Surveillance Amazon EC2 infrastructure (french)
-
Upload
sergio-loureiro -
Category
Technology
-
view
550 -
download
0
description
Transcript of Surveillance Amazon EC2 infrastructure (french)
Surveiller votre infrastructure EC2 en libre
Solutions Linux11 Mars 2011
Sergio Loureiro, [email protected]
Agenda
Infrastructure as a Service et Amazon EC2
Problèmes de surveillance et sécurité nouveaux
Solutions opensource
Future work et conclusions
2
3
Avantages IaaS
Investissement initial réduit
Programmable (APIs)
Pay per use
Auto Scaling
Lock-in réduit par rapport au SaaS et PaaS
Plus de contrôle (mais aussi cout) par rapport au SaaS et PaaS
4
Différences avec les infrastructures traditionnelles
Plus de dynamique et “sprawl” (IP dynamiques)
APIs
Security groups
Moins de fonctionnalités (outbound, règles de fw)
Moins de contrôle
5
La sécurité est le principal frein à lʼadoption du cloud
6
Les nouveaux défis de sécurité
Etat de lʼartCloud Security AllianceENISA
7
Problèmes nouveaux des infrastructures dynamiques
Les ressources et le périmètre de sécurité sont dynamiques
Les ressources sont interconnectés entre eux et avec lʼextérieur
Pour les utilisateurs et opérateurs dʼinfrastructure cloud
comment voir, contrôler et agir à distance et à tout instant ?
8
Solutions
Gestion dʼimages “gold”
Automatisation du déploiement (puppet, chef)• Pas de configuration manuelle• Fenêtre de vulnérabilité réduites
Automatisation de la surveillance (nagios)• Augmentation de la visibilité• Construction de logs
9
Automatisation de la surveillance
Lʼauto détection de nouvelles machines• Visibilité totale, en temps réel
Lʼauto déploiement des checks • Pas de configuration manuelle• Fenêtre de vulnérabilité réduites
Surveillance en continu• Checks et alertes (Nagios) • Dashboards, rapports et logs 10
Détection de nouvelles machines et services
Polling des APIs EC2 et analyse des modifications• Instances EC2• Security groups (règles de firewall)
Update de la configuration Nagios• Hosts et host checks• Services et service checks
Base de données ndoutils• Compatibilité• Communication par NSCA
11
Elastic Detector : screenshots 1/3
Elastic Detector : screenshots 2/3
Elastic Detector : screenshots 3/3
Surveillance des services Amazon EC2Régions et “availability zones”
Cloudwatch (API monitoring CPU, réseau, disque)
APIs (temps de réponse et disponibilité)
Security groups (modifications)
SNMP (roadmap)
15
Axes Sécurité
Identity and access management (modifications)
Snapshots (DLP)
Surveillance en continu• Vulnérabilités et patchs• Analyse des modifications
APIs• Sécurité des APIs et gestion des clés
16
Cloud stacks
17
http://open.eucalyptus.com/
http://www.openstack.org/
http://cloudfoundry.org/
http://www.redhat.com/solutions/cloud/cloudforms/
Ressources
https://cloudsecurityalliance.org/guidance/
http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment
http://nagios.org
http://www.puppetlabs.com/
http://www.opscode.com/chef/
http://aws.amazon.com/resources/18
Conclusion
19
Problèmes très vastes
Automatisation est nécessaire
Solution complémentaire aux consoles de gestion
Compatible et basé sur Nagios
Merci
PRODUCT > https://elastic-detector.secludit.com/ENTREPRISE > secludit.comBLOG > elastic-security.comOPENSOURCE > cloudyscripts.comTWITTER > @elasticsecurity
20