SlideShare une entreprise Scribd logo

Hébergement du protocole kerberos dans un cloud

Télécharger en tant que PPTX, PDF
M
MouadNahri

établir des bases fiables et des normes pour sécuriser leur infrastructure cloud est un atout prémordial, le module keystone d'openstack reste limité en terme d'authentification puisque l'ensemble des password sont stockés dans un fichier texte non shiffré, d'où le besoin d'intégrer le protocole de renforcement de sécurité Kerberos.

Technologie
1  sur  23
Mise en place d’un système d'authentification dans un Cloud Présenté par: NAHRI Mouad Encadré par: BELMEKKI El Mostafa
TABLE DES MATIÈRES Mise en place du Cloud Dashboard Horizon Le module Keystone Fonctionnement du KEYSTONE Choix des protocoles d’authentification Fonctionnement de KERBEROS Enjeux et problèmes non résolus de Kerberos Calendrier du projet Vue d'ensemble Analyse des problèmes Objectif visé Cloud Computing Tendances du marché Diagramme du cycle de développement
Vue d'ensemble Le Cloud Computing n’est finalement qu’une option d’externalisation supplémentaire. De ce fait, il induit de nombreuses questions quant à la sécurité et aux responsabilités. Avec, pour certains, la conviction que sa sécurité est impossible à garantir. La culture du risque va devoir se développer. Ce qui incarne La sécurité du Cloud comme un défi aux multiples facettes. Comment donc établir des bases fiables et des normes pour sécuriser leur infrastructure?
Analyse des problèmes 01 Avoir une infrastructure Cloud modulaire et compatible avec du matériel standard disponible, déployer, de façon centralisée, tous les outils dont vous avez besoin, quand vous en avez besoin. 02 Fournir l’authentification du client, établir une sécurité aux données, la découverte des services et l’autorisation partagée par implémenter l’API d’identité d’Openstack. 03 Keystone est le composant responsable de l’authentification sur une plateforme OpenStack. Par défaut, l’authentification nécessite l’envoi d’un login et d’un mot de passe par un appel d’API. Les mots de passe sont généralement stockés en clair dans un fichier texte, souvent non chiffré : autant dire que ce n’est pas une méthode très sécurisée.
Objectif visé Notre projet consiste à faire la mise en place d’une infrastructure Cloud, et d’analyser les mécanismes de sécurité de son système d’authentification, et de le renforcer par un protocol de sécurité d’authentification.
Cloud Computing Dans le but de faciliter le déploiement, l’administration et l’utilisation des systèmes informatiques dans les grands centres de données ou entreprises, un nouveau concept, le cloud computing, a été développé. Trois types de services permettent de mettre en oeuvre la facilité d’accès et l’homogénéité de gestion des ressources apportées par ce concept: ce sont les services IaaS, PaaS, SaaS . Ces différents services du cloud computing visent à offrir respectivement à travers le réseau l’accès à des ressources physiques (stockage, systèmes d’exploitation) sous forme virtuelle, des environnements de développement pré configurés et adaptés au travail de test et d’exécution d’applications et enfin des applications prêtes à l’usage mises à la disposition des utilisateurs finaux.
SaaS (Software as a Service) Le logiciel en tant que service ou software as a service (SaaS) est un modèle d'exploitation commerciale des logiciels dans lequel ceux-ci sont installés sur des serveurs distants plutôt que sur la machine de l'utilisateur. Les clients ne paient pas de licence d'utilisation pour une version, mais utilisent librement le service en ligne ou, plus généralement, payent un abonnement. CRM EMAIL PAYROLL ERP
PaaS (Plateforme as a service) La Plateforme en tant que Service (PaaS) est un modèle de Cloud Computing, au même titre que les SaaS, les DaaS et les IaaS. Un fournisseur de services Cloud propose des outils hardware et logiciels en tant que service via internet, permettant à l’utilisateur de développer des applications. Le hardware et le software sont hébergés sur l’infrastructure du fournisseur. Ainsi, les utilisateurs n’ont pas besoin d’installer leur propre hardware et leurs logiciels en interne pour développer ou lancer de nouvelles applications. Microsoft Azure Google App Engine Salesforces PlatformAWS
IaaS (Infrastructure as a service) L'Infrastructure as a Service (IaaS) est l'une des trois principales catégories de services de Cloud Computing. Comme tous les services de Cloud computing, on accède aux ressources informatiques dans un environnement virtualisé le "Cloud" à travers une connexion publique, généralement Internet. Dans le cas de l'IaaS, la ressource, le matériel informatique est virtualisée. Le service peut inclure des offres telles que l'espace serveur, des connections réseau, la bande passante, les adresses IP et les load balancers. Les ressources hardware physiques sont sous la responsabilité du fournisseurs de services Cloud, proviennent d'une multitude de serveurs et de réseaux généralement distribués à travers de nombreux data centers. Parallèlement, l'accès aux composants virtualisés est fournie à l'entreprise afin que celle-ci puisse construire ses propres plateformes IT.
Tendances du marché Les services d'IaaS et de PaaS affichent des taux de croissance de 47 %. Les services SaaS d'entreprise sont en croissance de 31 %. Les services d'infrastructure de cloud privé hébergé affichent eux une croissance de 30 %. 2016 a été une année charnière assure Synergy Research Group sur le marché du cloud computing : les dépenses consacrées aux services cloud ont dépassé celles utilisées pour construire des clouds publics et privés. Et cette tendance se poursuit en 2017 : les marchés des services de cloud computing progressent trois fois plus vite que ceux du matériel et des logiciels d'infrastructure de cloud computing. T1 T2 T3 T4 0 % 20 % 40 % 60 % 80 % 100 % 2015 T1 2016 T2 T3 T4 0 % 20 % 40 % 60 % 80 % 100 % 2017 T1 T2 T3 T4 0 % 20 % 40 % 60 % 80 % 100 %
Diagramme du cycle de développement Mise en situation et documentation Analyse de la problématique et étude générale des mécanismes de l’ensemble. Mise en place du Cloud la mise en place de l’infrastructure cloud par l’ensemble des modules OpenStack. Tests et livraison Avant de livrer le projet, nous passons par l’étape des tests. Implémentation du nouveau protocol le choix du protocol KERBEROS et l'implémentation de ce protocol dans le système d’authentification. 01 02 03 04
Mise en place du Cloud OpenStack est un ensemble de logiciels open source permettant de déployer des infrastructures de cloud computing (infrastructure en tant que service). La technologie possède une architecture modulaire composée de plusieurs projets corrélés (Nova, Swift, Glance, Neutron...) qui permettent de contrôler les différentes ressources des machines virtuelles telles que la puissance de calcul, le stockage ou encore le réseau inhérents au centre de données sollicité.
