Sécurité dans le cloud

1 617 vues

Publié le

Etat de l'art de la sécurité dans le Cloud Computing

Publié dans : Technologie
0 commentaire
9 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 617
Sur SlideShare
0
Issues des intégrations
0
Intégrations
28
Actions
Partages
0
Téléchargements
7
Commentaires
0
J’aime
9
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Sécurité dans le cloud

  1. 1. Systèmes réparties : Cloud Computing Etat de l’art de la sécurité dans le « Cloud Computing » Par M. EL ALLOUSSI #INTIS #SECURITE #CLOUD @halloussi Check-in Fsq: FST MOHAMMEDIA 1
  2. 2. Sommaire 1. Introduction 2. Présentation du « Cloud Computing » 3. Les vulnérabilités dans la sécurité du Cloud 4. Les risques classiques : application sur le Cloud 5. Les différentes solutions -2M. Hassan EL ALLOUSSI
  3. 3. Introduction : définition du Cloud Computing -3M. Hassan EL ALLOUSSI
  4. 4. L’évolution vers le Cloud Computing 2000 : SOA 2010 : Cloud Computing 1990 : Web 1980 : ClientServer 1970 : Mainframe -4M. Hassan EL ALLOUSSI
  5. 5. Qu’est ce que le Cloud Computing? « L’ensemble des disciplines, technologies et modèles commerciaux utilisés pour délivrer des capacités informatiques (logiciels, plateformes, matériels) comme un service à la demande » –5 caractéristiques –3 modèles de service –4 modèles de déploiement -5M. Hassan EL ALLOUSSI
  6. 6. Cloud Computing : 5 caractéristiques 1. Libre service à la demande 2. Accès réseau, clients variés 3. Mise en commun des ressources (Pooling) 4. Élasticité rapide 5. Service mesuré et facturation à l’usage -6M. Hassan EL ALLOUSSI
  7. 7. Cloud Computing : 3 modèles de services SaaS Software as a Service PaaS Platform as a Service IaaS Infrastructure as a Service -7M. Hassan EL ALLOUSSI
  8. 8. Cloud Computing : 4 modèles de déploiement • Private Cloud : – Une propriété (ou une location) de l’entreprise – Interne ou externe • Community Cloud : – Infrastructure partagée pour une communauté spécifique, – Interne ou externe • Public Cloud : – Infrastructure louée à n’importe quelle catégorie d’acheteur, – Elle est la propriété du fournisseur • Hybrid Cloud : – La composition de deux ou plus formes de Clouds qui permettent la portabilité des données et des applications – On ne crée pas un hybrid Cloud juste en fédérant les identités -8M. Hassan EL ALLOUSSI
  9. 9. Introduction : Contexte -9M. Hassan EL ALLOUSSI
  10. 10. Introduction • L’émergence récente du «Cloud Computing» ouvre de nombreuses perspectives pour les entreprises afin de se débarrasser d’un investissement financier colossal et une gestion de parc fastidieuse. • Ce nouveau modèle d’architecture et de programmation largement répartie est basé sur l’idée d’externaliser le système d’information à des tiers capables de fournir des ressources et des services à la demande et sur mesure sur le réseau internet. • Les bénéfices escomptés sont nombreux: – gestion flexible et dynamique de ressources, – mise à disposition quasi-illimitée de ressources de calcul, réseau, ou de stockage - 10 M. Hassan EL ALLOUSSI
  11. 11. Sécurité : Système Traditionel vs Cloud Computing Securiser une maison Propriétaire et l'utilisateur sont souvent de la même entité Sécuriser un motel Le propriétaire et les utilisateurs sont des entités distinctes - 11 M. Hassan EL ALLOUSSI
  12. 12. Sécurité : Système Traditionel vs Cloud Computing Securiser une maison Les plus grandes préoccupations des utilisateurs : • Sécuriser du périmètre • Vérifier des intrus • Sécuriser les actifs Sécuriser un motel La plus grande préoccupation de l’utilisateur : • Sécuriser la pièce contre (le méchant dans la salle suivante | propriétaire du motel) - 12 M. Hassan EL ALLOUSSI
  13. 13. Considérations générales sur la sécurité Les préoccupations classiques du Cloud : – Les données sont elles sûres dans le Cloud? • Qui va avoir accès aux données? • Aurai-je accès à mes données à n’importe quel moment? • Qu’arrivera t’il si le contrat est arrêté? – Conformité aux lois et aux règlementations? • Où sont stockées mes données? • Qui gère les notifications de brèches de données personnelles? • Pendant combien de temps mes données sont stockées? • Comment sont gérées des réquisitions éventuelles? - 13 M. Hassan EL ALLOUSSI
