Enjeux de sécurité relatifs au cloud
v.1
Novembre 2012
Tactika inc.
• www.tactika.com
• @tactika
• http://ca.linkedin.com/in/tactika
Contenu de la conférence
La mention d’un produit ou d’un fournisseur ou fabriquant dans ce document et présentation ne doivent pas être interprétés comme étant une recommandation ou une promotion.
Marché, définitions et concepts Évolution et implantation Infonuagique et sécurité Risques et Facteurs de risque Mesures de contrôle
2 Enjeux de sécurité relatifs au Cloud
Le Cloud est-il incontournable ?
• Le cloud computing / informatique en nuage / infonuagique / informatique nuagière est un concept qui a dépassé le stade du «buzz word» pour devenir une réalité tangible et incontournable .
• Les TI seront profondément transformées dans les années à venir … à vrai dire, c’est déjà commencé !
3 Enjeux de sécurité relatifs au Cloud
Constr
uit a
vec
htt
p:/
/ww
w.w
ord
le.n
et/
http://savedelete.com/6-key-cloud-computing-players-of-year-2010.html
clem
ent.
gagn
on
@ta
ctik
a.co
m
http://www.marketsandmarkets.com/Market-Reports/cloud-computing-234.html
Le marché
4 Enjeux de sécurité relatifs au Cloud
Qu’est-ce que le Cloud Computing ?
Le Cloud Computing est un modèle de prestation de services TI dématérialisée qui repose sur les technologies Internet et la virtualisation.
Libre-service et sur demande
Élastique, extensible (scalable)
Accessible par un réseau de type TCP/IP (i*net)
Partagé, multilocataire (multi-tenant)
Utilisation mesurée ( éventuellement facturée )
Niveau de service déterminé (entente de service / SLA )
Analogie entre les TI et l’électrification
Les services TI deviennent une commodité
5 Enjeux de sécurité relatifs au Cloud
Les bénéfices du Cloud
Coût
►CTP (coût total de possession / TCO) réputé moindre que le modèle traditionnel
Retour sur l’investissement / ROI rapide et tangible
► Coût facturé uniquement sur l’utilisation, demande peu d’effort de mise en œuvre
Agilité et gestion simplifiée
► Mise en service rapide, disponible immédiatement
Élasticité, extensibilité
► Gestion simplifiée de la capacité : automatisation des montées en charge et du délestage
6 Enjeux de sécurité relatifs au Cloud
Le modèle du Cloud vs le modèle traditionnel
Modèle traditionnel
Cloud
Organisation
Organisation Organisation
clem
ent.
gagn
on
@ta
ctik
a.co
m
Individu
7 Enjeux de sécurité relatifs au Cloud
Différence entre le Cloud et l’impartition
Fournisseur Client
Cloud
Partagé, multilocataire
Même entente de service
/SLA pour tous
Impartition
Non partagé, un locataire
Une entente de service / SLA spécifique
8 Enjeux de sécurité relatifs au Cloud
Abstraction
Modèles de prestation de services
IaaS Infrastructure as a Service
PaaS Platform as a Service
SaaS Software as a Service Service as a Service
Service de traitement (CPU), de stockage ou réseautique Ex. Système d’exploitation Windows Server 200X ou Linux, Espace de stockage
Service de plates-formes applicatives avec des fonctions programmables, paramétrables, configurables Ex. Sharepoint, Typo3
Service d’applications, Services horizontaux tel que la facturation , surveillance, sécurité, etc. Ex. CRM (software), anti-virus (service)
Infrastructure
IaaS
9 Enjeux de sécurité relatifs au Cloud
Plate - forme
Infrastructure
P aaS
Software
(Application)
Plate - forme
Infrastructure
SaaS
Évolution du modèle de prestation de services
• BPaas / Business Process as a Service
– BPaaS cible les processus métiers : paye, paiement en ligne, gestion financière
– Sous division de SaaS concerne les applications logicielles accessibles dans le nuage
• Personnal Cloud
– Ressources informatiques personnelles ou d’une PME accessible par Internet pour le partage de contenus (multimédia, document) avec diverses plates-formes (tablette, téléphone intelligent, ordinateur)
10 Enjeux de sécurité relatifs au Cloud
Cloud privé
Organisation
Cloud de
communauté
Organisation
clem
ent.
gagn
on
@ta
ctik
a.co
m
Cloud public
Cloud
privé
Cloud privé
Cloud public
Les modèles de déploiement
11 Enjeux de sécurité relatifs au Cloud
Les acteurs dans le modèle de prestation de services
Fournisseur
Client / utilisateur
Software(Application)
Plate-forme
Infrastructure
SaaS
Plate-forme
Infrastructure
PaaS
Objet du client
Infrastructure
IaaS
Objet du client
Client / opérateur
Opérateur
Interface
de gestion
clem
ent.