Horizon est l'implémentation canonique du tableau de bord OpenStack (dashboard), qui fournit une interface utilisateur Web aux services OpenStack, notamment Nova, Swift, Keystone, etc. Permettant le démarrage et gestion d’instances virtuelles, gestion de réseaux et sous réseaux, création de volume de stockage, orchestration… Dashboard Horizon
Le module Keystone Le service d'identité d'OpenStack s'appelle Keystone. Il fournit un annuaire central contenant la liste des services et la liste des utilisateurs d'Openstack ainsi que leurs rôles et autorisations. Au sein d'Openstack tous les services et tous les utilisateurs utilisent Keystone afin de s'authentifier les uns avec les autres. Keystone peut s'interfacer avec d'autre service d'annuaire comme LDAP. Il supporte plusieurs formats d'authentification comme les mots de passe et autres.
Fonctionnement du KEYSTONE Les trois principaux concepts de la gestion des utilisateurs sont les suivants : User, Tenants, Rôles. Le rôle définit les autorisations qu’un utilisateur peut effectuer dans un Tenant donné. Avec Keystone on peut associer plusieurs rôles à un utilisateur dans différents tenant, et un utilisateur peut avoir plusieurs rôles dans un même tenant. Chaque service possède sa propre politique de control d’accès (elle se trouve dans /etc/[Services CodeName]/policy.json), Elle permet de contrôler ce qu’un rôle peut effectuer sur un service donné.
RADIUS est un moyen d'accéder au réseau. Vous donnez vos informations d'identification, et elles seront vérifiées avant que vous soyez autorisé à accéder au réseau. Kerberos vérifie vos informations d'identification et vous donne un «ticket» que vous pouvez utiliser pour prouver à d'autres systèmes / services que vous êtes vous. Le ticket expirera et ne contiendra pas vos informations d'identification. Vous devez être sur le réseau pour que cela fonctionne. Choix des protocoles d’authentification
KERBEROS protocol Kerberos est un protocole d'authentification réseau qui repose sur un mécanisme de clés secrètes (chiffrement symétrique) et l'utilisation de tickets, et non de mots de passe en clair, évitant ainsi le risque d'interception frauduleuse des mots de passe des utilisateurs. Créé au Massachusetts Institute of Technology, il porte le nom grec de Cerbère, gardien des Enfers. Kerberos a d'abord été mis en œuvre sur des systèmes Unix.
Fonctionnement de KERBEROS Kerberos est différent des autres méthodes d'authentification basées sur la combinaison nom d'utilisateur/mot de passe car, au lieu d'authentifier chaque utilisateur auprès de chaque service réseau, il utilise un cryptage symétrique et un tiers digne de confiance connu sous le nom de Centre de distribution de tickets (ou KDC de l'anglais Key Distribution Center) afin d'authentifier les utilisateurs auprès d'un ensemble de services réseau. Une fois l'authentification auprès du KDC effectuée, il renvoie à l'ordinateur de l'utilisateur un ticket spécifique à cette session de sorte que tout service kerberisé puisse rechercher le ticket sur l'ordinateur de l'utilisateur plutôt que de demander à l'utilisateur de s'authentifier à l'aide d'un mot de passe. Lorsqu'un utilisateur faisant partie d'un réseau kerberisé se connecte sur son poste de travail, son principal est envoyé au KDC dans une demande de ticket d'émission de ticket ou TGT (de l'anglais Ticket-granting Ticket) de la part du serveur d'authentification (ou AS de l'anglais Authentication Server). Cette demande peut être envoyée par le programme de connexion afin qu'elle soit transparente pour l'utilisateur ou elle peut être soumise par le programme kinit une fois l'utilisateur connecté. Le KDC vérifie la présence du principal dans sa base de données. Si le principal y figure, le KDC crée un TGT, le cryptés à l'aide de la clé de l'utilisateur, puis le renvoie à ce dernier. Le programme de connexion ou le programme kinit présent sur l'ordinateur client décrypte ensuite le TGT à l'aide de la clé de l'utilisateur (qu'il obtient à partir du mot de passe). La clé de l'utilisateur est utilisée seulement sur l'ordinateur client et n'est pas envoyée sur le réseau.
Avertissement ! Le système Kerberos peut être compromis chaque fois qu'un utilisateur présent sur le réseau s'authentifie auprès d'un service non- kerberisé en envoyant un mot de passe en texte en clair. Telle est la raison pour laquelle l'utilisation d'un service non-kerberisé est fortement déconseillée. Parmi de ces services figurent Telnet et FTP. L'utilisation d'autres protocoles cryptés tels que les services sécurisés OpenSSH ou SSL est certes acceptable, mais n'est pas idéale.
Overview de KERBEROS
Enjeux et problèmes non résolus de Kerberos Le problème de vie de ticket est une question de choisir le compromis approprié entre la Sécurité et la commodité. Si la vie d'un ticket est longue, alors si un ticket et sa clé de session associée sont dérobés ou mal placés, ils peuvent être utilisés pendant une plus longue période. Une telle informations peuvent être dérobées si un utilisateur oublie de se déconnecter d'un poste de travail public. Alternativement, si un utilisateur a été authentifié sur un système qui permet des plusieurs utilisateurs, un autre utilisateur avec l'accès à enraciner pourrait pouvoir trouver les informations requises pour utiliser les tickets dérobés. Le problème avec donner à un ticket une vie courte, cependant, est que quand elle expire, l'utilisateur devra obtenir un neuf qui exige de l'utilisateur d'entrer le mot de passe de nouveau. Un problème non résolu est le problème de proxy. Comment un utilisateur authentifié peut-il permettre à un serveur pour saisir d'autres services réseau en son nom ? Un exemple où ce serait important est l'utilisation d'un service qui accédera aux fichiers protégés directement d'un serveur de fichiers. Est un autre exemple de ce problème ce que nous appelons expédition d'authentification. Si un utilisateur est enregistré dans un poste de travail et des logins à un serveur distant, il serait gentil si l'utilisateur avait accès aux mêmes services disponibles localement, tout en exécutant un programme sur le serveur distant. Ce qui fait ce difficile est que l'utilisateur ne pourrait pas faire confiance au serveur distant, ainsi l'expédition d'authentification n'est pas désirable dans des tous les cas. Nous n'avons pas actuellement une solution au problème.
Calendrier des tâches Analyse de la problématique et étude générale des mécanismes de l’ensemble. La mise en place du Cloud par l’ensemble des modules d’OpenStack. Documentation sur les les différents enjeux de protocoles d’authentificatio n Radius vs Kerberos. Choix tombé sur le protocole Kerberos pour raison d’usage de tickets Granting. Lancement des tests et essai de trouver les failles dans les mécanismes de sécurité du Cloud Documentation et feedback Mise en place de l’infrastructure du Cloud Examination du choix entre Radius et Kerberos Implémentation du protocole Kerberos Test des performances Continuation des tests et renforcement de sécurité élaboration des mécanismes et résultats. 04 JUILLET 14 JUILLET 19 JUILLET 26 JUILLET 27 JUILLET AOÛT
Merci pour votre attention !

