En route vers le nuage privé,la sécurité et la virtualisationtous azimuts de vosinfrastructuresv1.0Tactika inc.  clement.g...
Contenu de la conférence   Contexte   Définitions   Sécurité et virtualisation   Risques et Facteurs de risque   Élém...
ContexteLa virtualisation        Partie intégrante du paysage des infrastructures TI        Une « brique » fondatrice d...
La virtualisation et la sécurité La virtualisation présente de nombreux avantages        Flexibilité        Agilité    ...
Les principaux types de                   virtualisation Plate-forme    Virtualisation d’une plate-forme matérielle     ...
Nombreux usages de la virtualisationversion 1.0     En route vers le nuage privé ...   6
Composants de la virtualisation             de plate-formeHôte                                              VLANs         ...
Évolution du centre de données : de    la virtualisation à l’infonuagique Virtualisation    Virtualisation        Nuage pr...
Virtualisation et les nombreuses       facettes de la sécuritéLa virtualisation a une incidence sur les niveaux : stratég...
Facteurs de risque Criticité de l’infrastructure de virtualisation Nombreuses fonctionnalités de la virtualisation  (com...
Les risques Les vulnérabilités d’un environnement physique s’appliquent dans un  environnement virtuel L’infrastructure ...
Éléments de virtualisation Bloc Intégré de Virtualisation (BIV)        Assemblage normalisé et préconfiguré de composant...
Bloc Intégré de Virtualisation (BVI)                                             Fabric-Based Infrastructure (FBI)        ...
Évolution : Infrastructure de nuage                    privé et BIV              BIV                                      ...
Réseau « plat »                           (flat network)Problème du réseau conventionnel        Demande croissante de dé...
Le réseau avant …   Noeud / core   Distribution   Accèsversion 1.0         En route vers le nuage privé ...   16
Le réseau maintenant …   Noeud / core                                                          BIVversion 1.0            E...
Réseau « plat »dans l’infrastructure de virtualisation                                      VM            VM    VM    VM  ...
Sécurité réseau et virtualisation                                                               Commutateur et services ré...
Contrôle d’accès réseau     fonction de coupe-feu / zonageModèle conventionnel       Zone version 1.0           En route v...
Contrôle d’accès réseau              fonction de coupe-feu / zonage                                     La reproduction du...
Nuage privé, hybride et public                                                           Virtualisation    Virtualisation ...
Opportunité(s)                                                            BIV                                             ...
Recommandations Analyse de risque Comprendre la technologie et son impact Restreindre les accès        Particulièremen...
LA préoccupation de sécurité de          la virtualisation Étendue des privilèges de l’administrateur de l’infrastructure...
Quelques lectures PCI DSS Virtualization Guidelines        https://www.pcisecuritystandards.org/documents         /Virtu...
Questions ?                                 Merci de votre attention !    Tactika inc.    •         clement.gagnon@tactika...
Prochain SlideShare
Chargement dans…5
×

En route vers le cloud privé CQSI2012 v1.0

1 064 vues

Publié le

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 064
Sur SlideShare
0
Issues des intégrations
0
Intégrations
129
Actions
Partages
0
Téléchargements
27
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

