Les risques des médias sociaux pour les organisations
En route vers le cloud privé CQSI2012 v1.0
1. En route vers le nuage privé,
la sécurité et la virtualisation
tous azimuts de vos
infrastructures
v1.0
Tactika inc.
clement.gagnon@tactika.com
www.tactika.com
@tactika
http://ca.linkedin.com/in/tactika
2. Contenu de la conférence
Contexte
Définitions
Sécurité et virtualisation
Risques et Facteurs de risque
Éléments de virtualisation
Sécurité réseau, BIV, réseau plat, nuage privé et
hybride
Recommandations de sécurité
La mention d’un produit ou d’un fournisseur ou fabriquant dans ce document et
présentation ne doivent pas être interprétés comme étant une recommandation
ou une promotion.
version 1.0 En route vers le nuage privé ... 2
3. Contexte
La virtualisation
Partie intégrante du paysage des infrastructures TI
Une « brique » fondatrice de l’infonuagique
L’impact de la virtualisation est majeur
Gouvernance, architecture, sécurité, gestion et
opération, etc.
Elle impose une remise en question des
méthodes usuelles d’aborder la sécurité de
l’information
version 1.0 En route vers le nuage privé ... 3
4. La virtualisation et la sécurité
La virtualisation présente de nombreux avantages
Flexibilité
Agilité
Optimisation des ressources matérielles
Mais ...
Détériore-t-elle la sécurité ?
Si mal maîtrisée : oui
Portée et impacts architecturaux : très large
Demande la maitrise de nombreux concepts et des compétences
diverses et étendues
L'ajout d'une couche d’infrastructure augmente la surface d’attaque
Améliore-t-elle la sécurité ?
Pour la disponibilité : sans aucun doute, oui !
version 1.0 En route vers le nuage privé ... 4
5. Les principaux types de
virtualisation
Plate-forme
Virtualisation d’une plate-forme matérielle
Ex. Processeur Intel
Type 1 Hyperviseur natif / baremetal, ex. : VMWare ESXi, Microsoft
Hyper-V
Type 2 Hyperviseur invité, ex. : VMWare WorkStation
Système d’exploitation
Virtualisation de ressources dans un système d’exploitation
Ex : IBM VM/370 @ z/VM
Réseau
Virtualisation d’un composant réseau « réel » (commutateur, routeur, coupe-
feu, etc.) sous la forme d’un « objet » virtuel
Ex. : Cisco Firewall Services Module (FWSM) dans les commutateurs 6500
Image virtuelle d’un appareil dédié / appliance (vmware, hyper-V, etc.)
SAN
Consolidation de multiples SAN réels sous la forme d’un seul SAN virtuel
Ex. : HP, IBM, etc.
version 1.0 En route vers le nuage privé ... 5
6. Nombreux usages de la virtualisation
version 1.0 En route vers le nuage privé ... 6
7. Composants de la virtualisation
de plate-forme
Hôte
VLANs
Hyperviseur Hyperviseur
Gestion distribuée de la plate-forme de virtualisation
Hôte
Hyperviseur
Machine virtuelle / VM, « Virtual Appliance », Applications
virtuelles, Bureau virtuel (Virtual Desktop Interface / VDI)
Réseau virtuel & Commutateur virtuel
Gestion distribuée de la plate-forme de virtualisation
version 1.0 En route vers le nuage privé ... 7
8. Évolution du centre de données : de
la virtualisation à l’infonuagique
Virtualisation Virtualisation Nuage privée Nuage hybride Nuage public
des serveurs distribuée
Nuage privé
Consolidation Flexibilité Libre-service Montée en Élimination du
Capex Agilité Normalisation charge Capex
Métrique Grande flexiblité
version 1.0 En route vers le nuage privé ... 8
9. Virtualisation et les nombreuses
facettes de la sécurité
La virtualisation a une incidence sur les niveaux :
stratégique, tactique et opérationnel