Recommandé

Cloud computing
Cloud computingCloud computing
Cloud computingmourad50
 
Cloud computing
Cloud computing Cloud computing
Cloud computing Abdelghani Akil
 
Cloud computing
Cloud computingCloud computing
Cloud computingHeithem Abbes
 
Cloud computing
Cloud computingCloud computing
Cloud computingWalid Hammouda
 
Virtualisation et intégration des applications d'entreprise en environnement ...
Virtualisation et intégration des applications d'entreprise en environnement ...Virtualisation et intégration des applications d'entreprise en environnement ...
Virtualisation et intégration des applications d'entreprise en environnement ...Kouotou Aboubakar Sidiki, Eng, PMP
 
En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0Tactika inc.
 
Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud v1 Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud v1 Tactika inc.
 
Cloud prive cloud public pourquoi choisir tech days 2012 rdi
Cloud prive cloud public pourquoi choisir tech days 2012 rdiCloud prive cloud public pourquoi choisir tech days 2012 rdi
Cloud prive cloud public pourquoi choisir tech days 2012 rdiJulien Lesaicherre
 

Recommandé

Cloud computing
Cloud computingCloud computing
Cloud computingmourad50
 
Cloud computing
Cloud computing Cloud computing
Cloud computing Abdelghani Akil
 
Cloud computing
Cloud computingCloud computing
Cloud computingHeithem Abbes
 
Cloud computing
Cloud computingCloud computing
Cloud computingWalid Hammouda
 
Virtualisation et intégration des applications d'entreprise en environnement ...
Virtualisation et intégration des applications d'entreprise en environnement ...Virtualisation et intégration des applications d'entreprise en environnement ...
Virtualisation et intégration des applications d'entreprise en environnement ...Kouotou Aboubakar Sidiki, Eng, PMP
 
En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0Tactika inc.
 
Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud v1 Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud v1 Tactika inc.
 
