ce que vous devriez savoir sur le cloud computing (owasp quebec)

47
The OWASP Foundation http://www.owasp.org Ce que vous devriez savoir sur le “Cloud computing” Yann Rivière Patrick Leclerc

Upload: patrick-leclerc

Post on 25-Jul-2015

43 views

Category:

Technology


3 download

TRANSCRIPT

Page 1: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

The OWASP Foundation http://www.owasp.org

Ce que vous devriez savoir sur le “Cloud computing”

Yann Rivière

Patrick Leclerc

Page 2: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

Yann Rivière

CISSP, CISM, CCSK, CRISC, ITILv3

@yannriviere

• 14 ans d’expérience

• 3 ans au Canada, le reste en France

• Défense, Télécom, Consultation

• Architecte en sécurité

• Directeur de la pratique architecture chez EGYDE Conseils

• Membre du conseil d’administration d’ISACA Québec

Page 3: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

Patrick Leclerc • 20 ans d’expérience en développement,

architecture logicielle et sécurité

• Architecte logiciel et sécurité applicative Directeur de la pratique sécurité applicative chez EGYDE Conseils

• Leader du chapitre OWASP Québec

• Chroniqueur occasionnel du magazine SÉCUS

Page 4: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

|4

Plan de la présentation

• Mise en contexte du Cloud Computing

• Modèles de service et de déploiement

• Responsabilités et enjeux de sécurité

• Sécurité applicative et Cloud

• Retours sur expérience

Page 5: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

|5

Mise en contexte du Cloud Computing

Page 6: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

6

Définition

Page 7: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

7

Le Cloud computing est un modèle de service permettant l’omniprésence et l’accès à la demande via le réseau d’un partage de ressources informatiques configurables (par exemple réseaux, serveurs, stockage, applications et services) de manière commode avec possibilité de mise à disposition et de restitution rapide dans un effort minimal de gestion ou d’interaction avec le fournisseur du service. NIST SP800-145 : The NIST Definition of Cloud Computing

Définition

Page 8: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

8

Origine du terme Cloud Computing • Cloud : Utilisé en science pour décrire agglomération

d’objets distant dont les détails intéressent peu dans un contexte donné

• Métaphore : Utilisé dans les diagrammes pour représenter les réseau téléphoniques et maintenant l’internet

Historique

Page 9: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

9

1950 : Partage des accès au mainframe • Time sharing et CPU

1970 : Concept de la machine virtuelle • Système IBM CP-40 : Premier OS a permettre la virtualisation 1990 : Les compagnies offrent des accès VPN (Virtual Private Network)

• vs connexion point à point 1999 : Salesforce.com

• Conceptualise la délivrance d’application d’entreprise via site Web 2004 : Amazon AWS • SQS : Simple Queue Service • 2006 : EC2 et S3 2008 : Google App Engine preview et Microsoft annonce Azure • 2010 : commercialisation Azure • 2011 : Google App Engine sort du mode preview

2014 : vous utilisez tous les jours le Cloud • Netflix • Dropbox • Gmail • Amazon • Etc…

Historique

Page 10: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

Service à la demande (As a Service)

Accès par le réseau et selon des mécanismes standards IP

• HTTP/s par exemple

Partagé en général

Extensible (scalable)

• Augmentation et diminution des capacités de calcul, stockage,

bande passante etc..

Service mesuré

• Contrôles, supervision et reporting des ressources utilisées

• Facturation

Caractéristiques essentielles du Cloud

Page 11: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

|11

Modèles de service et de déploiement

Page 12: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

3 différents modèles

IaaS (Infrastructure as a Service)

PaaS (Platform as a Service)

SaaS (Software as a Service)

Stockage

Calcul

Réseau

Développement Applications

Niveau d’abstraction

Les modèles services

Page 13: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

Organisation B

13

Organisation A

Cloud Public

Cloud Privé

Cloud Privé

Cloud Communautaire

Cloud Privé Cloud Public

Cloud Hybride

Les modèles de déploiement

Page 14: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

|14

Responsabilités et enjeux de sécurité

Page 15: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

15

Réseau

Stockage

Hyperviseur

Machine virtuelle

Application

Données

Réseau

Stockage

Hyperviseur

Machine virtuelle

Application

Données

Réseau

Stockage

Hyperviseur

Machine virtuelle

Application

Données

IaaS PaaS SaaS

Ligne des responsabilités La sécurité est de votre responsabilité

Les responsabilités de sécurité dans le Cloud

Page 16: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

16

10 Janvier 2014 : Dropbox, Plus de 175 millions d’utilisateurs • 2 jours de panne, erreur dans un script de maintenance https://tech.dropbox.com/2014/01/outage-post-mortem/

