En route vers le cloud privé CQSI2012 v1.0
-
Upload
tactika-inc -
Category
Technology
-
view
529 -
download
0
Transcript of En route vers le cloud privé CQSI2012 v1.0
En route vers le nuage privé, la sécurité et la virtualisation tous azimuts de vos infrastructures v1.0 Tactika inc.
www.tactika.com
@tactika
http://ca.linkedin.com/in/tactika
Contenu de la conférence
La mention d’un produit ou d’un fournisseur ou fabriquant dans ce document et présentation ne doivent pas être interprétés comme étant une recommandation ou une promotion.
Contexte Définitions Sécurité et virtualisation Risques et Facteurs de risque Éléments de virtualisation Sécurité réseau, BIV, réseau plat, nuage privé et hybride
Recommandations de sécurité
version 1.0 En route vers le nuage privé ... 2
Contexte
La virtualisation Partie intégrante du paysage des infrastructures TI
Une « brique » fondatrice de l’infonuagique
L’impact de la virtualisation est majeur Gouvernance, architecture, sécurité, gestion et
opération, etc.
Elle impose une remise en question des méthodes usuelles d’aborder la sécurité de l’information
version 1.0 3 En route vers le nuage privé ...
La virtualisation et la sécurité
La virtualisation présente de nombreux avantages Flexibilité Agilité Optimisation des ressources matérielles
Mais ... Détériore-t-elle la sécurité ?
Si mal maîtrisée : oui Portée et impacts architecturaux : très large Demande la maitrise de nombreux concepts et des compétences
diverses et étendues L'ajout d'une couche d’infrastructure augmente la surface d’attaque
Améliore-t-elle la sécurité ? Pour la disponibilité : sans aucun doute, oui !
version 1.0 En route vers le nuage privé ... 4
Les principaux types de virtualisation
Plate-forme Virtualisation d’une plate-forme matérielle
Ex. Processeur Intel Type 1 Hyperviseur natif / baremetal, ex. : VMWare ESXi, Microsoft
Hyper-V Type 2 Hyperviseur invité, ex. : VMWare WorkStation
Système d’exploitation Virtualisation de ressources dans un système d’exploitation
Ex : IBM VM/370 @ z/VM Réseau
Virtualisation d’un composant réseau « réel » (commutateur, routeur, coupe-feu, etc.) sous la forme d’un « objet » virtuel Ex. : Cisco Firewall Services Module (FWSM) dans les commutateurs 6500 Image virtuelle d’un appareil dédié / appliance (vmware, hyper-V, etc.)
SAN Consolidation de multiples SAN réels sous la forme d’un seul SAN virtuel
Ex. : HP, IBM, etc.
version 1.0 5 En route vers le nuage privé ...
Nombreux usages de la virtualisation
version 1.0 6 En route vers le nuage privé ...
Hyperviseur
Composants de la virtualisation de plate-forme
Hôte Hyperviseur Machine virtuelle / VM, « Virtual Appliance », Applications
virtuelles, Bureau virtuel (Virtual Desktop Interface / VDI) Réseau virtuel & Commutateur virtuel Gestion distribuée de la plate-forme de virtualisation version 1.0 7 En route vers le nuage privé ...
Hôte
Hyperviseur
VLANs
Gestion distribuée de la plate-forme de virtualisation
Évolution du centre de données : de la virtualisation à l’infonuagique
Virtualisation des serveurs
Virtualisation distribuée
Nuage privée Nuage hybride Nuage public
Consolidation Capex
Flexibilité Agilité
Libre-service Normalisation Métrique
Montée en charge
Élimination du Capex Grande flexiblité
version 1.0 En route vers le nuage privé ... 8
Nuage privé
Virtualisation et les nombreuses facettes de la sécurité
La virtualisation a une incidence sur les niveaux : stratégique, tactique et opérationnel
Les mesures de contrôle concernées : Administratifs : politique, procédures et règles Préventif : chiffrement, détection d’intrusion, contrôle
d’accès, gestion des vulnérabilités Investigation : surveillance, analyse, corrélation et
gestion des incidents
Les dispositifs (moyens) doivent être adaptés à la virtualisation Ex. : antivirus et anti-logiciel espion
version 1.0 En route vers le nuage privé ... 9
Facteurs de risque
Criticité de l’infrastructure de virtualisation Nombreuses fonctionnalités de la virtualisation
(complexité et interaction des fonctions) Dans une plate-forme de virtualisation, les mesures de
contrôle sont ou deviendront de nature logicielle et non pas physique
Partage d’une même infrastructure Étendue des privilèges de l’administrateur de
l’infrastructure virtuelle Opacité des échanges entre les VM dans
l’infrastructure virtuelle
version 1.0 10 En route vers le nuage privé ...
Les risques
Les vulnérabilités d’un environnement physique s’appliquent dans un environnement virtuel
L’infrastructure de virtualisation ajoute une surface d'attaque
Une complexité accrue des systèmes et des réseaux virtualisés
Plus d'une fonction par boitier physique
La cohabitation de VM de différents niveaux de confiance
Séparation des tâches déficientes
Exploitation des vulnérabilités spécifiques aux machines virtuelles en hibernation, aux images «patron» (template), aux instantanés (snapshots)
L'immaturité des solutions de sécurité, notamment de surveillance
Fuite d'informations entre les segments de réseau virtuel
Fuite d'informations entre les composants virtuels
version 1.0 En route vers le nuage privé ... 11
Extrait PCI DSS Virtualization Guidelines, v. 2
Éléments de virtualisation
Bloc Intégré de Virtualisation (BIV) Assemblage normalisé et préconfiguré de composants pour des
services de virtualisation
Réseau plat (flat network) Aplatissement du réseau local Design réseau pour maximiser la performance et la flexibilité du
réseau local
Sécurité réseau et virtualisation Localisation des mesures de contrôle de type réseau
Virtualisaton des contrôles d’accès réseau Évolution vers les nuage de type privé, hybride et public
Modèle de l’infonuagique pour la prestation de service TI : SaaS, PaaS et IaaS
version 1.0 12 En route vers le nuage privé ...
