Sécurité dans le cloud

Systèmes réparties :
Cloud Computing
Etat de l’art de la sécurité dans le « Cloud
Computing »
Par M. EL ALLOUSSI

#INTIS #SECURITE #CLOUD
@halloussi
Check-in Fsq: FST MOHAMMEDIA

1

Sommaire
1. Introduction
2. Présentation du « Cloud Computing »
3. Les vulnérabilités dans la sécurité du
Cloud
4. Les risques classiques : application sur le
Cloud
5. Les différentes solutions
-2M. Hassan EL ALLOUSSI

Introduction : définition du Cloud
Computing


L’évolution vers le Cloud Computing

2000 : SOA

2010 : Cloud
Computing

1990 : Web

1980 : ClientServer

1970 :
Mainframe


Qu’est ce que le Cloud Computing?
« L’ensemble des disciplines, technologies et
modèles commerciaux utilisés pour délivrer des
capacités informatiques (logiciels, plateformes,
matériels) comme un service à la demande »

–5 caractéristiques
–3 modèles de service
–4 modèles de déploiement

Cloud Computing : 5 caractéristiques

1. Libre service à la demande
2. Accès réseau, clients variés
3. Mise en commun des ressources
(Pooling)
4. Élasticité rapide
5. Service mesuré et facturation à l’usage


Cloud Computing : 3 modèles de services

SaaS

Software as a
Service

PaaS

Platform as a
Service

IaaS

Infrastructure as a
Service

Cloud Computing : 4 modèles de déploiement
• Private Cloud :
– Une propriété (ou une location) de l’entreprise
– Interne ou externe

• Community Cloud :
– Infrastructure partagée pour une communauté spécifique,
– Interne ou externe

• Public Cloud :
– Infrastructure louée à n’importe quelle catégorie d’acheteur,
– Elle est la propriété du fournisseur

• Hybrid Cloud :
– La composition de deux ou plus formes de Clouds qui permettent la
portabilité des données et des applications
– On ne crée pas un hybrid Cloud juste en fédérant les identités

Introduction : Contexte


Introduction
• L’émergence récente du «Cloud Computing» ouvre de
nombreuses perspectives pour les entreprises afin de se
débarrasser d’un investissement financier colossal et une
gestion de parc fastidieuse.
• Ce nouveau modèle d’architecture et de programmation
largement répartie est basé sur l’idée d’externaliser le
système d’information à des tiers capables de fournir des
ressources et des services à la demande et sur mesure sur le
réseau internet.
• Les bénéfices escomptés sont nombreux:
– gestion flexible et dynamique de ressources,
– mise à disposition quasi-illimitée de ressources de calcul, réseau, ou
de stockage
- 10 M. Hassan EL ALLOUSSI

Sécurité : Système Traditionel vs
Cloud Computing

Securiser une maison
Propriétaire et
l'utilisateur sont
souvent de la même
entité

Sécuriser un motel
Le propriétaire et les
utilisateurs sont des entités
distinctes

Sécurité : Système Traditionel vs
Cloud Computing

Securiser une maison
Les plus grandes
préoccupations des
utilisateurs :
• Sécuriser du périmètre
• Vérifier des intrus
• Sécuriser les actifs

Sécuriser un motel
La plus grande préoccupation
de l’utilisateur :
• Sécuriser la pièce contre (le
méchant dans la salle
suivante | propriétaire du
motel)

Considérations générales sur la sécurité
Les préoccupations classiques du Cloud :
– Les données sont elles sûres dans le Cloud?
• Qui va avoir accès aux données?
• Aurai-je accès à mes données à n’importe quel moment?
• Qu’arrivera t’il si le contrat est arrêté?

– Conformité aux lois et aux règlementations?
• Où sont stockées mes données?
• Qui gère les notifications de brèches de données personnelles?
• Pendant combien de temps mes données sont stockées?
• Comment sont gérées des réquisitions éventuelles?


