais faire confiance, toujours vérifier, privilège minimum
- Cadre d'architecture Zero Trust NIST SP 800-207
- Zero Trust vs modèles de sécurité réseau traditionnels
- Écosystème open source pour la mise en œuvre de Zero Trust
Composants de l'architecture Zero Trust
- L'identité comme nouveau périmètre
- Confiance des dispositifs et validation de la posture
- Segmentation réseau et micro-segmentation
- Protection des charges de travail applicatives
- Classification et protection des données
- Points de mise en œuvre des politiques (PEP) et points de décision des politiques (PDP)
Fondation de l'identité pour Zero Trust
- Fournisseurs d'identité : Keycloak, Authentik, Dex
- Intégration OAuth 2.0, OIDC et SAML
- Mise en œuvre de l'authentification multifacteur (MFA)
- Authentification basée sur le risque et authentification ascendante (step-up auth)
- Gestion du cycle de vie de l'identité
- Vérification et prouvement de l'identité
Confiance des dispositifs et posture
- Enrôlement et attestation des dispositifs
- Vérification de la conformité des dispositifs avec des outils comme Kolide, OSQuery
- Intégration détection et réponse sur les terminaux (EDR)
- Authentification des dispositifs basée sur les certificats
- Intégration MDM pour les données de posture
- Évaluation continue de la confiance des dispositifs
Zero Trust au niveau réseau
- Concepts de périmètre défini par logiciel (SDP)
- Implémentations SDP open source
- Micro-segmentation avec OVN, Cilium, Calico
- Architecture d'accès réseau Zero Trust (ZTNA)
- Remplacement du VPN par un accès Zero Trust
- Politiques réseau en tant que code
Proxies conscients de l'identité et passerelles d'accès
- Pomerium : architecture de proxy conscient de l'identité
- vouch-proxy pour l'intégration nginx/Apache
- Déploiement et configuration de OAuth2 Proxy
- Traefik avec authentification en avant (forward authentication)
- Kong Gateway avec plugins OIDC
- Configuration et application des politiques d'accès
Maillage de services (Service Mesh) pour Zero Trust
- Le maillage de services comme tissu de Zero Trust
- Configuration Zero Trust Istio
- Schémas de déploiement sécurisé Linkerd
- mTLS partout : authentification service à service
- SPIFFE/SPIRE pour l'identité des charges de travail
- Politiques d'autorisation dans le maillage de services
- Domaines de confiance du maillage de services multi-clusters
PKI et gestion des certificats
- Authentification basée sur les certificats dans Zero Trust
- Smallstep CA pour les identités des charges de travail
- Moteur PKI de HashiCorp Vault
- Rotation des certificats et automatisation du cycle de vie
- PKI privée pour l'établissement de la confiance interne
- Transparence des certificats et surveillance
Gestion des secrets
- HashiCorp Vault pour la gestion des secrets
- Sealed Secrets pour Kubernetes
- External Secrets Operator
- SOPS : Secrets OPerationS
- Secrets dynamiques et rotation automatique
- Schémas d'injection de secrets pour les applications
Politiques en tant que code et autorisation
- Fondamentaux d'Open Policy Agent (OPA)
- Bases du langage de politique Rego
- OPA avec contrôle d'admission Kubernetes
- OPA avec Envoy pour l'autorisation des services
- OPA avec des passerelles API
- Tests et validation des politiques
- Intégration d'Apache APISIX avec OPA
Sécurité des API dans Zero Trust
- Schémas de sécurité des passerelles API
- Kong open source avec plugins de sécurité
- Limitation du débit et protection contre les DDoS
- Authentification et autorisation des API
- Considérations de sécurité GraphQL
- Découverte des API et détection des API fantômes (shadow API)
Protection des données et DLP (Data Loss Prevention)
- Cadres de classification des données
- Outils DLP open source et intégration
- Chiffrement en transit et au repos
- Stratégies de tokenisation et de masquage
- Politiques de prévention de la perte de données
- Traitement des données souveraines dans Zero Trust
Authentification et autorisation continues
- Gestion de session dans les environnements Zero Trust
- Mécanismes d'authentification continue
- Décisions d'accès conscientes du contexte
- Score de risque et autorisation dynamique
- Déclencheurs d'authentification ascendante (step-up)
- Application des politiques en temps réel
Surveillance et observabilité dans Zero Trust
- Collecte de télémétrie de sécurité
- Intégration SIEM avec des outils open source
- Analyse du comportement des utilisateurs et des entités (UEBA)
- Journalisation d'audit et rapports de conformité
- Détection d'anomalies avec l'apprentissage automatique
- Tableaux de bord de sécurité et alertes
Zero Trust pour les charges de travail cloud-natives
- Sécurité des conteneurs dans le contexte Zero Trust
- Gestion des identités de travail éphémères
- Contrôleurs d'admission pour l'application de Zero Trust
- Sécurité au moment de l'exécution avec Falco et Tetragon
- Politiques réseau pour la segmentation des conteneurs
- Schémas d'infrastructure immuable
Mise en œuvre de la feuille de route Zero Trust
- Évaluation de la maturité et analyse des écarts
- Approche de mise en œuvre par phases
- Conception et exécution de projets pilotes
- Gestion du changement et adoption par les utilisateurs
- Mesure des indicateurs de succès de Zero Trust
- Défis et pièges à éviter
Déploiement en production et opérations
- Schémas de conception haute disponibilité
- Plan de reprise d'activité pour l'infrastructure Zero Trust
- Stratégies d'optimisation des performances
- Dépannage des problèmes d'authentification et d'autorisation
- Mise à jour et correction des composants Zero Trust
- Documentation et création de manuels d'intervention (runbooks)
Avenir de Zero Trust et open source
- Normes et protocoles émergents
- Considérations Zero Trust résistantes à la cryptographie quantique
- IA/ML dans les décisions Zero Trust
- Architectures Zero Trust fédérées
- Ressources communautaires et développement continu
- Résumé et prochaines étapes
Pré requis
- Bonne compréhension des concepts et principes de la sécurité réseau
- Expérience avec les systèmes de gestion de l'identité et des accès (IAM)
- Connaissance des fondamentaux du PKI, des certificats et du chiffrement
- Familiarité avec les architectures de microservices et de conteneurisation
- Expérience dans le déploiement et la gestion de logiciels open source
Audience
- Architectes et ingénieurs en sécurité
- Architectes infrastructure concevant des postures de sécurité modernes
- Ingénieurs DevSecOps mettant en œuvre des pipelines de sécurité
- Administrateurs réseau transitionnant vers des modèles Zero Trust
35 Heures
Nos clients témoignent (2)
J'ai découvert de nouvelles choses.
Cristian
Formation - OpenStack Security
Traduction automatique
communication, connaissances issues de l'expérience, résolution de problèmes,
Marcin Walewski - Intel Technology Poland Sp. z o.o.
Formation - OpenStack Bootcamp
Traduction automatique