Les mesures de contrôle concernées :
Administratifs : politique, procédures et règles
Préventif : chiffrement, détection d’intrusion, contrôle
d’accès, gestion des vulnérabilités
Investigation : surveillance, analyse, corrélation et
gestion des incidents
Les dispositifs (moyens) doivent être adaptés à la
virtualisation
Ex. : antivirus et anti-logiciel espion
version 1.0 En route vers le nuage privé ... 9
10. Facteurs de risque
Criticité de l’infrastructure de virtualisation
Nombreuses fonctionnalités de la virtualisation
(complexité et interaction des fonctions)
Dans une plate-forme de virtualisation, les mesures de
contrôle sont ou deviendront de nature logicielle et
non pas physique
Partage d’une même infrastructure
Étendue des privilèges de l’administrateur de
l’infrastructure virtuelle
Opacité des échanges entre les VM dans
l’infrastructure virtuelle
version 1.0 En route vers le nuage privé ... 10
11. Les risques
Les vulnérabilités d’un environnement physique s’appliquent dans un
environnement virtuel
L’infrastructure de virtualisation ajoute une surface d'attaque
Une complexité accrue des systèmes et des réseaux virtualisés
Plus d'une fonction par boitier physique
La cohabitation de VM de différents niveaux de confiance
Séparation des tâches déficientes
Exploitation des vulnérabilités spécifiques aux machines virtuelles en
hibernation, aux images «patron» (template), aux instantanés (snapshots)
L'immaturité des solutions de sécurité, notamment de surveillance
Fuite d'informations entre les segments de réseau virtuel
Fuite d'informations entre les composants virtuels
Extrait PCI DSS Virtualization Guidelines, v. 2
version 1.0 En route vers le nuage privé ... 11
12. Éléments de virtualisation
Bloc Intégré de Virtualisation (BIV)
Assemblage normalisé et préconfiguré de composants pour des
services de virtualisation
Réseau plat (flat network)
Aplatissement du réseau local
Design réseau pour maximiser la performance et la flexibilité du
réseau local
Sécurité réseau et virtualisation
Localisation des mesures de contrôle de type réseau
Virtualisaton des contrôles d’accès réseau
Évolution vers les nuage de type privé, hybride et public
Modèle de l’infonuagique pour la prestation de service TI :
SaaS, PaaS et IaaS
version 1.0 En route vers le nuage privé ... 12
13. Bloc Intégré de Virtualisation (BVI)
Fabric-Based Infrastructure (FBI)
Réseautique
Gestion unifiée et intégrée
Hyperviseur/
Virtualisation
distribuée
Plate-forme /
Processeurs
Stockage
version 1.0 En route vers le nuage privé ... 13
14. Évolution : Infrastructure de nuage
privé et BIV
BIV BIV
version 1.0 En route vers le nuage privé ... 14
15. Réseau « plat »
(flat network)
Problème du réseau conventionnel
Demande croissante de débit
Limitation de certains protocoles de réseau local
« Surcharge » de traitement aux couches 2 et 3 du
modèle OSI (réseau local et IP)
Solution
« Aplatissement du réseau » dans l’hyperviseur
Axé sur la couche 2 du modèle OSI :VLAN
Mais … les composants « externes » ne peuvent
« voir » le trafic entre les VM : IDS/IPS, coupe-feu,
routeur
version 1.0 En route vers le nuage privé ... 15
16. Le réseau avant …
Noeud / core
Distribution
Accès
version 1.0 En route vers le nuage privé ... 16
17. Le réseau maintenant …
Noeud / core
BIV
version 1.0 En route vers le nuage privé ... 17
18. Réseau « plat »
dans l’infrastructure de virtualisation
VM VM VM VM
VM VM
VM VM