Cloud prive cloud public pourquoi choisir tech days 2012 rdi
Cloud prive cloud public pourquoi choisir tech days 2012 rdiCloud prive cloud public pourquoi choisir tech days 2012 rdi
Cloud prive cloud public pourquoi choisir tech days 2012 rdiJulien Lesaicherre
 
Cloud Privé, Cloud Public, pourquoi choisir?
Cloud Privé, Cloud Public, pourquoi choisir?Cloud Privé, Cloud Public, pourquoi choisir?
Cloud Privé, Cloud Public, pourquoi choisir?Microsoft Ideas
 
Cloud Computing: De la recherche dans les nuages ?
Cloud Computing: De la recherche dans les nuages ?Cloud Computing: De la recherche dans les nuages ?
Cloud Computing: De la recherche dans les nuages ?Frederic Desprez
 
55174240 rapport-cloud-computing
55174240 rapport-cloud-computing55174240 rapport-cloud-computing
55174240 rapport-cloud-computingnoussa krid
 
Valtech - Cloud computing - Infrastructure as a Service
Valtech - Cloud computing - Infrastructure as a ServiceValtech - Cloud computing - Infrastructure as a Service
Valtech - Cloud computing - Infrastructure as a ServiceValtech
 
Architecture Réseau des clouds privés avec Hyper-V et System Center Virtual M...
Architecture Réseau des clouds privés avec Hyper-V et System Center Virtual M...Architecture Réseau des clouds privés avec Hyper-V et System Center Virtual M...
Architecture Réseau des clouds privés avec Hyper-V et System Center Virtual M...Microsoft Technet France
 
L'infonuagique et les organismes publics
L'infonuagique et les organismes publicsL'infonuagique et les organismes publics
L'infonuagique et les organismes publicsTactika inc.
 
Sécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureSécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureNis
 
OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud ComputingOWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud ComputingYann Riviere CCSK, CISSP, CRISC, CISM
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Patrick Leclerc
 
Openstack proposition
Openstack propositionOpenstack proposition
Openstack propositionRomuald Franck
 
Implentation d'une solution Cloud IAAS
Implentation d'une solution Cloud IAASImplentation d'une solution Cloud IAAS
Implentation d'une solution Cloud IAASmohamed hadrich
 
Bonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloudBonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloudNRC
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Microsoft Technet France
 
Openstack framework Iaas
Openstack framework IaasOpenstack framework Iaas
Openstack framework IaasNoureddine BOUYAHIAOUI
 
Projet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOSProjet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOSSébastien Kieger
 
Les Clouds: Buzzword ou révolution technologique
Les Clouds: Buzzword ou révolution technologiqueLes Clouds: Buzzword ou révolution technologique
Les Clouds: Buzzword ou révolution technologiqueFrederic Desprez
 
Le cloud en toute confiance
Le cloud en toute confianceLe cloud en toute confiance
Le cloud en toute confianceIkoula
 
Développez votre application Facebook avec Windows Azure
Développez votre application Facebook avec Windows AzureDéveloppez votre application Facebook avec Windows Azure
Développez votre application Facebook avec Windows AzureMicrosoft
 
Idm 28-administrator
Idm 28-administratorIdm 28-administrator
Idm 28-administratorinf_med13
 
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021Alphorm
 
Ei techno ei cloud livre-blanc-déc 2013
Ei techno ei cloud livre-blanc-déc 2013Ei techno ei cloud livre-blanc-déc 2013
Ei techno ei cloud livre-blanc-déc 2013Christophe Monnier
 
AGILLY - Introdution au Cloud Computing.pptx
AGILLY - Introdution au Cloud Computing.pptxAGILLY - Introdution au Cloud Computing.pptx
AGILLY - Introdution au Cloud Computing.pptxGerard Konan
 

Contenu connexe

Tendances

Cloud Privé, Cloud Public, pourquoi choisir?
Cloud Privé, Cloud Public, pourquoi choisir?Cloud Privé, Cloud Public, pourquoi choisir?
Cloud Privé, Cloud Public, pourquoi choisir?Microsoft Ideas
 
Cloud Computing: De la recherche dans les nuages ?
Cloud Computing: De la recherche dans les nuages ?Cloud Computing: De la recherche dans les nuages ?
Cloud Computing: De la recherche dans les nuages ?Frederic Desprez
 
55174240 rapport-cloud-computing
55174240 rapport-cloud-computing55174240 rapport-cloud-computing
55174240 rapport-cloud-computingnoussa krid
 
Valtech - Cloud computing - Infrastructure as a Service
Valtech - Cloud computing - Infrastructure as a ServiceValtech - Cloud computing - Infrastructure as a Service
Valtech - Cloud computing - Infrastructure as a ServiceValtech
 
Architecture Réseau des clouds privés avec Hyper-V et System Center Virtual M...
Architecture Réseau des clouds privés avec Hyper-V et System Center Virtual M...Architecture Réseau des clouds privés avec Hyper-V et System Center Virtual M...
Architecture Réseau des clouds privés avec Hyper-V et System Center Virtual M...Microsoft Technet France
 
L'infonuagique et les organismes publics
L'infonuagique et les organismes publicsL'infonuagique et les organismes publics
L'infonuagique et les organismes publicsTactika inc.
 
Sécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureSécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureNis
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Patrick Leclerc
 
Implentation d'une solution Cloud IAAS
Implentation d'une solution Cloud IAASImplentation d'une solution Cloud IAAS
Implentation d'une solution Cloud IAASmohamed hadrich
 
Bonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloudBonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloudNRC
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Microsoft Technet France
 
Projet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOSProjet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOSSébastien Kieger
 
Les Clouds: Buzzword ou révolution technologique
Les Clouds: Buzzword ou révolution technologiqueLes Clouds: Buzzword ou révolution technologique
Les Clouds: Buzzword ou révolution technologiqueFrederic Desprez
 
Le cloud en toute confiance
Le cloud en toute confianceLe cloud en toute confiance
Le cloud en toute confianceIkoula
 
Développez votre application Facebook avec Windows Azure
Développez votre application Facebook avec Windows AzureDéveloppez votre application Facebook avec Windows Azure
Développez votre application Facebook avec Windows AzureMicrosoft
 
Idm 28-administrator
Idm 28-administratorIdm 28-administrator
Idm 28-administratorinf_med13
 
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021Alphorm
 

Tendances (20)

Cloud Privé, Cloud Public, pourquoi choisir?
Cloud Privé, Cloud Public, pourquoi choisir?Cloud Privé, Cloud Public, pourquoi choisir?
Cloud Privé, Cloud Public, pourquoi choisir?
 
Cloud Computing: De la recherche dans les nuages ?
Cloud Computing: De la recherche dans les nuages ?Cloud Computing: De la recherche dans les nuages ?
Cloud Computing: De la recherche dans les nuages ?
 
55174240 rapport-cloud-computing
55174240 rapport-cloud-computing55174240 rapport-cloud-computing
55174240 rapport-cloud-computing
 
Valtech - Cloud computing - Infrastructure as a Service
Valtech - Cloud computing - Infrastructure as a ServiceValtech - Cloud computing - Infrastructure as a Service
Valtech - Cloud computing - Infrastructure as a Service
 
Architecture Réseau des clouds privés avec Hyper-V et System Center Virtual M...
Architecture Réseau des clouds privés avec Hyper-V et System Center Virtual M...Architecture Réseau des clouds privés avec Hyper-V et System Center Virtual M...
Architecture Réseau des clouds privés avec Hyper-V et System Center Virtual M...
 
L'infonuagique et les organismes publics
L'infonuagique et les organismes publicsL'infonuagique et les organismes publics
L'infonuagique et les organismes publics
 
Sécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureSécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans Azure
 
OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud ComputingOWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
 
Openstack proposition
Openstack propositionOpenstack proposition
Openstack proposition
 
Implentation d'une solution Cloud IAAS
Implentation d'une solution Cloud IAASImplentation d'une solution Cloud IAAS
Implentation d'une solution Cloud IAAS
 
Bonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloudBonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloud
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
 
Openstack framework Iaas
Openstack framework IaasOpenstack framework Iaas
Openstack framework Iaas
 
Projet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOSProjet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOS
 
Les Clouds: Buzzword ou révolution technologique
Les Clouds: Buzzword ou révolution technologiqueLes Clouds: Buzzword ou révolution technologique
Les Clouds: Buzzword ou révolution technologique
 
Le cloud en toute confiance
Le cloud en toute confianceLe cloud en toute confiance
Le cloud en toute confiance
 
Développez votre application Facebook avec Windows Azure
Développez votre application Facebook avec Windows AzureDéveloppez votre application Facebook avec Windows Azure
Développez votre application Facebook avec Windows Azure
 
Idm 28-administrator
Idm 28-administratorIdm 28-administrator
Idm 28-administrator
 
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
 

Similaire à Hébergement du protocole kerberos dans un cloud

Ei techno ei cloud livre-blanc-déc 2013
Ei techno ei cloud livre-blanc-déc 2013Ei techno ei cloud livre-blanc-déc 2013
Ei techno ei cloud livre-blanc-déc 2013Christophe Monnier
 
AGILLY - Introdution au Cloud Computing.pptx
AGILLY - Introdution au Cloud Computing.pptxAGILLY - Introdution au Cloud Computing.pptx
AGILLY - Introdution au Cloud Computing.pptxGerard Konan
 
Cloud computing cours in power point chap
Cloud computing cours in power point chapCloud computing cours in power point chap
Cloud computing cours in power point chapaichafarahsouelmi
 
Azure Services Platform
Azure Services PlatformAzure Services Platform
Azure Services PlatformGregory Renard
 
Microsoft Asure
Microsoft AsureMicrosoft Asure
Microsoft Asurefehmi arbi
 
Cours d'introduction au Cloud Computing
Cours d'introduction au Cloud ComputingCours d'introduction au Cloud Computing
Cours d'introduction au Cloud ComputingNicolas Hennion
 
Le cloud et la gestion des données
Le cloud et la gestion des donnéesLe cloud et la gestion des données
Le cloud et la gestion des donnéessmiste
 
Clusif cloud-2010-datacenter
Clusif cloud-2010-datacenterClusif cloud-2010-datacenter
Clusif cloud-2010-datacenterOxalide
 
Qu'est-ce que le cloud ?
Qu'est-ce que le cloud ?Qu'est-ce que le cloud ?
Qu'est-ce que le cloud ?Vincent Misson
 
Windows Azure : Modèle hybride et réversibilité
Windows Azure : Modèle hybride et réversibilitéWindows Azure : Modèle hybride et réversibilité
Windows Azure : Modèle hybride et réversibilitéMicrosoft Technet France
 
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...Microsoft
 
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...Club Cloud des Partenaires
 
Le cloud computing pour les experts comptables
Le cloud computing pour les experts comptablesLe cloud computing pour les experts comptables
Le cloud computing pour les experts comptablesMicrosoft Ideas
 
sécurité dans le cloud computing.pdf
sécurité dans le cloud computing.pdfsécurité dans le cloud computing.pdf
sécurité dans le cloud computing.pdfhasna920888
 

Similaire à Hébergement du protocole kerberos dans un cloud (20)

