Vers une sécurité de bout en bout pour le support des applications distribuées

Sandrine Duflos, Brigitte Kervella et Eric Horlait

prénom.nom@lip6.fr

2

Plan

ObjectifsContexteAffinage des politiquesArchitecture de sécuritéConclusion / perspectives

3

Objectifs

Nouvelles applicationsBesoins en sécuritéUtilisateurs non expertsArchitecture de sécuritéSupport des applications distribuées

4

Plan

ObjectifsContexteAffinage des politiquesArchitecture de sécuritéConclusion / perspectives

5

Contexte

Projet RTIPAConcept de politiques

Règle : SI conditions ALORS actions Réaction et réponse aux événements Spécification à un haut niveau

d’abstraction Hiérarchies de politiques

6

Plan

ObjectifsContexteAffinage des politiquesArchitecture de sécuritéConclusion / perspectives

7

Niveau intermédiaire

Niveau application

SLA

Demande dérivée du SLA

Vérification

Politique de niveau service

Niveau réseauconversion

Politique de niveau réseau

conversion

Politiques de niveau élément

8

Niveau intermédiaire

Niveau application

SLA

PROVIDE <configurationType> of <TransportService> for <applicationType> from|among <sourceUser|user1..*> to <DestinationUser1..* (optional) > with guarantee <qualityType> quality and <securityType> security

9

PIB de niveau intermédiaire

Base d’information de niveau intermédiaire

Niveau intermédiaire

Niveau application

SLA

Demande dérivée du SLA

Vérification

IF SourceUser|users = <SourceUser|user1..*>AND DestinationUser = <DestinationUser1..* > (optional) AND ApplicationType = <applicationType>THEN PROVIDE <configurationType> of <TransportService>for <applicationType>with guarantee <qualityType> qualityand <securityType> security

10

Base d’information de niveau intermédiaire

Niveau intermédiaire

Niveau application

SLA

Demande dérivée du SLA

Vérification

PIB de niveau intermédiaire Politique de niveau service

Niveau réseauconversion

Base d’information de niveau réseau

11

Base d’information de niveau intermédiaire

Niveau intermédiaire

Niveau application

SLA

Demande dérivée du SLA

Vérification

PIB de niveau intermédiaire Politique de niveau service

Niveau réseauconversion

Base d’information de niveau réseau

IF SourceIPaddress|UserIPaddresses = <SourceIPaddress|UserIPaddresses1..*>AND SourcePortNo|UserportNo = < SourcePortNo|UserportNo > AND DestinationIPAddress= < DestinationIPAddress1..(optional) > AND DestinationPortNo = < destinationPortNo (optional) >THEN CONNECT with <direction> and <connectionType> from|among <sourceIPAddress!..*> at <SourcePortNo|UserPortNo> to <destinationIPAddress!..*(optional)>at <destinationPortNo (optional)> with <PhBtype> and <Sec-prot> with <Algo> and <Mode>

12

Base d’information de niveau intermédiaire

Niveau intermédiaire

Niveau application

SLA

Demande dérivée du SLA

Vérification

PIB de niveau intermédiaire Politique de niveau service

Niveau réseauconversion

Base d’information de niveau réseauPolitique de niveau réseau

PIB de niveau réseau

conversion

13

Base d’information de niveau intermédiaire

Niveau intermédiaire

Niveau application

SLA

Demande dérivée du SLA

Vérification

PIB de niveau intermédiaire Politique de niveau service

Niveau réseauconversion

Base d’information de niveau réseauPolitique de niveau réseau

PIB de niveau réseau

conversion

IF SourceIPaddress|UserIPaddresses = < SourceIPaddress|UserIPaddresses1..*> AND SourcePortNo|UserportNo = < SourcePortNo|UserportNo > AND DestinationIPAddress= < DestinationIPAddress1..(optional) > AND DestinationPortNo = <destinationPortNo (optional)> THEN SET at <interface|Ipaddress> With <PhBtype> and <Sec-prot> with <Algo> and <Mode>

14

Base d’information de niveau intermédiaire

Niveau intermédiaire

Niveau application

SLA

Demande dérivée du SLA

Vérification

PIB de niveau intermédiaire Politique de niveau service

Niveau réseauconversion

Base d’information de niveau réseauPolitique de niveau réseau

PIB de niveau réseau

conversion

Politiques de niveau élément

15

Plan

Objectifs ContexteAffinage des politiquesArchitecture de sécuritéConclusion / perspectives

16PEP

PDP

Domaine

Domaine

Architecture liée aux politiquesArchitecture liée à la sécuritéapplication

intermédiaire

réseau

Flux

17PEP

PDP

Domaine

Domaine

Architecture liée aux politiquesArchitecture liée à la sécuritéapplication

intermédiaire

réseau

Rôle

Flux

UserA

uthe

ntif

icat

ion

IB

Contrôle d’Accès

IB

Délégation

18

Architecture liée aux politiquesArchitecture liée à la sécuritéapplication

intermédiaire

réseau

Rôle

Flux

User

PEP

PDP

Aut

hent

ific

atio

n

PIB

PIB

IB

SLA

Conversion

Conversion

Conversion

Politique de niveau service

Politique de niveau réseau

IB

PolitiqueDemande de niveau transport

IB

Domaine

Contrôle d’Accès

Délégation

Politique de niveau élément

ConversionEcoute

Distribution

Décision Sécurité des

CommunicationsCOPS

19

Architecture liée aux politiquesArchitecture liée à la sécuritéapplication

intermédiaire

réseau

PIB

PIB

IB

SLA

Politique de niveau élément

Conversion

Conversion

Conversion

Conversion

Politique de niveau service

Politique de niveau réseau

IB

PolitiqueDemande de niveau transport

Contrôle d’Accès

Sécurité des Communications

Délégation

Rôle

Non-Répudiation

Non-RépudiationA

uthe

ntif

icat

ion

Ecoute

IB

Flux PEP

User

COPS

Domaine

Distribution

Décision

PDP

20

Plan

ObjectifsContexteAffinage des politiquesArchitecture de sécuritéConclusion / perspectives

21

Conclusion / perspectives

Architecture pour la gestion de la sécurité par les politiques

Affinage correct des politiques ?Feedback ?Communications inter-domaines ?Utilisation des agents ?

22

Questions ?