presentation café numérique par grégory ogonowski (smals)

Cloud Computing

La face cachée du cloud est-elle fiable ?

Grégory OgonowskiTechnical Project Leader (Smals)

2

Services ICT partagés pour des institutions publiques

Développement applicatif

Infrastructures

Personnel spécialisé

ICT pour l’emploi, la santé & la famille

• Fournisseur ICT ‘in-house’• ASBL contrôlée par les institutions

membres• Focus sur la sécurité sociale &

les soins de santé• 1750 collaborateurs• 222 millions d’EUR CA (2012)

A propos de Smals

3

Sommaire

Introduction Technologies utilisées Sécurité Conclusion

4

Introduction

Hard-discount de l’IT• Accès immédiat• Libre-service• Choix de la quantité

d’articles• Paiement uniquement des

articles choisis• Provenance des articles

transparente pour l’utilisateur

5

Technologies utiliséesVirtualisation

Virtualisation• Scission plus forte entre le

matériel et les logiciels• Déplacement de l’OS d’un

serveur physique à l’autre sans interruption de service

• Meilleure disponibilité et scalabilité

6

Technologies utiliséesMutualisation des ressources

Mutualisation• Services de base

configurables• Pool de machines de

taille ajustable• Bonne tolérance aux

pannes Couche d’administration

Middleware

DB

7

Technologies utiliséesEquipements réseaux

Protection du trafic entrant et sortant (schémas simplifiés)

Web security Gateway

Internet

Router

Traffic shaper

Firewall

Load Balancer

Reverse proxy

IDS

WAF

IDS : Intrusion Detection SystemWAF : Web Application FirewallEDLP : Endpoint Data Loss Prevention

Proxy DLP

Workstation + EDLP

8

Technologies utiliséesGestion du stockage

Utilisation d’équipements adaptés Emploi de systèmes de fichiers distribués (GlusterFS, HDFS,

…)

SITE 2SITE 1

1

2

3

4

123

412

341

234

Data

SAN VS

9

Technologies utiliséesNoSQL

Key/Value COLUMN

DOCUMENT GRAPH

N1

N2

N3

N4N5

K

F1 : V

F2 : V, V, V

F3 : VF4 : V, V

F5 : VF6 : V

K1 C1 : V C2 : V C3 : VKey Value

10

Technologies UtiliséesNoSQL

11

Technologies utiliséesEt le reste…

Et bien plus encore : DAM Logging Archivage Backup DRP Honeypot Groupe Diesel + Batteries …

Nombreux domaines d’expertise requis

12

Technologies utiliséesD’immenses datacenter

13

SécuritéD’où peuvent venir les attaques

Internet

14

SécuritéD’où peuvent venir les attaques

Le Web est surveillé : Patriot Act FISA PRISM XKeyscore

15

SécuritéLes fournisseurs ne se valent pas tous

Le fournisseur vous protège des attaques extérieures : sécurité généralement bonne, mais à évaluer

De l’intérieur, c’est autre chose (ex : Dropbox) La documentation est-elle sérieuse ? Mauvais exemple :

cryptage md5 160 bits Oh Gosh !!! Chiffrement pas suffisant :

comment sont chiffrées les données comment sont générées les clés (PBKDF2) utilisation de padding évaluer les mécanismes de récupération de mots de passe …

ECB CBC

16

SécuritéChiffrer n’est pas un gage de sécurité

• L’administrateur d’une infrastructure IaaS peut parfois récupérer les clés de chiffrement

• Pour s’en prémunir partiellement, vérifier que l’amorce du système n’a pas été modifiée

17

SécuritéUne solution prometteuse

Chiffrement homomorphique (Prometteur, mais encore immature)

Soit : m = message clair c(m) = message chiffré

Chiffrement homomorphique si c(m1m2) = c(m1)c(m2) c(m1 + m2) = c(m1) + c(m2)

Possibilité d'effectuer des opérations sur des données chiffrées Les données manipulées dans le cloud restent chiffrées en

mémoire et ne sont accessibles que par l’utilisateur final (le fournisseur n’a accès à rien)

18

SécuritéThreshold encryption

X personnes ont une clé, il faut qu’un minimum d’entre eux soient présents pour déchiffrer le message

Ex : 4 utilisateurs, seuil de 3

Message :

Lepczé’fàlz qsojràé,&à Hello WorldSq6µ&fnjcT

19

SécuritéChiffrer les données avant de les envoyer

Solutions pour chiffrer les données avant de les envoyer dans le cloud

Ex : Boxcryptor Ciphercloud

20

Conclusion

Il est possible de trouver des solutions de grande qualité dans le cloud

Les grands acteurs du cloud ont une économie d’échelle impossible à atteindre pour des petites entreprises

Les services dans le cloud sont parfois interdépendants => se renseigner sur les dépendances

Les attaques peuvent venir de l’extérieur, mais aussi de l’intérieur

Evaluer les risques de son projet afin de déterminer le niveau de sécurité requis

21

Big Brother is watching you ;-)

22

Questions ?

?Grégory OgonowskiTechnical Project Leader (Smals)http://be.linkedin.com/in/gregoryogonowski