Ei techno ei cloud livre-blanc-déc 2013
Ei techno ei cloud livre-blanc-déc 2013Ei techno ei cloud livre-blanc-déc 2013
Ei techno ei cloud livre-blanc-déc 2013
 
AGILLY - Introdution au Cloud Computing.pptx
AGILLY - Introdution au Cloud Computing.pptxAGILLY - Introdution au Cloud Computing.pptx
AGILLY - Introdution au Cloud Computing.pptx
 
Eucalyptus
EucalyptusEucalyptus
Eucalyptus
 
Cloud computing cours in power point chap
Cloud computing cours in power point chapCloud computing cours in power point chap
Cloud computing cours in power point chap
 
ch1-cours2016.ppt
ch1-cours2016.pptch1-cours2016.ppt
ch1-cours2016.ppt
 
Azure Mesh Et Surface
Azure Mesh Et SurfaceAzure Mesh Et Surface
Azure Mesh Et Surface
 
Azure Services Platform
Azure Services PlatformAzure Services Platform
Azure Services Platform
 
Microsoft Asure
Microsoft AsureMicrosoft Asure
Microsoft Asure
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Cours d'introduction au Cloud Computing
Cours d'introduction au Cloud ComputingCours d'introduction au Cloud Computing
Cours d'introduction au Cloud Computing
 
Le cloud et la gestion des données
Le cloud et la gestion des donnéesLe cloud et la gestion des données
Le cloud et la gestion des données
 
Clusif cloud-2010-datacenter
Clusif cloud-2010-datacenterClusif cloud-2010-datacenter
Clusif cloud-2010-datacenter
 
Qu'est-ce que le cloud ?
Qu'est-ce que le cloud ?Qu'est-ce que le cloud ?
Qu'est-ce que le cloud ?
 
Windows Azure : Modèle hybride et réversibilité
Windows Azure : Modèle hybride et réversibilitéWindows Azure : Modèle hybride et réversibilité
Windows Azure : Modèle hybride et réversibilité
 
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
 
Cloud Computing
Cloud Computing Cloud Computing
Cloud Computing
 
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
2011.11.23 - Le Cloud, Réalités et Perspectives - 8ème Forum du Club Cloud de...
 
Le cloud Compting
Le cloud ComptingLe cloud Compting
Le cloud Compting
 
Le cloud computing pour les experts comptables
Le cloud computing pour les experts comptablesLe cloud computing pour les experts comptables
Le cloud computing pour les experts comptables
 
sécurité dans le cloud computing.pdf
sécurité dans le cloud computing.pdfsécurité dans le cloud computing.pdf
sécurité dans le cloud computing.pdf
 