VM VM
VM VM
VM VM VM VM
VM VM VM VM
VM VM VM VM
VM VM VM VM
VLAN
version 1.0 En route vers le nuage privé ... 18
19. Sécurité réseau et virtualisation
Commutateur et services réseau
IDS/IPS
VM infectée
Hôte Coupe-feu
VM VM VM VM VM VM
VM VM VM VM VM VM
Externe VLAN Interne
Non sécurisé
version 1.0 En route vers le nuage privé ... 19
20. Contrôle d’accès réseau
fonction de coupe-feu / zonage
Modèle conventionnel
Zone
version 1.0 En route vers le nuage privé ... 20
21. Contrôle d’accès réseau
fonction de coupe-feu / zonage
La reproduction du zonage dans
Modèle virtuel un environnement virtuel se
Policy réalise à l’aide d’un réseau plat
vsg# show running- qui est segmenté avec des
config zone zone1 mécanismes virtuels de zonage
zone zone1
condition 1
net.ip-address
eq 1.1.1.1
condition 2
net.port eq 80
vsg# show running-
config rule r2
rule r2
condition 1 dst.net.ip-
address eq 2.2.2.2
condition 2 src.net.ip-
address eq 1.1.1.1
condition 3 src.net.port
eq 100 VLAN
condition 4 dst.net.port
eq 80
condition 5 net.protocol VM VM VM VM
eq 6
action 1 permit
version 1.0 En route vers le nuage privé ... 21
22. Nuage privé, hybride et public
Virtualisation Virtualisation Nuage privée Nuage hybride Nuage public
Nuage public des serveurs distribuée
Nuage privé
Nuage
privé • Consolidation
• Capex
• Flexibilité
• Agilité
• Libre-service
• Normalisation
• Montée en
charge
• Élimination du
Capex
• Métrique • Grande flexiblité
Organisation
Nuage privé
clement.gagnon@tactika.com
Nuage public
Nuage privé
version 1.0 En route vers le nuage privé ... 22
23. Opportunité(s) BIV
Relève
Organisation
Nuage privé
clement.gagnon@tactika.com
Nuage public
BIV
version 1.0 En route vers le nuage privé ... 23
24. Recommandations
Analyse de risque
Comprendre la technologie et son impact
Restreindre les accès
Particulièrement les accès physiques
Implanter la défense en profondeur
Prévention, détection et investigation
Isoler les fonctions de sécurité
Mécanismes de cloisonnement / isolation physique
Durcir TOUS les composants de l’infrastructure de virtualisation
Définir l’usage des outils de gestion
Implanter la séparation des tâches
Extrait PCI DSS Virtualization Guidelines, v. 2
version 1.0 En route vers le nuage privé ... 24
25. LA préoccupation de sécurité de
la virtualisation
Étendue des privilèges de l’administrateur de l’infrastructure virtuelle
Des pouvoirs importants sont entre les mains de l’administrateur
Réseau, serveurs, stockage
Les mesures de contrôles appropriées
Vérification des antécédents
Séparation des tâches
Réseau, serveurs, stockage
Limitation des habilitations au strict nécessaire
Journalisation des activités
Intégrité des journaux
Relève « humaine »
Audit
Formation
Corolaire : l’envergure et les moyens de l’organisation !
L’administrateur (un humain) est … le maillon faible de la sécurité de
l’infrastructure ...
version 1.0 En route vers le nuage privé ... 25
26. Quelques lectures
PCI DSS Virtualization Guidelines
https://www.pcisecuritystandards.org/documents
/Virtualization_InfoSupp_v2.pdf
Addressing the Most Common Security Risks
in Data Center Virtualization Projects
25 January 2010, Gartner / Analyst : Neil
MacDonald
version 1.0 En route vers le nuage privé ... 26
27. Questions ?
Merci de votre attention !
Tactika inc.
• clement.gagnon@tactika.com
• www.tactika.com
• @tactika
• http://ca.linkedin.com/in/tactika
version 1.0 En route vers le nuage privé ... 27