En route vers le cloud privé CQSI2012 v1.0

  1. 1. En route vers le nuage privé,la sécurité et la virtualisationtous azimuts de vosinfrastructuresv1.0Tactika inc. clement.gagnon@tactika.com www.tactika.com @tactika http://ca.linkedin.com/in/tactika
  2. 2. Contenu de la conférence Contexte Définitions Sécurité et virtualisation Risques et Facteurs de risque Éléments de virtualisation Sécurité réseau, BIV, réseau plat, nuage privé et hybride Recommandations de sécurité La mention d’un produit ou d’un fournisseur ou fabriquant dans ce document et présentation ne doivent pas être interprétés comme étant une recommandation ou une promotion.version 1.0 En route vers le nuage privé ... 2
  3. 3. ContexteLa virtualisation  Partie intégrante du paysage des infrastructures TI  Une « brique » fondatrice de l’infonuagiqueL’impact de la virtualisation est majeur  Gouvernance, architecture, sécurité, gestion et opération, etc.Elle impose une remise en question des méthodes usuelles d’aborder la sécurité de l’informationversion 1.0 En route vers le nuage privé ... 3
  4. 4. La virtualisation et la sécurité La virtualisation présente de nombreux avantages  Flexibilité  Agilité  Optimisation des ressources matériellesMais ... Détériore-t-elle la sécurité ?  Si mal maîtrisée : oui  Portée et impacts architecturaux : très large  Demande la maitrise de nombreux concepts et des compétences diverses et étendues  Lajout dune couche d’infrastructure augmente la surface d’attaque Améliore-t-elle la sécurité ?  Pour la disponibilité : sans aucun doute, oui !version 1.0 En route vers le nuage privé ... 4
  5. 5. Les principaux types de virtualisation Plate-forme  Virtualisation d’une plate-forme matérielle  Ex. Processeur Intel  Type 1 Hyperviseur natif / baremetal, ex. : VMWare ESXi, Microsoft Hyper-V  Type 2 Hyperviseur invité, ex. : VMWare WorkStation Système d’exploitation  Virtualisation de ressources dans un système d’exploitation  Ex : IBM VM/370 @ z/VM Réseau  Virtualisation d’un composant réseau « réel » (commutateur, routeur, coupe- feu, etc.) sous la forme d’un « objet » virtuel  Ex. : Cisco Firewall Services Module (FWSM) dans les commutateurs 6500  Image virtuelle d’un appareil dédié / appliance (vmware, hyper-V, etc.) SAN  Consolidation de multiples SAN réels sous la forme d’un seul SAN virtuel  Ex. : HP, IBM, etc.version 1.0 En route vers le nuage privé ... 5
  6. 6. Nombreux usages de la virtualisationversion 1.0 En route vers le nuage privé ... 6
  7. 7. Composants de la virtualisation de plate-formeHôte VLANs Hyperviseur Hyperviseur Gestion distribuée de la plate-forme de virtualisation  Hôte  Hyperviseur  Machine virtuelle / VM, « Virtual Appliance », Applications virtuelles, Bureau virtuel (Virtual Desktop Interface / VDI)  Réseau virtuel & Commutateur virtuel  Gestion distribuée de la plate-forme de virtualisation version 1.0 En route vers le nuage privé ... 7
  8. 8. Évolution du centre de données : de la virtualisation à l’infonuagique Virtualisation Virtualisation Nuage privée Nuage hybride Nuage public des serveurs distribuée Nuage privé Consolidation  Flexibilité  Libre-service  Montée en  Élimination du Capex  Agilité  Normalisation charge Capex  Métrique  Grande flexiblitéversion 1.0 En route vers le nuage privé ... 8
  9. 9. Virtualisation et les nombreuses facettes de la sécuritéLa virtualisation a une incidence sur les niveaux : stratégique, tactique et opérationnelLes mesures de contrôle concernées :  Administratifs : politique, procédures et règles  Préventif : chiffrement, détection d’intrusion, contrôle d’accès, gestion des vulnérabilités  Investigation : surveillance, analyse, corrélation et gestion des incidentsLes dispositifs (moyens) doivent être adaptés à la virtualisation  Ex. : antivirus et anti-logiciel espionversion 1.0 En route vers le nuage privé ... 9
  10. 10. Facteurs de risque Criticité de l’infrastructure de virtualisation Nombreuses fonctionnalités de la virtualisation (complexité et interaction des fonctions) Dans une plate-forme de virtualisation, les mesures de contrôle sont ou deviendront de nature logicielle et non pas physique Partage d’une même infrastructure Étendue des privilèges de l’administrateur de l’infrastructure virtuelle Opacité des échanges entre les VM dans l’infrastructure virtuelleversion 1.0 En route vers le nuage privé ... 10
  11. 11. Les risques Les vulnérabilités d’un environnement physique s’appliquent dans un environnement virtuel L’infrastructure de virtualisation ajoute une surface dattaque Une complexité accrue des systèmes et des réseaux virtualisés Plus dune fonction par boitier physique La cohabitation de VM de différents niveaux de confiance Séparation des tâches déficientes Exploitation des vulnérabilités spécifiques aux machines virtuelles en hibernation, aux images «patron» (template), aux instantanés (snapshots) Limmaturité des solutions de sécurité, notamment de surveillance Fuite dinformations entre les segments de réseau virtuel Fuite dinformations entre les composants virtuels Extrait PCI DSS Virtualization Guidelines, v. 2version 1.0 En route vers le nuage privé ... 11
