Post on 08-Jun-2015
Cloud Computing
La face cachée du cloud est-elle fiable ?
Grégory OgonowskiTechnical Project Leader (Smals)
2
Services ICT partagés pour des institutions publiques
Développement applicatif
Infrastructures
Personnel spécialisé
ICT pour l’emploi, la santé & la famille
• Fournisseur ICT ‘in-house’• ASBL contrôlée par les institutions
membres• Focus sur la sécurité sociale &
les soins de santé• 1750 collaborateurs• 222 millions d’EUR CA (2012)
A propos de Smals
3
Sommaire
Introduction Technologies utilisées Sécurité Conclusion
4
Introduction
Hard-discount de l’IT• Accès immédiat• Libre-service• Choix de la quantité
d’articles• Paiement uniquement des
articles choisis• Provenance des articles
transparente pour l’utilisateur
5
Technologies utiliséesVirtualisation
Virtualisation• Scission plus forte entre le
matériel et les logiciels• Déplacement de l’OS d’un
serveur physique à l’autre sans interruption de service
• Meilleure disponibilité et scalabilité
6
Technologies utiliséesMutualisation des ressources
Mutualisation• Services de base
configurables• Pool de machines de
taille ajustable• Bonne tolérance aux
pannes Couche d’administration
Middleware
DB
7
Technologies utiliséesEquipements réseaux
Protection du trafic entrant et sortant (schémas simplifiés)
Web security Gateway
Internet
Router
Traffic shaper
Firewall
Load Balancer
Reverse proxy
IDS
WAF
IDS : Intrusion Detection SystemWAF : Web Application FirewallEDLP : Endpoint Data Loss Prevention
Proxy DLP
Workstation + EDLP
8
Technologies utiliséesGestion du stockage
Utilisation d’équipements adaptés Emploi de systèmes de fichiers distribués (GlusterFS, HDFS,
…)
SITE 2SITE 1
1
2
3
4
123
412
341
234
Data
SAN VS
9
Technologies utiliséesNoSQL
Key/Value COLUMN
DOCUMENT GRAPH
N1
N2
N3
N4N5
K
F1 : V
F2 : V, V, V
F3 : VF4 : V, V
F5 : VF6 : V
K1 C1 : V C2 : V C3 : VKey Value
10
Technologies UtiliséesNoSQL
11
Technologies utiliséesEt le reste…
Et bien plus encore : DAM Logging Archivage Backup DRP Honeypot Groupe Diesel + Batteries …
Nombreux domaines d’expertise requis
12
Technologies utiliséesD’immenses datacenter
13
SécuritéD’où peuvent venir les attaques
Internet
14
SécuritéD’où peuvent venir les attaques
Le Web est surveillé : Patriot Act FISA PRISM XKeyscore
15
SécuritéLes fournisseurs ne se valent pas tous
Le fournisseur vous protège des attaques extérieures : sécurité généralement bonne, mais à évaluer
De l’intérieur, c’est autre chose (ex : Dropbox) La documentation est-elle sérieuse ? Mauvais exemple :
cryptage md5 160 bits Oh Gosh !!! Chiffrement pas suffisant :
comment sont chiffrées les données comment sont générées les clés (PBKDF2) utilisation de padding évaluer les mécanismes de récupération de mots de passe …
ECB CBC
16
SécuritéChiffrer n’est pas un gage de sécurité
• L’administrateur d’une infrastructure IaaS peut parfois récupérer les clés de chiffrement
• Pour s’en prémunir partiellement, vérifier que l’amorce du système n’a pas été modifiée
17
SécuritéUne solution prometteuse
Chiffrement homomorphique (Prometteur, mais encore immature)
Soit : m = message clair c(m) = message chiffré
Chiffrement homomorphique si c(m1m2) = c(m1)c(m2) c(m1 + m2) = c(m1) + c(m2)
Possibilité d'effectuer des opérations sur des données chiffrées Les données manipulées dans le cloud restent chiffrées en
mémoire et ne sont accessibles que par l’utilisateur final (le fournisseur n’a accès à rien)
18
SécuritéThreshold encryption
X personnes ont une clé, il faut qu’un minimum d’entre eux soient présents pour déchiffrer le message
Ex : 4 utilisateurs, seuil de 3
Message :
Lepczé’fàlz qsojràé,&à Hello WorldSq6µ&fnjcT
19
SécuritéChiffrer les données avant de les envoyer
Solutions pour chiffrer les données avant de les envoyer dans le cloud
Ex : Boxcryptor Ciphercloud
20
Conclusion
Il est possible de trouver des solutions de grande qualité dans le cloud
Les grands acteurs du cloud ont une économie d’échelle impossible à atteindre pour des petites entreprises
Les services dans le cloud sont parfois interdépendants => se renseigner sur les dépendances
Les attaques peuvent venir de l’extérieur, mais aussi de l’intérieur
Evaluer les risques de son projet afin de déterminer le niveau de sécurité requis
21
Big Brother is watching you ;-)
22
Questions ?
?Grégory OgonowskiTechnical Project Leader (Smals)http://be.linkedin.com/in/gregoryogonowski