  14. 14. Contexte • Problèmes : – Peu de solutions qui existent aujourd’hui pour traiter les problèmes générés par les menaces. – Les mécanismes existants sont hétérogènes et fragmentés, avec un manque de vision d’ensemble sur leur orchestration et intégration avec des techniques protection traditionnelles au sein d’une architecture de sécurité globale. • Contraintes : – La forte dépendance des menaces en fonction du modèle de service et de déploiement du « Cloud », – La réactivité nécessaire pour déployer les contremesures, - 14 M. Hassan EL ALLOUSSI
  15. 15. Les vulnérabilités dans la sécurité du Cloud - 15 M. Hassan EL ALLOUSSI
  16. 16. Deverons nous adopter le Cloud Computing? - 16 - Source: The Chasm Group M. Hassan EL ALLOUSSI
  17. 17. Quels sont les freins pour adopter le Cloud? Security 88.5% Performance 88.1% Availability 84.8% Hard to integrate with in-house IT Not enough ability to customize 84.5% 83.3% Worried cloud will cost more Bringing back in-house may be difficult Not enough major suppliers yet 65% 81.1% 80.3% 74.6% 70% 75% 80% 85% 90% - 17 M. Hassan EL ALLOUSSI
  18. 18. La perte de maîtrise de gouvernance Le client, contractant un service Cloud Computing, donne une partie de la gouvernance infrastructure IT au fournisseur.  Accord du niveau de service (SLA) doit jouer un rôle crucial pour défendre l’intérêt du client. - 18 M. Hassan EL ALLOUSSI
  19. 19. Isolement des environnements et des données • Le partage des ressources est l'une des caractéristiques les plus importantes du Cloud Computing. Si la séparation des environnements n'est pas assez efficace, alors «invasions» entre les clients pourraient se produire. • Dans le cas d'un environnement partagé entre plusieurs "clients locataires", deux sortes d’attaques sont plausibles : – la première de type "Guest-hopping" – la deuxième contre les hyperviseurs directement - 19 M. Hassan EL ALLOUSSI
  20. 20. Risques de conformité • En externalisant certains services et processus de base, la conformité aux lois sur la protection des données et les normes réglementaires telles que PCI DSS et ISO 27001 peut devenir très compliqué.  Les fournisseurs de services peuvent imposer des restrictions sur la conduite d’un audit de leurs infrastructures. - 20 M. Hassan EL ALLOUSSI
  21. 21. La publication des interfaces de gestion • Les interfaces de gestion des services contractés (par exemple dans un modèle SaaS) sont publiées directement sur le net.  Cela augmente considérablement les risques par rapport aux systèmes traditionnels dans lesquels des interfaces de gestion sont accessibles uniquement à partir des réseaux internes. - 21 M. Hassan EL ALLOUSSI
  22. 22. La protection des données • Pour le client de services Cloud Computing, il est très difficile de sécuriser les données qui se trouvent réparties dans plusieurs emplacements. • S'assurer que les données sont traitées correctement est également compliqué parce que le contrôle sur les transferts de données est hors de la portée de son propriétaire. - 22 M. Hassan EL ALLOUSSI
  23. 23. La suppression dangereuse ou incomplète des données • La réutilisation des ressources matérielles est très commune dans le Cloud Computing. Un nouveau client peut, par exemple, être affecté d'une section de stockage dans lequel, jusqu'à récemment, les données d'un autre client ont eu lieu. Cela peut entraîner à un risque de perte de confidentialité, si les données précédentes n’ont pas été supprimées complétement et en toute sécurité. - 23 M. Hassan EL ALLOUSSI
  24. 24. Les utilisateurs malveillants • Cloud Computing a besoin des profils utilisateurs de haut niveau pour son administration (Un administrateur système aura des privilèges complets sur différentes ressources de différents clients). • Un utilisateur malveillant qui compromet la sécurité du système avec succès et saisie une session administrateur obtiendra l'accès à de nombreuses informations clientes. - 24 M. Hassan EL ALLOUSSI
  25. 25. Les risques classiques : application sur le Cloud - 25 M. Hassan EL ALLOUSSI
  26. 26. Le hameçonnage • Il est possible de tromper les utilisateurs finaux par le détournement de leurs informations d'identification au Cloud • Quelques solutions : – Salesforce.com : Filtrage de la connexion – Google Apps / Docs / Services : revérification des sessions connectées et de mot de passes - 26 M. Hassan EL ALLOUSSI