Hébergement du protocole kerberos dans un cloud

  • 1. Mise en place d’un système d'authentification dans un Cloud Présenté par: NAHRI Mouad Encadré par: BELMEKKI El Mostafa
  • 2. TABLE DES MATIÈRES Mise en place du Cloud Dashboard Horizon Le module Keystone Fonctionnement du KEYSTONE Choix des protocoles d’authentification Fonctionnement de KERBEROS Enjeux et problèmes non résolus de Kerberos Calendrier du projet Vue d'ensemble Analyse des problèmes Objectif visé Cloud Computing Tendances du marché Diagramme du cycle de développement
  • 3. Vue d'ensemble Le Cloud Computing n’est finalement qu’une option d’externalisation supplémentaire. De ce fait, il induit de nombreuses questions quant à la sécurité et aux responsabilités. Avec, pour certains, la conviction que sa sécurité est impossible à garantir. La culture du risque va devoir se développer. Ce qui incarne La sécurité du Cloud comme un défi aux multiples facettes. Comment donc établir des bases fiables et des normes pour sécuriser leur infrastructure?
  • 4. Analyse des problèmes 01 Avoir une infrastructure Cloud modulaire et compatible avec du matériel standard disponible, déployer, de façon centralisée, tous les outils dont vous avez besoin, quand vous en avez besoin. 02 Fournir l’authentification du client, établir une sécurité aux données, la découverte des services et l’autorisation partagée par implémenter l’API d’identité d’Openstack. 03 Keystone est le composant responsable de l’authentification sur une plateforme OpenStack. Par défaut, l’authentification nécessite l’envoi d’un login et d’un mot de passe par un appel d’API. Les mots de passe sont généralement stockés en clair dans un fichier texte, souvent non chiffré : autant dire que ce n’est pas une méthode très sécurisée.
  • 5. Objectif visé Notre projet consiste à faire la mise en place d’une infrastructure Cloud, et d’analyser les mécanismes de sécurité de son système d’authentification, et de le renforcer par un protocol de sécurité d’authentification.
  • 6. Cloud Computing Dans le but de faciliter le déploiement, l’administration et l’utilisation des systèmes informatiques dans les grands centres de données ou entreprises, un nouveau concept, le cloud computing, a été développé. Trois types de services permettent de mettre en oeuvre la facilité d’accès et l’homogénéité de gestion des ressources apportées par ce concept: ce sont les services IaaS, PaaS, SaaS . Ces différents services du cloud computing visent à offrir respectivement à travers le réseau l’accès à des ressources physiques (stockage, systèmes d’exploitation) sous forme virtuelle, des environnements de développement pré configurés et adaptés au travail de test et d’exécution d’applications et enfin des applications prêtes à l’usage mises à la disposition des utilisateurs finaux.
  • 7. SaaS (Software as a Service) Le logiciel en tant que service ou software as a service (SaaS) est un modèle d'exploitation commerciale des logiciels dans lequel ceux-ci sont installés sur des serveurs distants plutôt que sur la machine de l'utilisateur. Les clients ne paient pas de licence d'utilisation pour une version, mais utilisent librement le service en ligne ou, plus généralement, payent un abonnement. CRM EMAIL PAYROLL ERP
  • 8. PaaS (Plateforme as a service) La Plateforme en tant que Service (PaaS) est un modèle de Cloud Computing, au même titre que les SaaS, les DaaS et les IaaS. Un fournisseur de services Cloud propose des outils hardware et logiciels en tant que service via internet, permettant à l’utilisateur de développer des applications. Le hardware et le software sont hébergés sur l’infrastructure du fournisseur. Ainsi, les utilisateurs n’ont pas besoin d’installer leur propre hardware et leurs logiciels en interne pour développer ou lancer de nouvelles applications. Microsoft Azure Google App Engine Salesforces PlatformAWS
  • 9. IaaS (Infrastructure as a service) L'Infrastructure as a Service (IaaS) est l'une des trois principales catégories de services de Cloud Computing. Comme tous les services de Cloud computing, on accède aux ressources informatiques dans un environnement virtualisé le "Cloud" à travers une connexion publique, généralement Internet. Dans le cas de l'IaaS, la ressource, le matériel informatique est virtualisée. Le service peut inclure des offres telles que l'espace serveur, des connections réseau, la bande passante, les adresses IP et les load balancers. Les ressources hardware physiques sont sous la responsabilité du fournisseurs de services Cloud, proviennent d'une multitude de serveurs et de réseaux généralement distribués à travers de nombreux data centers. Parallèlement, l'accès aux composants virtualisés est fournie à l'entreprise afin que celle-ci puisse construire ses propres plateformes IT.
  • 10. Tendances du marché Les services d'IaaS et de PaaS affichent des taux de croissance de 47 %. Les services SaaS d'entreprise sont en croissance de 31 %. Les services d'infrastructure de cloud privé hébergé affichent eux une croissance de 30 %. 2016 a été une année charnière assure Synergy Research Group sur le marché du cloud computing : les dépenses consacrées aux services cloud ont dépassé celles utilisées pour construire des clouds publics et privés. Et cette tendance se poursuit en 2017 : les marchés des services de cloud computing progressent trois fois plus vite que ceux du matériel et des logiciels d'infrastructure de cloud computing. T1 T2 T3 T4 0 % 20 % 40 % 60 % 80 % 100 % 2015 T1 2016 T2 T3 T4 0 % 20 % 40 % 60 % 80 % 100 % 2017 T1 T2 T3 T4 0 % 20 % 40 % 60 % 80 % 100 %
  • 11. Diagramme du cycle de développement Mise en situation et documentation Analyse de la problématique et étude générale des mécanismes de l’ensemble. Mise en place du Cloud la mise en place de l’infrastructure cloud par l’ensemble des modules OpenStack. Tests et livraison Avant de livrer le projet, nous passons par l’étape des tests. Implémentation du nouveau protocol le choix du protocol KERBEROS et l'implémentation de ce protocol dans le système d’authentification. 01 02 03 04
  • 12. Mise en place du Cloud OpenStack est un ensemble de logiciels open source permettant de déployer des infrastructures de cloud computing (infrastructure en tant que service). La technologie possède une architecture modulaire composée de plusieurs projets corrélés (Nova, Swift, Glance, Neutron...) qui permettent de contrôler les différentes ressources des machines virtuelles telles que la puissance de calcul, le stockage ou encore le réseau inhérents au centre de données sollicité.
  • 13. Horizon est l'implémentation canonique du tableau de bord OpenStack (dashboard), qui fournit une interface utilisateur Web aux services OpenStack, notamment Nova, Swift, Keystone, etc. Permettant le démarrage et gestion d’instances virtuelles, gestion de réseaux et sous réseaux, création de volume de stockage, orchestration… Dashboard Horizon