gagn
on
@ta
ctik
a.co
m
12 Enjeux de sécurité relatifs au Cloud
Vue fournisseur : partagé, multilocataire, virtualisation
Fournisseur
Opérateur
clem
ent.
gagn
on
@ta
ctik
a.co
m
13 Enjeux de sécurité relatifs au Cloud
«Chaîne» des tiers
Software (Application)
Plate-forme
Infrastructure
IaaS
Fournisseur
Client
Client
Fournisseur
SaaS
How Amazon Controls Ecommerce (Slides)
http://techcrunch.com/2011/05/11/how-amazon-controls-ecommerce-slides/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Techcrunch+%28TechCrunch%29
clem
ent.
gagn
on
@ta
ctik
a.co
m
14 Enjeux de sécurité relatifs au Cloud
Popularité des modèles de déploiement
15 Enjeux de sécurité relatifs au Cloud
Quel modèle de prestation de services ?
• Utilisation de l’infonuagique en 2012 selon Gartner
– Courriel électronique (50%), Stockage (45%), Copie de sécurité /data backup (37%),Hébergement web (34%)
http://www.itincanada.ca/component/kunena/50-it-bulletin-insights-for-smbs/3055-gartners-2012-cloud-predictions
• Selon KPMG
Tendance
16 Enjeux de sécurité relatifs au Cloud
Évolution du centre de données : de la virtualisation à l’infonuagique
Virtualisation des serveurs
Virtualisation distribuée
Nuage privée Nuage hybride Nuage public
Consolidation Capex
Flexibilité Agilité
Libre-service Normalisation Métrique
Montée en charge
Élimination du Capex Grande flexiblité
Nuage privé
17 Enjeux de sécurité relatifs au Cloud
Nuage privé, hybride et public
Nuage privé
Organisation
clem
ent.
gagn
on
@ta
ctik
a.co
m
Nuage privé
Nuage privé
Nuage public
Nuage public Virtualisationdes serveurs
Virtualisation distribuée
Nuage privée Nuage hybride Nuage public
• Consolidation• Capex
• Flexibilité• Agilité
• Libre-service• Normalisation• Métrique
• Montée en charge
• Élimination du Capex• Grande flexiblité
Nuage privé
18 Enjeux de sécurité relatifs au Cloud
Infonuagique et la sécurité
• Les trois principales préoccupations selon Gartner
– Sécurité, Protection de la vie privée, Souveraineté des données http://www.itincanada.ca/component/kunena/50-it-bulletin-insights-for-smbs/3055-gartners-2012-cloud-predictions
• Selon KPMG
19 Enjeux de sécurité relatifs au Cloud
La perception du risque et le Cloud
En affaires, le risque est perçu comme une opportunité ou comme un événement négatif. Les bénéfices du Cloud sont une opportunité. Une organisation peut démontrer un appétit et une tolérance aux risques dans sa recherche d’opportunités.
En sécurité de l’information, le risque est perçu comme une menace qui exploite une vulnérabilité. Les problèmes du Cloud :
Les risques d’un tiers peuvent devenir mes risques ... Si plusieurs tiers sont impliqués, les risques des tiers sont «chainés».
20 Enjeux de sécurité relatifs au Cloud
Gouvernance, risque
et conformité
Processus de gestion
Contrôle et opération
Facteurs de risque
• Selon son degré d’intégration dans les services TI, le Cloud peut devenir un facteur de risque
• Le degré d’intégration désigne l’envergure, l’étendue et la criticité du service Cloud.
Exemple :
Service de mesure de disponibilité de sites Web (intégration faible, impact léger)
Service Web en arrière-boutique (intégration élevée, impact important)
21 Enjeux de sécurité relatifs au Cloud
Impact(s)
Disponibilité
Intégrité
Confidentialité
clem
ent.
gagn
on
@ta
ctik
a.co
m
RISQUE
Vulnérabilité(s) Mesure(s) de contrôle
Modèle générique du risque
Menace(s)
Pro
bab
ilité
Surfaces d’attaque
22 Enjeux de sécurité relatifs au Cloud
Principaux risques selon ENISA
1. Perte de la gouvernance
2. Verrouillage/«Lock in» avec le fournisseur
3. Perte de l’isolation «virtuelle»
4. Problème de non-conformité
5. Perte de protection des données
6. Destruction non sécuritaire des données
7. Le fournisseur «à risque»
BENEFITS, RISKS AND RECOMMENDATIONS FOR INFORMATION SECURITY , European Network and Information Security Agency (ENISA) 2009
23 Enjeux de sécurité relatifs au Cloud
Principales menaces relatives au Cloud selon la Cloud Security Alliance
• Utilisation abusive ou malicieuse du Cloud
• Interfaces & API non sécuritaires
• Opérateurs malicieux
• Exploitations des vulnérabilités des plateformes partagées
• Fuite ou perte de données
• Hijacking d’un compte ou du service
• Exposition inconnue aux risques du fournisseur
Top Threats to Cloud Computing V1.0, Cloud Security Alliance, March 2010
24 Enjeux de sécurité relatifs au Cloud
Surfaces d’attaque
Point d’accès
SaaS : couche applicative / logiciel
PaaS : couche plate-forme applicative / logiciel
IaaS : couche système d’exploitation / logiciel
clem
ent.