Bloc Intégré de Virtualisation (BVI) Fabric-Based Infrastructure (FBI)
Stockage
Plate-forme /
Processeurs
Hyperviseur/
Virtualisation
distribuée
Réseautique
Ge
stio
n u
nifié
e e
t in
té
gré
e
version 1.0 13 En route vers le nuage privé ...
Évolution : Infrastructure de nuage privé et BIV
BIV BIV
version 1.0 14 En route vers le nuage privé ...
Réseau « plat » (flat network)
Problème du réseau conventionnel Demande croissante de débit Limitation de certains protocoles de réseau local « Surcharge » de traitement aux couches 2 et 3 du
modèle OSI (réseau local et IP)
Solution « Aplatissement du réseau » dans l’hyperviseur
Axé sur la couche 2 du modèle OSI :VLAN
Mais … les composants « externes » ne peuvent « voir » le trafic entre les VM : IDS/IPS, coupe-feu, routeur
version 1.0 15 En route vers le nuage privé ...
Accès
Noeud / core
Le réseau avant …
Distribution
version 1.0 16 En route vers le nuage privé ...
Le réseau maintenant …
Noeud / core
BIV
version 1.0 17 En route vers le nuage privé ...
VM VM VM VM
VM VM VM VM
VM VM VM VM
VM VM VM VM
Réseau « plat » dans l’infrastructure de virtualisation
VLAN
version 1.0 18 En route vers le nuage privé ...
VM VM VM VM
VM VM VM VM
VM VM VM VM
VM
Sécurité réseau et virtualisation
VM VM
VM VM
VM VM
VM VM
VM
VM
VLAN
Coupe-feu
VM
version 1.0 19 En route vers le nuage privé ...
IDS/IPS
Commutateur et services réseau
Non sécurisé Externe Interne
Hôte
VM infectée
Contrôle d’accès réseau fonction de coupe-feu / zonage
version 1.0 20 En route vers le nuage privé ...
Modèle conventionnel
Zone
Contrôle d’accès réseau fonction de coupe-feu / zonage
VM VM
Policy
vsg# show running-
config zone zone1
zone zone1
condition 1
net.ip-address
eq 1.1.1.1
condition 2
net.port eq 80
vsg# show running-
config rule r2
rule r2
condition 1 dst.net.ip-
address eq 2.2.2.2
condition 2 src.net.ip-
address eq 1.1.1.1
condition 3 src.net.port
eq 100
condition 4 dst.net.port
eq 80
condition 5 net.protocol
eq 6
action 1 permit
VLAN
La reproduction du zonage dans un environnement virtuel se réalise à l’aide d’un réseau plat qui est segmenté avec des mécanismes virtuels de zonage
VM
version 1.0 21 En route vers le nuage privé ...
VM
Modèle virtuel
Nuage privé, hybride et public
Nuage privé
Organisation
clem
ent.
gagn
on
@ta
ctik
a.co
m
Nuage privé
Nuage privé
Nuage public
Nuage public
version 1.0 22 En route vers le nuage privé ...
Virtualisationdes serveurs
Virtualisation distribuée
Nuage privée Nuage hybride Nuage public
• Consolidation• Capex
• Flexibilité• Agilité
• Libre-service• Normalisation• Métrique
• Montée en charge
• Élimination du Capex• Grande flexiblité
Nuage privé
Opportunité(s)
version 1.0 En route vers le nuage privé ... 23
Nuage privé
Organisation
clem
ent.
gagn
on
@ta
ctik
a.co
m
Nuage public
BIV
BIV
Relève
Recommandations
Analyse de risque
Comprendre la technologie et son impact
Restreindre les accès
Particulièrement les accès physiques
Implanter la défense en profondeur
Prévention, détection et investigation
Isoler les fonctions de sécurité
Mécanismes de cloisonnement / isolation physique
Durcir TOUS les composants de l’infrastructure de virtualisation
Définir l’usage des outils de gestion
Implanter la séparation des tâches
version 1.0 En route vers le nuage privé ... 24
Extrait PCI DSS Virtualization Guidelines, v. 2
LA préoccupation de sécurité de la virtualisation
Étendue des privilèges de l’administrateur de l’infrastructure virtuelle Des pouvoirs importants sont entre les mains de l’administrateur
Réseau, serveurs, stockage
Les mesures de contrôles appropriées Vérification des antécédents Séparation des tâches
Réseau, serveurs, stockage
Limitation des habilitations au strict nécessaire Journalisation des activités
Intégrité des journaux
Relève « humaine » Audit Formation
Corolaire : l’envergure et les moyens de l’organisation ! L’administrateur (un humain) est … le maillon faible de la sécurité de
l’infrastructure ...
version 1.0 25 En route vers le nuage privé ...
Quelques lectures
PCI DSS Virtualization Guidelines
https://www.pcisecuritystandards.org/documents/Virtualization_InfoSupp_v2.pdf
Addressing the Most Common Security Risks in Data Center Virtualization Projects
25 January 2010, Gartner / Analyst : Neil MacDonald
version 1.0 En route vers le nuage privé ... 26
Questions ?
Merci de votre attention !
version 1.0 En route vers le nuage privé ... 27
Tactika inc.
• www.tactika.com
• @tactika
• http://ca.linkedin.com/in/tactika