Contexte
• Problèmes :
– Peu de solutions qui existent aujourd’hui pour traiter
les problèmes générés par les menaces.
– Les mécanismes existants sont hétérogènes et
fragmentés, avec un manque de vision d’ensemble sur
leur orchestration et intégration avec des techniques
protection traditionnelles au sein d’une architecture de
sécurité globale.

• Contraintes :
– La forte dépendance des menaces en fonction du
modèle de service et de déploiement du « Cloud »,
– La réactivité nécessaire pour déployer les contremesures,

Les vulnérabilités dans la sécurité du Cloud


Deverons nous adopter le Cloud
Computing?

- 16 -

Source: The Chasm Group
M. Hassan EL ALLOUSSI

Quels sont les freins pour adopter le Cloud?

Security

88.5%

Performance

88.1%

Availability

84.8%

Hard to integrate with
in-house IT
Not enough ability to
customize

84.5%
83.3%

Worried cloud will
cost more
Bringing back in-house
may be difficult
Not enough major
suppliers yet
65%

81.1%
80.3%
74.6%
70%

75%

80%

85%

90%


La perte de maîtrise de gouvernance

Le client, contractant un service
Cloud Computing, donne une
partie de la gouvernance
infrastructure IT au fournisseur.
 Accord du niveau de service
(SLA) doit jouer un rôle crucial
pour défendre l’intérêt du client.

Isolement des environnements et des données
• Le partage des ressources est l'une des
caractéristiques les plus importantes du Cloud
Computing. Si la séparation des environnements
n'est pas assez efficace, alors «invasions» entre les
clients pourraient se produire.
• Dans le cas d'un environnement partagé entre
plusieurs "clients locataires", deux sortes
d’attaques sont plausibles :
– la première de type "Guest-hopping"
– la deuxième contre les hyperviseurs
directement

Risques de conformité

• En externalisant certains services et
processus de base, la conformité aux
lois sur la protection des données et
les normes réglementaires telles que
PCI DSS et ISO 27001 peut devenir
très compliqué.
 Les fournisseurs de services peuvent imposer
des restrictions sur la conduite d’un audit de
leurs infrastructures.

La publication des interfaces de gestion

• Les interfaces de gestion des services
contractés (par exemple dans un
modèle SaaS) sont publiées
directement sur le net.
 Cela augmente considérablement les
risques par rapport aux systèmes
traditionnels dans lesquels des interfaces
de gestion sont accessibles uniquement à
partir des réseaux internes.

La protection des données

• Pour le client de services Cloud
Computing, il est très difficile de sécuriser
les données qui se trouvent réparties dans
plusieurs emplacements.
• S'assurer que les données sont traitées
correctement est également compliqué
parce que le contrôle sur les transferts de
données est hors de la portée de son
propriétaire.

La suppression dangereuse ou incomplète des
données

• La réutilisation des ressources matérielles
est très commune dans le Cloud
Computing. Un nouveau client peut, par
exemple, être affecté d'une section de
stockage dans lequel, jusqu'à récemment,
les données d'un autre client ont eu lieu.
Cela peut entraîner à un risque de perte de
confidentialité, si les données précédentes
n’ont pas été supprimées complétement et
en toute sécurité.

Les utilisateurs malveillants

• Cloud Computing a besoin des profils
utilisateurs de haut niveau pour son
administration (Un administrateur système
aura des privilèges complets sur
différentes ressources de différents clients).
• Un utilisateur malveillant qui compromet
la sécurité du système avec succès et saisie
une session administrateur obtiendra
l'accès à de nombreuses informations
clientes.