gagn
on
@ta
ctik
a.co
m
Humain
Plate-forme matérielle / poste de travail
Lien de communication
Infrastructure de virtualisation et arrière-boutique
Humain
Plate-forme matérielle / poste de travail
Clients
Fournisseur
25 Enjeux de sécurité relatifs au Cloud
Aperçu des menaces
BOF, Injection SQL, Déni de service, Attaque brute
sur l’authentification
Changement non annoncé ou non planifié
Code malveillant, Attaque brute sur
l’authentification, Attaque sur l’hyperviseur,
Déni de service
clem
ent.
gagn
on
@ta
ctik
a.co
m
Humain : ingénierie sociale, malveillance
Client Web : Code malveillant, XSS
(cross site scripting), Phishing, DNS poisoning
Panne, désastre, Interception (MITM), déni de service
Panne, désastre,
injection de code, mauvaise paramétrisation
Humain : ingénierie sociale, malveillance
Client Web : Code malveillant,
XSS (cross site scripting), Phishing, DNS poisoning
26 Enjeux de sécurité relatifs au Cloud
Clients
Fournisseur
Principales vulnérabilités
Conformité
Aspects juridiques ►Multiples législations ► Géolocalisation des données
Maturité des acteurs
Gouvernance absente ou relâchée, état du SMSI
Entente de service/SLA Mal définie, incomplète
Votre infrastructure
Des composants et de la gestion de ces composants (bogue, mauvaise configuration, dysfonctionnement, etc.)
Infrastructure du tiers
Des composants et de la gestion de ces composants (bogue, mauvaise configuration, dysfonctionnement, etc.)
Format propriétaire et/ou lié à l’infrastructure du fournisseur (Verrouillage/lock-in)
Dysfonctionnement de la communication entre les SMSI (le votre et celui du tiers)
Gestion des changements, gestion des incidents
Maturité du tiers
Gouvernance, état de son SMSI, appétit aux risques (affaires, TCO)
27 Enjeux de sécurité relatifs au Cloud
Comment ces fonctions de sécurité sont-elles
mises en œuvre dans le cloud ?
Les fonctions «basiques» de sécurité et le cloud
28 Enjeux de sécurité relatifs au Cloud
Contrôle d’accès Authentification
Réseau
Détection des intrusions
Détection
Prévention
Réparation
Gestion des identités et
des habilitations
Gestion des vulnérabilités
Principales mesures de contrôle pour la sécurité de l’infrastructure
Contrôle d’accès authentification (forte), réseau
Détection des intrusions
Contrôle d’accès : authentification (forte) & réseau
Détection des intrusions, journalisation
clem
ent.
gagn
on
@ta
ctik
a.co
m
Chiffrement, lien sécurisé
Relève, redondance
Antivirus, anti-logiciel espion, correctif
Antivirus, anti-logiciel espion, correctifs
Contrôle d’accès physique de l’infrastructure
Contrôle d’accès authentification (forte), réseau
Signature et chiffrement
Contrôle des vulnérabilités : correctifs
Relève, redondance
Journalisation, antivirus, anti logiciel-espion, IDS/IPS
29 Enjeux de sécurité relatifs au Cloud
Clients
Fournisseur
Autres mesures de contrôle
• Définition dans l’entente de service/SLA des éléments de sécurité
– Acceptation implicite des risques !