  27. 27. Personnel du fournisseur Cloud avec un accès privilégié • Accès inapproprié aux données sensibles des clients par le personnel du Cloud • Recommandation : – Modifier les pratiques et les normes de sécurité du Fournisseur de Services Cloud pour que son personnel avec un accès privilégié ne puisse pas accéder aux données des clients. – Différencier entre le droit d’administration du système et le droit d’accès aux données - 27 M. Hassan EL ALLOUSSI
  28. 28. L’origine des données • A des fins de conformité, il peut être nécessaire d'avoir des traçabilités précis quant à : – Est ce que les données ont été placés dans le Cloud? – Quand le stockage s'est produit? – Sur quel type de la machines virtuelles et support de stockage résidait-il, et où il s’est traité? • Limites : – Difficile de garder toute la traçabilité dans un Cloud Public - 28 M. Hassan EL ALLOUSSI
  29. 29. La colocation • Le cryptage des données • Solutions d’étanchéité logiques - 29 M. Hassan EL ALLOUSSI
  30. 30. Les différentes solutions - 30 M. Hassan EL ALLOUSSI
  31. 31. Plateforme de confiance basée sur le TPM • Puce développée par le Trusted Computing Group (Compaq, HP, IBM, Intel, Microsoft, AMD, etc.) et visant à sécuriser les équipements et communications informatiques. • Le TPM (Trusted Platform Module) contient une clé privée d’approbation qui identifie le module TPM (et donc l'hôte physique) • Les plates-formes de confiance s’appuient sur les caractéristiques de puces TPM afin de permettre une attestation à distance. - 31 M. Hassan EL ALLOUSSI
  32. 32. Plateforme de confiance basée sur le TPM • Ce mécanisme fonctionne comme suit : – Au démarrage l'hôte traite une liste de mesures (séquence de tables de hachage stockée d’une façon sécurisée à l'intérieur du TPM de l'hôte). – Le connecté distant défit la plateforme qui fonctionne sur le serveur avec un nonce nᵤ, – La plate-forme demande au TPM local de créer un message contenant à la fois la liste L et le nᵤ, crypté avec la clé privée de la puce TPM et l’hôte envoie le message à la partie à distance qui peut le décrypter en utilisant la clé publique correspondante, ce qui permet l’authentification de l’hôte. – En vérifiant que les nonces se correspondent et que la liste L correspond à une configuration qu’il juge digne de confiance, le client à distance peut identifier de manière fiable la plateforme. - 32 M. Hassan EL ALLOUSSI
  33. 33. Cryptage des données • Particularité du cryptage pour les données en transmission (mouvement) – Assurer l’intégrité – Assurer la confidentialité des données • Limites : – Impossibilité de crypter les données sur les réseaux sociaux (Modèle de revenues) - 33 M. Hassan EL ALLOUSSI
  34. 34. Le HAIL : une solution RAID pour le Cloud • Le client effectue un certain nombre de vérifications afin d'évaluer l'intégrité de ses données stockés dans le système Cloud. • Si des corruptions ont été détectées sur certains serveurs, alors les données peuvent être reconstitué à partir de la redondance dans des serveurs intacts et les serveurs connus défectueux remplacé. - 34 M. Hassan EL ALLOUSSI
  35. 35. Le HAIL : une solution RAID pour le Cloud • Le client choisit un fichier aléatoire de blocs de position j et récupère le bloc correspondant Fj de F de chaque serveur. – Si tous les blocs retournés sont identiques  le client conclut que F est intact dans cette position. – Si des incohérences sont détectées  on reconstitue F et supprime / remplace des serveurs défectueux. • Le client peut augmenter sa probabilité de détecter de corruptions par multiple échantillonnage du fichier. • Limitation : – Le client ne peut pratiquement inspecter qu’une partie des données. - 35 M. Hassan EL ALLOUSSI
  36. 36. Conclusion • Les avantages générés par le Cloud Computing VS Les risques. – Les avantages  Opportunités pour les managers – Les risques  Casse-tête pour les responsables de la sécurité • Le Cloud n'est pas une technologie nouvelle, mais une nouvelle façon de faire les choses en matière de technologie de l'information. • Les spécialistes de la sécurité de l'information doivent accompagner le développement du Cloud, afin de permettre à ses usagers de bénéficier de grands avantages que le Cloud offre. - 36 M. Hassan EL ALLOUSSI
  37. 37. @halloussi - 37 M. Hassan EL ALLOUSSI

×