  12. 12. Éléments de virtualisation Bloc Intégré de Virtualisation (BIV)  Assemblage normalisé et préconfiguré de composants pour des services de virtualisation Réseau plat (flat network)  Aplatissement du réseau local  Design réseau pour maximiser la performance et la flexibilité du réseau local Sécurité réseau et virtualisation  Localisation des mesures de contrôle de type réseau Virtualisaton des contrôles d’accès réseau Évolution vers les nuage de type privé, hybride et public  Modèle de l’infonuagique pour la prestation de service TI : SaaS, PaaS et IaaSversion 1.0 En route vers le nuage privé ... 12
  13. 13. Bloc Intégré de Virtualisation (BVI) Fabric-Based Infrastructure (FBI) Réseautique Gestion unifiée et intégrée Hyperviseur/ Virtualisation distribuée Plate-forme / Processeurs Stockageversion 1.0 En route vers le nuage privé ... 13
  14. 14. Évolution : Infrastructure de nuage privé et BIV BIV BIVversion 1.0 En route vers le nuage privé ... 14
  15. 15. Réseau « plat » (flat network)Problème du réseau conventionnel  Demande croissante de débit  Limitation de certains protocoles de réseau local  « Surcharge » de traitement aux couches 2 et 3 du modèle OSI (réseau local et IP)Solution  « Aplatissement du réseau » dans l’hyperviseur  Axé sur la couche 2 du modèle OSI :VLAN  Mais … les composants « externes » ne peuvent « voir » le trafic entre les VM : IDS/IPS, coupe-feu, routeurversion 1.0 En route vers le nuage privé ... 15
  16. 16. Le réseau avant … Noeud / core Distribution Accèsversion 1.0 En route vers le nuage privé ... 16
  17. 17. Le réseau maintenant … Noeud / core BIVversion 1.0 En route vers le nuage privé ... 17
  18. 18. Réseau « plat »dans l’infrastructure de virtualisation VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VLANversion 1.0 En route vers le nuage privé ... 18
  19. 19. Sécurité réseau et virtualisation Commutateur et services réseau IDS/IPS VM infectée Hôte Coupe-feu VM VM VM VM VM VM VM VM VM VM VM VM Externe VLAN Interne Non sécuriséversion 1.0 En route vers le nuage privé ... 19
  20. 20. Contrôle d’accès réseau fonction de coupe-feu / zonageModèle conventionnel Zone version 1.0 En route vers le nuage privé ... 20
  21. 21. Contrôle d’accès réseau fonction de coupe-feu / zonage La reproduction du zonage dans Modèle virtuel un environnement virtuel se Policy réalise à l’aide d’un réseau plat vsg# show running- qui est segmenté avec des config zone zone1 mécanismes virtuels de zonage zone zone1 condition 1 net.ip-address eq 1.1.1.1 condition 2 net.port eq 80 vsg# show running- config rule r2 rule r2 condition 1 dst.net.ip- address eq 2.2.2.2 condition 2 src.net.ip- address eq 1.1.1.1 condition 3 src.net.port eq 100 VLAN condition 4 dst.net.port eq 80 condition 5 net.protocol VM VM VM VM eq 6 action 1 permitversion 1.0 En route vers le nuage privé ... 21
  22. 22. Nuage privé, hybride et public Virtualisation Virtualisation Nuage privée Nuage hybride Nuage public Nuage public des serveurs distribuée Nuage privé Nuage privé • Consolidation • Capex • Flexibilité • Agilité • Libre-service • Normalisation • Montée en charge • Élimination du Capex • Métrique • Grande flexiblité Organisation Nuage privé clement.gagnon@tactika.com Nuage public Nuage privéversion 1.0 En route vers le nuage privé ... 22
  23. 23. Opportunité(s) BIV Relève Organisation Nuage privé clement.gagnon@tactika.com Nuage public BIVversion 1.0 En route vers le nuage privé ... 23
  24. 24. Recommandations Analyse de risque Comprendre la technologie et son impact Restreindre les accès  Particulièrement les accès physiques Implanter la défense en profondeur  Prévention, détection et investigation Isoler les fonctions de sécurité  Mécanismes de cloisonnement / isolation physique Durcir TOUS les composants de l’infrastructure de virtualisation Définir l’usage des outils de gestion Implanter la séparation des tâches Extrait PCI DSS Virtualization Guidelines, v. 2version 1.0 En route vers le nuage privé ... 24
  25. 25. LA préoccupation de sécurité de la virtualisation Étendue des privilèges de l’administrateur de l’infrastructure virtuelle  Des pouvoirs importants sont entre les mains de l’administrateur  Réseau, serveurs, stockage  Les mesures de contrôles appropriées  Vérification des antécédents  Séparation des tâches  Réseau, serveurs, stockage  Limitation des habilitations au strict nécessaire  Journalisation des activités  Intégrité des journaux  Relève « humaine »  Audit  Formation  Corolaire : l’envergure et les moyens de l’organisation !  L’administrateur (un humain) est … le maillon faible de la sécurité de l’infrastructure ...version 1.0 En route vers le nuage privé ... 25
  26. 26. Quelques lectures PCI DSS Virtualization Guidelines  https://www.pcisecuritystandards.org/documents /Virtualization_InfoSupp_v2.pdfAddressing the Most Common Security Risks in Data Center Virtualization Projects  25 January 2010, Gartner / Analyst : Neil MacDonaldversion 1.0 En route vers le nuage privé ... 26
  27. 27. Questions ? Merci de votre attention ! Tactika inc. • clement.gagnon@tactika.com • www.tactika.com • @tactika • http://ca.linkedin.com/in/tactikaversion 1.0 En route vers le nuage privé ... 27

×