Contenu connexe
Similaire à Le bon, la brute et le truand dans les nuages
Similaire à Le bon, la brute et le truand dans les nuages (20)
Le bon, la brute et le truand dans les nuages
- 1. Le bon, la brute et le truand
dans les nuages
(ou comment percevoir la sécurité dans le Cloud)
CONFOO – Montréal
Québec - Canada
9 Mars 2011
Sébastien Gioria (French Chapter Leader & OWASP Global
Education Committee Member)
sebastien.gioria@owasp.org
Copyright © 2009 - The OWASP Foundation
Permission is granted to copy, distribute and/or modify this document
under the terms of the GNU Free Documentation License.
The OWASP Foundation
© 2011 - S.Gioria
http://www.owasp.org
- 2. Consultant Sécurité Sénior au Twitter :@SPoint
sein du cabinet d’audit
OWASP France Leader - Evangéliste -
OWASP Global Education Comittee
Member (sebastien.gioria@owasp.org)
CISA && ISO 27005 Risk Manager
q Expérience en Sécurité des Systèmes d’Information > 0x0D années
q Différents postes de manager SSI dans la banque, l’assurance et les
télécoms
q Expertise Technique
ü Gestion du risque, Architectures fonctionnelles, Audits
ü S-SDLC : Secure-Software Development LifeCycle.
ü PenTesting, Digital Forensics
ü Consulting et Formation en Réseaux et Sécurité
q Domaines de prédilection :
ü Web, WebServices, Insécurité du Web. © 2011 - S.Gioria
- 5. Vainqueurs a la CVE 2010
Produit 1er 2ème 3ème
Système Linux Kernel Windows Server Apple IOS (35)
d’exploitation (129) 2008 (93)
SGBD Oracle (36) Mysql (3) MS-SQL Server
(1)
Navigateur Chrome (164) Safari (130) Firefox (115)
Clouds ? / VmWare Xen (24) Hyper-V(2) –
Virtualisation (125) Azure (1)
• Il n’y a pas un meilleur editeur/constructeur….
• Sinon on ne serait pas aux aguets tous les 2èmes mardi du mois.
• Sinon les bulletins du CERT seraient vides…
• Et surtout Oracle ne mentirait pas sur son surnom*…
• Le Cloud est compliqué…..
*:unbreakable => dernier Patch Update 10/10 à la CVSS (encore une fois)…
© 2011 - S.Gioria
- 9. Modèles
Cloud Privé :
Dédié à une entreprise
Cloud partagé
Mutualisé pour une communauté
Cloud Public
Grand public,
Cloud Hybride
Composé d’un ou plusieurs cloud précédent.
© 2011 - S.Gioria
- 10. Les acteurs ?
Les mastodontes* :
Google
§ 27/02/2011 : Google Mail perd des mails…..
Amazon
§ 09/2009: L’isolation dans le Cloud EC2 d’Amazon a des
fuites….
§ 01/2011: Using Amazon Cloud to crack WPA keys (**)
Microsoft Azure :
§ …
*Et non pas les éléPHPants
** http://www.reuters.com/article/2011/01/07/us-amazon-hacking-
idUSTRE70641M20110107
© 2011 - S.Gioria
- 12. L’entreprise a le contrôle
Qui contrôle quoi ? Partage du contrôle avec le fournisseur
Le fournisseur de cloud a le contrôle
Interne Hébergeur IaaS public PaaS public SaaS public
Données Données Données Données Données
Applications Applications Applications Applications Applications
Machine Machine Machine Machine Machine
Virtuelle Virtuelle Virtuelle Virtuelle Virtuelle
Serveur Serveur Serveur Serveur Serveur
Stockage Stockage Stockage Stockage Stockage
Réseau Réseau Réseau Réseau Réseau
Burton Group : Cloud Computing Security in the Enterprise – Jul. 2009 © 2011 - S.Gioria
- 13. Perte de la maitrise….
Sur le matériel….
Constemment externalisé
Sur le logiciel
Quelle confiance ai-je sur le modèle déployé par le
fournisseur ?
Quelle confiance ai-je dans le développement ?
Sur le réseau….
Quelle est la réelle connectivité ?
Sur l’organisation
Les choix matériels et/ou logiciels peuvent impacter
les mesures de sécurité.
© 2011 - S.Gioria
- 14. Risque sur les données
Perte du contrôle sur les données
L’administrateur a les « clefs » d’accès
Comment sont effacées les données en cas de fin du
contrat ?
Comment sont « sauvegardées »/ « archivées » les
données ?
© 2011 - S.Gioria
- 15. Risques techniques sur la virtualisation
Problèmes d’isolation des Machines virtuelles :
Les pilules et autres médicaements de Johanna :
§ http://invisiblethings.org/papers/Security%20Challanges
%20in%20Virtualized%20Enviroments%20-%20RSA2008.pdf
Partage des ressources :
Disques
RAM
Processeur
Réseau
© 2011 - S.Gioria
- 16. Gestion des données sensibles
Les interfaces d’administration contiennent des
données sensibles….
