Post on 03-Apr-2015
Vers une sécurité de bout en bout pour le support des applications distribuées
Sandrine Duflos, Brigitte Kervella et Eric Horlait
prénom.nom@lip6.fr
2
Plan
ObjectifsContexteAffinage des politiquesArchitecture de sécuritéConclusion / perspectives
3
Objectifs
Nouvelles applicationsBesoins en sécuritéUtilisateurs non expertsArchitecture de sécuritéSupport des applications distribuées
4
Plan
ObjectifsContexteAffinage des politiquesArchitecture de sécuritéConclusion / perspectives
5
Contexte
Projet RTIPAConcept de politiques
Règle : SI conditions ALORS actions Réaction et réponse aux événements Spécification à un haut niveau
d’abstraction Hiérarchies de politiques
6
Plan
ObjectifsContexteAffinage des politiquesArchitecture de sécuritéConclusion / perspectives
7
Niveau intermédiaire
Niveau application
SLA
Demande dérivée du SLA
Vérification
Politique de niveau service
Niveau réseauconversion
Politique de niveau réseau
conversion
Politiques de niveau élément
8
Niveau intermédiaire
Niveau application
SLA
PROVIDE <configurationType> of <TransportService> for <applicationType> from|among <sourceUser|user1..*> to <DestinationUser1..* (optional) > with guarantee <qualityType> quality and <securityType> security
9
PIB de niveau intermédiaire
Base d’information de niveau intermédiaire
Niveau intermédiaire
Niveau application
SLA
Demande dérivée du SLA
Vérification
IF SourceUser|users = <SourceUser|user1..*>AND DestinationUser = <DestinationUser1..* > (optional) AND ApplicationType = <applicationType>THEN PROVIDE <configurationType> of <TransportService>for <applicationType>with guarantee <qualityType> qualityand <securityType> security
10
Base d’information de niveau intermédiaire
Niveau intermédiaire
Niveau application
SLA
Demande dérivée du SLA
Vérification
PIB de niveau intermédiaire Politique de niveau service
Niveau réseauconversion
Base d’information de niveau réseau
11
Base d’information de niveau intermédiaire
Niveau intermédiaire
Niveau application
SLA
Demande dérivée du SLA
Vérification
PIB de niveau intermédiaire Politique de niveau service
Niveau réseauconversion
Base d’information de niveau réseau
IF SourceIPaddress|UserIPaddresses = <SourceIPaddress|UserIPaddresses1..*>AND SourcePortNo|UserportNo = < SourcePortNo|UserportNo > AND DestinationIPAddress= < DestinationIPAddress1..(optional) > AND DestinationPortNo = < destinationPortNo (optional) >THEN CONNECT with <direction> and <connectionType> from|among <sourceIPAddress!..*> at <SourcePortNo|UserPortNo> to <destinationIPAddress!..*(optional)>at <destinationPortNo (optional)> with <PhBtype> and <Sec-prot> with <Algo> and <Mode>
12
Base d’information de niveau intermédiaire
Niveau intermédiaire
Niveau application
SLA
Demande dérivée du SLA
Vérification
PIB de niveau intermédiaire Politique de niveau service
Niveau réseauconversion
Base d’information de niveau réseauPolitique de niveau réseau
PIB de niveau réseau
conversion
13
Base d’information de niveau intermédiaire
Niveau intermédiaire
Niveau application
SLA
Demande dérivée du SLA
Vérification
PIB de niveau intermédiaire Politique de niveau service
Niveau réseauconversion
Base d’information de niveau réseauPolitique de niveau réseau
PIB de niveau réseau
conversion
IF SourceIPaddress|UserIPaddresses = < SourceIPaddress|UserIPaddresses1..*> AND SourcePortNo|UserportNo = < SourcePortNo|UserportNo > AND DestinationIPAddress= < DestinationIPAddress1..(optional) > AND DestinationPortNo = <destinationPortNo (optional)> THEN SET at <interface|Ipaddress> With <PhBtype> and <Sec-prot> with <Algo> and <Mode>
14
Base d’information de niveau intermédiaire
Niveau intermédiaire
Niveau application
SLA
Demande dérivée du SLA
Vérification
PIB de niveau intermédiaire Politique de niveau service
Niveau réseauconversion
Base d’information de niveau réseauPolitique de niveau réseau
PIB de niveau réseau
conversion
Politiques de niveau élément
15
Plan
Objectifs ContexteAffinage des politiquesArchitecture de sécuritéConclusion / perspectives
16PEP
PDP
Domaine
Domaine
Architecture liée aux politiquesArchitecture liée à la sécuritéapplication
intermédiaire
réseau
Flux
17PEP
PDP
Domaine
Domaine
Architecture liée aux politiquesArchitecture liée à la sécuritéapplication
intermédiaire
réseau
Rôle
Flux
UserA
uthe
ntif
icat
ion
IB
Contrôle d’Accès
IB
Délégation
18
Architecture liée aux politiquesArchitecture liée à la sécuritéapplication
intermédiaire
réseau
Rôle
Flux
User
PEP
PDP
Aut
hent
ific
atio
n
PIB
PIB
IB
SLA
Conversion
Conversion
Conversion
Politique de niveau service
Politique de niveau réseau
IB
PolitiqueDemande de niveau transport
IB
Domaine
Contrôle d’Accès
Délégation
Politique de niveau élément
ConversionEcoute
Distribution
Décision Sécurité des
CommunicationsCOPS
19
Architecture liée aux politiquesArchitecture liée à la sécuritéapplication
intermédiaire
réseau
PIB
PIB
IB
SLA
Politique de niveau élément
Conversion
Conversion
Conversion
Conversion
Politique de niveau service
Politique de niveau réseau
IB
PolitiqueDemande de niveau transport
Contrôle d’Accès
Sécurité des Communications
Délégation
Rôle
Non-Répudiation
Non-RépudiationA
uthe
ntif
icat
ion
Ecoute
IB
Flux PEP
User
COPS
Domaine
Distribution
Décision
PDP
20
Plan
ObjectifsContexteAffinage des politiquesArchitecture de sécuritéConclusion / perspectives
21
Conclusion / perspectives
Architecture pour la gestion de la sécurité par les politiques
Affinage correct des politiques ?Feedback ?Communications inter-domaines ?Utilisation des agents ?
22
Questions ?