• Sensibilisation et formation des utilisateurs
• Audit (vous et le fournisseur/tiers)
• Test d’intrusion (limité par le SLA et le modèle de prestation)
• Relève, redondance (vous versus le tiers)
• Surveillance (monitoring)
30 Enjeux de sécurité relatifs au Cloud
Impacts – Quelques cas réels Disponibilité
Avril 2011 / Panne majeure chez Amazon
Août 2011 / Panne mineure Amazon, plusieurs sites importants tels que Foursquare, Reddit, etc. subissent des pertes de disponibilité de plusieurs heures
http://www.pcworld.com/businesscenter/article/237588/amazon_web_services_reports_outage_in_the_us_late_monday.html
Juin 2012 / Deux pannes majeures avec les services EC2 causés par des pannes électriques dans un centre de données de Virginie : Netflix, Pintetrest, Instagram, Heroku sont affectés.
http://venturebeat.com/2012/06/29/amazon-outage-netflix-instagram-pinterest/
Confidentialité Mars 2011 / Lors d’une vérification, GoGrid découvre une intrusion dans sa base de données client (arrière- boutique,
carte de crédit). Elle avise les institutions financières et ses clients et elle offre un service de surveillance de crédit.
http://mikepuchol.com/2011/03/30/gogrid-security-breach-why-virtual-credit-cards-should-rule-the-web/
Juin 2012 / 6.5 millions de «hashings» de mot de passe di site Linkedin sont publiés http://thenextweb.com/socialmedia/2012/06/06/bad-day-for-linkedin-6-5-million-hashed-passwords-reportedly-leaked-change-yours-now/
Août 2012 / Une attaque d’ingénierie sociale ayant pour cible un employé de DropBox permet le vol d’une liste de nom de compte et de mot de passe
http://www.dailymail.co.uk/sciencetech/article-2182229/Dropbox-Storage-service-admits-security-breach-fears-grow-storing-information-online.html
Intégrité Février 2010 / 52 sites web du congrès étasunien ont subi une défiguration. Ils étaient hébergés dans le Cloud par un
contractant. http://www.theaeonsolution.com/security/?p=207
– Octobre 2012 / La banque NatWest suspend son application mobile Get Cash après une fraude de 1500$ contre un client
http://www.bbc.co.uk/news/business-19857243
31 Enjeux de sécurité relatifs au Cloud
Ce qui vient …
• La localisation des services est un enjeu qui est influencé par – L’infrastructure du fournisseur
– Les besoins du consommateur
– Les pressions budgétaires (réduire le CAPEX et OPEX)
– Exigences de conformité et juridiques
• Pour préserver la confidentialité et l’intégrité, la solution est le chiffrement dans le nuage – Complexité
– Expertise
– Intégration
– Fiabilité
– Récupération
32 Enjeux de sécurité relatifs au Cloud
Alice et Bob dans le nuage … Le chiffrement dans le nuage : Facile à dire … mais pas facile à
faire !
• Le chiffrement des échanges, pas de problème ! SSL/TLS, VPN
• Nombreux problèmes avec le traitement et le stockage des données
– Complexité :
• Quoi et comment «le» chiffrer
• Type de chiffrement : symétrique, asymétrique, etc.
• Choix et robustesse de l’algorithme et des clés
• Cycle de vie des clés : création, déploiement, modification, répudiation, conservation, destruction
– Implantation dans les services : Iaas, PaaS, SaaS
– Gestion des clés : Qui les détient et comment ?
– Performance !
33 Enjeux de sécurité relatifs au Cloud
Questions ?
Merci de votre attention ! Tactika inc.
• www.tactika.com
• @tactika
• http://ca.linkedin.com/in/tactika
34 Enjeux de sécurité relatifs au Cloud
Annexe Pense-bête pour contrôler
les risques du Cloud Appliquer les bonnes pratiques selon votre contexte !!!
Mettre à jour votre cadre de sécurité pour inclure le Cloud
Déterminer vos besoins
Déterminer un niveau de service
Analyser les aspects légaux ► PRP, localisation des données (autre pays ?) ► Cycle de vie des données ► Destruction des données
Catégoriser vos données, évaluer la criticité du service
Analyser les risques et déterminer le traitement de ceux qui sont non-acceptées !
Choisir le fournisseur ► comprendre l’entente de service/SLA, pérennité, état de son SMSI
Vérifier la stratégie de continuité/relève du fournisseur ( et la vôtre !) ► Tenir compte de la localisation du désastre …
Avez-vous une copie de vos données qui sont chez le fournisseur ?
Surveiller et journaliser ► Audit
Assurer la détection et le suivi des incidents de sécurité ► communication, collecte de preuve, enquête
Documenter l’architecture(s) ► Documenter … documenter … documenter
35 Enjeux de sécurité relatifs au Cloud
Annexe Comment implanter l’infonuagique
36 Enjeux de sécurité relatifs au Cloud
Évaluation des besoins
Étude d’opportunuité
Architecture de la solution du MO
Implantation
Intégration
Mode de
déploiement ?
Nuage privéNuage hybrideNuage public
IaaS PaaS SaaS
Analyse de risques
Évaluation des impacts
Évaluation de la maturité de
l’organisation
Acquisition
Stratégie d’implantation
Implantation
Exploitation
Opération
Processus de gestion
TI
Ententes
contractuelles
Analyse préliminaire
Mode de
Prestation de
service ?
Top Related