Les mots de passes sont souvent les même en interns
et en externe….
Les interfaces d’administration permettant
d’effectuer de l’approvisionnement a la demande
sont sensibles
Les APIs du Cloud ne sont peut être pas
« sécurisées »
Absence de clefs de chiffrement
Absence de token de transaction…..
© 2011 - S.Gioria
- 17. Et la réversibilité ?
Problèmes de disponibilité
Forte dépendance
Pas de normes d’interopérabilité sur les Clouds
….
© 2011 - S.Gioria
- 19. Les 13 domaines de travaux du Cloud
La Cloud Security Alliance définit 13 domaines :
I. Architecture
1. Cadre d’architecture du cloud Computing
II. Gouvernance
2. Gouvernance et gestion des risques
3. Aspects juridiques liées aux données
4. Conformité et audit
5. Cycle de vie de l’information
6. Portabilité et interopérabilité
http://www.cloudsecurityalliance.org/guidance.html
© 2011 - S.Gioria
- 20. Les 13 domaines de travaux du Cloud
III. Opérations
7. Sécurité, continuité, reprise d’activité
8. Opérations du datacenter
9. Gestion des incidents, notifications, remédiation
10. Sécurité applicative
11. Chiffrement et gestion des clés
12. Gestion des identités et accès
13. Virtualisation
http://www.cloudsecurityalliance.org/guidance.html
© 2011 - S.Gioria
- 22. Le problème
Confidentialité
Protéger les données, les systèmes, les processus
d’un accès non autorisé
Intégrité
Assurer que les données, systèmes et processus sont
valides et n’ont pas été modifiés de manière non
intentionnelle.
Disponibilité
Assurer que les données, systèmes et processus sont
accessible au moment voulu
© 2011 - S.Gioria
- 23. Le problème
Traçabilité
Assurer le cheminement de toute donnée, processus
et la reconstruction des transactions
« Privacy »
Assurer que les données personnelles sont sous le
contrôle de leur propriétaire
Conformité
Adhérer aux lois et réglementations
Image de marque
Ne pas se retrouver à la une du journal « Le Monde »
suite à un incident
© 2011 - S.Gioria
- 24. La menace
Les gouvernements ?
Le concurrent
La mafia
Capacité
Le chômeur… de
L’étudiant protection
Le « script kiddies »
Mon fils de 3 ans
Mais…… Personne ne nous piratera »
«
© 2011 - S.Gioria
- 27. Le Mercenaire des menaces(*)
10/03/2011 – 9h45
© 2011 - S.Gioria
* Un burger et vous l’achetez….
- 28. Chuck Norris OWASP ASVS à la rescousse
Quelles sont les fonctionnalités à mettre en oeuvre dans les
contrôles de sécurité nécessaires à mon application
Spécifications/Politique de sécurité des
développements
Quelle est la couverture et le niveau de rigueur à mettre en
oeuvre lors de la vérification de sécurité d'une application.
Comment comparer les différentes vérifications de sécurité
effectuées
Aide à la revue de code
Quel niveau de confiance puis-je avoir dans une application
Chapitre sécurité des contrats de
développement ou des appels d’offres !
© 2011 - S.Gioria
- 29. Principes de développement
KISS : Keep it Short and Simple
8 étapes clés :
Validation des entrées
Validation des sorties
Gestion des erreurs
Authentification ET Autorisation
Gestion des Sessions
Sécurisation des communications
Sécurisation du stockage
Accès Sécurisé aux ressources
© 2011 - S.Gioria
- 30. KISS : Keep it Short and Simple
Suivre constamment les règles précédentes
Ne pas « tenter » de mettre en place des
parades aux attaques
Développer sécurisé ne veut pas dire prévenir la
nouvelle vulnérabilité du jour
Construire sa sécurité dans le code au fur et a
mesure et ne pas s’en remettre aux éléments
d’infrastructures ni au dernier moment.
© 2011 - S.Gioria
- 32. Cet homme peut vous aider(*)
10/02/2011 : 14h45
* : je suis d’accord on dirait pas J sur cette photo
© 2011 - S.Gioria
- 33. Mettre en place les Tests Qualité
Ne pas parler de tests sécurité !
Définir des fiches tests simples, basées
sur le Top10/TopX :
Tests d’attaques clients/image de marque (XSS)
Tests d’intégrité (SQL Injection, …)
Tests de conformité (SQL/LDAP/XML Injection)
Tests de configuration (SSL, interfaces d’administration)
Ajouter des revues de code basées sur des checklists
SANS/Top25
OWASP ASVS
…. © 2011 - S.Gioria
- 35. De la littérature
ENISA :
Benefits, risks and recommendations for information
security (11/2009)
NIST :
SP800-144 : Guidelines on Security and Privacy in
Public Cloud Computing (01/2011)
Cloud Security Alliance :
Top Threats to Cloud Computing V1.0 (03/2010)
Security Guidance for Critical Areas of Focus In Cloud
Computing V2.1 (12/2009)
© 2011 - S.Gioria