Les risques classiques : application sur le
Cloud


Le hameçonnage

• Il est possible de tromper les
utilisateurs finaux par le détournement
de leurs informations d'identification
au Cloud
• Quelques solutions :
– Salesforce.com : Filtrage de la connexion
– Google Apps / Docs / Services : revérification des sessions connectées et de
mot de passes

Personnel du fournisseur Cloud avec un accès
privilégié

• Accès inapproprié aux données sensibles
des clients par le personnel du Cloud
• Recommandation :
– Modifier les pratiques et les normes de
sécurité du Fournisseur de Services Cloud
pour que son personnel avec un accès
privilégié ne puisse pas accéder aux données
des clients.
– Différencier entre le droit d’administration
du système et le droit d’accès aux données

L’origine des données
• A des fins de conformité, il peut être nécessaire
d'avoir des traçabilités précis quant à :
– Est ce que les données ont été placés dans le Cloud?
– Quand le stockage s'est produit?
– Sur quel type de la machines virtuelles et support de
stockage résidait-il, et où il s’est traité?

• Limites :
– Difficile de garder toute la traçabilité dans un Cloud
Public


La colocation

• Le cryptage des données
• Solutions d’étanchéité logiques

Les différentes solutions


Plateforme de confiance basée sur le TPM

• Puce développée par le Trusted Computing Group (Compaq, HP,
IBM, Intel, Microsoft, AMD, etc.) et visant à sécuriser les équipements
et communications informatiques.
• Le TPM (Trusted Platform Module) contient une clé privée
d’approbation qui identifie le module TPM (et donc l'hôte physique)
• Les plates-formes de confiance s’appuient sur les caractéristiques de
puces TPM afin de permettre une attestation à distance.

Plateforme de confiance basée sur le TPM
• Ce mécanisme fonctionne comme suit :
– Au démarrage l'hôte traite une liste de mesures (séquence de tables
de hachage stockée d’une façon sécurisée à l'intérieur du TPM de
l'hôte).
– Le connecté distant défit la plateforme qui fonctionne sur le
serveur avec un nonce nᵤ,
– La plate-forme demande au TPM local de créer un message
contenant à la fois la liste L et le nᵤ, crypté avec la clé privée de la
puce TPM et l’hôte envoie le message à la partie à distance qui
peut le décrypter en utilisant la clé publique correspondante, ce qui
permet l’authentification de l’hôte.
– En vérifiant que les nonces se correspondent et que la liste L
correspond à une configuration qu’il juge digne de confiance, le
client à distance peut identifier de manière fiable la plateforme.

Cryptage des données

• Particularité du cryptage pour les
données en transmission (mouvement)
– Assurer l’intégrité
– Assurer la confidentialité des données

• Limites :
– Impossibilité de crypter les données sur les
réseaux sociaux (Modèle de revenues)


Le HAIL : une solution RAID pour le Cloud

• Le client effectue un certain nombre de vérifications afin
d'évaluer l'intégrité de ses données stockés dans le système
Cloud.
• Si des corruptions ont été détectées sur certains serveurs,
alors les données peuvent être reconstitué à partir de la
redondance dans des serveurs intacts et les serveurs
connus défectueux remplacé.

Le HAIL : une solution RAID pour le Cloud
• Le client choisit un fichier aléatoire de blocs de position j et
récupère le bloc correspondant Fj de F de chaque serveur.
– Si tous les blocs retournés sont identiques  le client conclut que F
est intact dans cette position.
– Si des incohérences sont détectées  on reconstitue F et supprime /
remplace des serveurs défectueux.

• Le client peut augmenter sa probabilité de détecter de
corruptions par multiple échantillonnage du fichier.
• Limitation :
– Le client ne peut pratiquement inspecter qu’une partie des données.


Conclusion
• Les avantages générés par le Cloud Computing VS
Les risques.
– Les avantages  Opportunités pour les managers
– Les risques  Casse-tête pour les responsables de la
sécurité

• Le Cloud n'est pas une technologie nouvelle, mais
une nouvelle façon de faire les choses en matière
de technologie de l'information.
• Les spécialistes de la sécurité de l'information
doivent accompagner le développement du Cloud,
afin de permettre à ses usagers de bénéficier de
grands avantages que le Cloud offre.

@halloussi


Sécurité dans le cloud

Contenu connexe

Tendances

En vedette

Similaire à Sécurité dans le cloud

Plus de Hassan EL ALLOUSSI

Sécurité dans le cloud