  • 14. Le module Keystone Le service d'identité d'OpenStack s'appelle Keystone. Il fournit un annuaire central contenant la liste des services et la liste des utilisateurs d'Openstack ainsi que leurs rôles et autorisations. Au sein d'Openstack tous les services et tous les utilisateurs utilisent Keystone afin de s'authentifier les uns avec les autres. Keystone peut s'interfacer avec d'autre service d'annuaire comme LDAP. Il supporte plusieurs formats d'authentification comme les mots de passe et autres.
  • 15. Fonctionnement du KEYSTONE Les trois principaux concepts de la gestion des utilisateurs sont les suivants : User, Tenants, Rôles. Le rôle définit les autorisations qu’un utilisateur peut effectuer dans un Tenant donné. Avec Keystone on peut associer plusieurs rôles à un utilisateur dans différents tenant, et un utilisateur peut avoir plusieurs rôles dans un même tenant. Chaque service possède sa propre politique de control d’accès (elle se trouve dans /etc/[Services CodeName]/policy.json), Elle permet de contrôler ce qu’un rôle peut effectuer sur un service donné.
  • 16. RADIUS est un moyen d'accéder au réseau. Vous donnez vos informations d'identification, et elles seront vérifiées avant que vous soyez autorisé à accéder au réseau. Kerberos vérifie vos informations d'identification et vous donne un «ticket» que vous pouvez utiliser pour prouver à d'autres systèmes / services que vous êtes vous. Le ticket expirera et ne contiendra pas vos informations d'identification. Vous devez être sur le réseau pour que cela fonctionne. Choix des protocoles d’authentification
  • 17. KERBEROS protocol Kerberos est un protocole d'authentification réseau qui repose sur un mécanisme de clés secrètes (chiffrement symétrique) et l'utilisation de tickets, et non de mots de passe en clair, évitant ainsi le risque d'interception frauduleuse des mots de passe des utilisateurs. Créé au Massachusetts Institute of Technology, il porte le nom grec de Cerbère, gardien des Enfers. Kerberos a d'abord été mis en œuvre sur des systèmes Unix.
  • 18. Fonctionnement de KERBEROS Kerberos est différent des autres méthodes d'authentification basées sur la combinaison nom d'utilisateur/mot de passe car, au lieu d'authentifier chaque utilisateur auprès de chaque service réseau, il utilise un cryptage symétrique et un tiers digne de confiance connu sous le nom de Centre de distribution de tickets (ou KDC de l'anglais Key Distribution Center) afin d'authentifier les utilisateurs auprès d'un ensemble de services réseau. Une fois l'authentification auprès du KDC effectuée, il renvoie à l'ordinateur de l'utilisateur un ticket spécifique à cette session de sorte que tout service kerberisé puisse rechercher le ticket sur l'ordinateur de l'utilisateur plutôt que de demander à l'utilisateur de s'authentifier à l'aide d'un mot de passe. Lorsqu'un utilisateur faisant partie d'un réseau kerberisé se connecte sur son poste de travail, son principal est envoyé au KDC dans une demande de ticket d'émission de ticket ou TGT (de l'anglais Ticket-granting Ticket) de la part du serveur d'authentification (ou AS de l'anglais Authentication Server). Cette demande peut être envoyée par le programme de connexion afin qu'elle soit transparente pour l'utilisateur ou elle peut être soumise par le programme kinit une fois l'utilisateur connecté. Le KDC vérifie la présence du principal dans sa base de données. Si le principal y figure, le KDC crée un TGT, le cryptés à l'aide de la clé de l'utilisateur, puis le renvoie à ce dernier. Le programme de connexion ou le programme kinit présent sur l'ordinateur client décrypte ensuite le TGT à l'aide de la clé de l'utilisateur (qu'il obtient à partir du mot de passe). La clé de l'utilisateur est utilisée seulement sur l'ordinateur client et n'est pas envoyée sur le réseau.
  • 19. Avertissement ! Le système Kerberos peut être compromis chaque fois qu'un utilisateur présent sur le réseau s'authentifie auprès d'un service non- kerberisé en envoyant un mot de passe en texte en clair. Telle est la raison pour laquelle l'utilisation d'un service non-kerberisé est fortement déconseillée. Parmi de ces services figurent Telnet et FTP. L'utilisation d'autres protocoles cryptés tels que les services sécurisés OpenSSH ou SSL est certes acceptable, mais n'est pas idéale.
  • 21. Enjeux et problèmes non résolus de Kerberos Le problème de vie de ticket est une question de choisir le compromis approprié entre la Sécurité et la commodité. Si la vie d'un ticket est longue, alors si un ticket et sa clé de session associée sont dérobés ou mal placés, ils peuvent être utilisés pendant une plus longue période. Une telle informations peuvent être dérobées si un utilisateur oublie de se déconnecter d'un poste de travail public. Alternativement, si un utilisateur a été authentifié sur un système qui permet des plusieurs utilisateurs, un autre utilisateur avec l'accès à enraciner pourrait pouvoir trouver les informations requises pour utiliser les tickets dérobés. Le problème avec donner à un ticket une vie courte, cependant, est que quand elle expire, l'utilisateur devra obtenir un neuf qui exige de l'utilisateur d'entrer le mot de passe de nouveau. Un problème non résolu est le problème de proxy. Comment un utilisateur authentifié peut-il permettre à un serveur pour saisir d'autres services réseau en son nom ? Un exemple où ce serait important est l'utilisation d'un service qui accédera aux fichiers protégés directement d'un serveur de fichiers. Est un autre exemple de ce problème ce que nous appelons expédition d'authentification. Si un utilisateur est enregistré dans un poste de travail et des logins à un serveur distant, il serait gentil si l'utilisateur avait accès aux mêmes services disponibles localement, tout en exécutant un programme sur le serveur distant. Ce qui fait ce difficile est que l'utilisateur ne pourrait pas faire confiance au serveur distant, ainsi l'expédition d'authentification n'est pas désirable dans des tous les cas. Nous n'avons pas actuellement une solution au problème.
  • 22. Calendrier des tâches Analyse de la problématique et étude générale des mécanismes de l’ensemble. La mise en place du Cloud par l’ensemble des modules d’OpenStack. Documentation sur les les différents enjeux de protocoles d’authentificatio n Radius vs Kerberos. Choix tombé sur le protocole Kerberos pour raison d’usage de tickets Granting. Lancement des tests et essai de trouver les failles dans les mécanismes de sécurité du Cloud Documentation et feedback Mise en place de l’infrastructure du Cloud Examination du choix entre Radius et Kerberos Implémentation du protocole Kerberos Test des performances Continuation des tests et renforcement de sécurité élaboration des mécanismes et résultats. 04 JUILLET 14 JUILLET 19 JUILLET 26 JUILLET 27 JUILLET AOÛT