24 Janvier 2014 : Google • Gmail, Docs, Calendar et documents s’arretent pendant 30 mns • Erreur dans le un système interne qui génère des configuration pour les serveurs http://googleblog.blogspot.fr/2014/01/todays-outage-for-several-google.html

14 Mars 2014 : Dropbox disparait , prise 2 • Le service n’est plus fonctionnel pendant une heure • Aucun détail sur la cause de l’incident…. https://twitter.com/dropbox_support/status/444498998636728320

17 Mars : Google disparait, prise 2 • Talk, Hangouts, Voice et App Engine down pendant 3.5 heures • Maintenance qui a mal tournée, self Denial of Service http://static.googleusercontent.com/media/www.google.com/en/us/appsstatus/ir/foyrkcdqoojjapj.pdf

20 Avril 2014 : Les TV intelligents de Samsung ne fonctionnent plus • Toute les SmartTV Samsung présentaient des erreurs aux utilisateurs • Cause : incendie dans la salle serveur de Samsung http://www.pcworld.com/article/2146160/fire-at-samsung-facility-affects-website-media-portal.html

Quelques faits de 2014

Page 17: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

17

12 Juin 2014 : iCloud n’est plus accessible pendant quelques heures • Aucune explication de la part d’Apple

23 Juin 2014 : Microsoft Exchange et Lync ne sont plus fonctionnel pendant quelques heures • Logiciel de communication de la suite Office 365, Vidéoconférence, tchat • Courriels • Cause : problème de routage (Lync) et problème d’annuaire (Exchange) 24 Juin 2014 : Microsoft Exchange Online n’est plus fonctionnel pendant 9 heures • Problème de réseau…

30 Aout 2014 : Compte iCloud piratés et photos de célébrités diffusées • Pas de faille dans le service • Seulement des attaques ciblées (login, mot de passe et questions de sécurité)

Quelques faits de 2014

Page 18: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

18

SaaS

PaaS

IaaS

Internet

Humain

Hyperviseur

Interfaces, APIs Réseau virtuel, Mémoire, CPU Système d’exploitation

Outils d’administration

Moteur d’exécution

Application

Humain Poste de travail

Réseau

Console d’administration

Les points d’attaque du Cloud

Page 19: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

19

1. Vol de données

Cross-VM attacks (http://www.cs.unc.edu/~yinqian/papers/crossvm.pdf)

2. Perte de données

Effacement, destruction de données (Mat Honan, Sidekick)

3. Vol de comptes d’administration

Perte de confiance dans toute l’infrastructure

4. API non sécurisées

Authentification en clair, authentification faible

5. Déni de service

Pris dans les bouchons. Attendre et payer ou couper le service

6. Utilisateurs internes malintentionnés

Un espion chez votre fournisseur, un employé corrompu ?

7. Abus des services Cloud (fournisseurs…)

Puissance de calcul (cracking), Attaque DDoS

8. Insuffisance dans les vérifications préalables (due diligence)

Mentalité « Ruée vers l’or »

9. Vulnérabilités induites par le partage de ressources

Un seul composant piraté expose de multiples clients

Les menaces (« Notorious Nine », Threat Working Group de la CSA)

Page 20: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

20

Top 10 OWASP des risques du Cloud

Page 21: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

21

Les risques du Cloud

R1: Responsabilités et risques aux données

Les degrés de responsabilité et de contrôle sur les données varient en fonction du modèle de services Cloud utilisé. En fait, vous risquez de perdre le contrôle de vos données… • Peut-être devriez-vous vous assurer de pouvoir récupérer vos

données en cas de changement de fournisseur ou en cas de fermeture de votre fournisseur?

• Votre organisation (vos données) peut se retrouver captive de votre fournisseur

Page 22: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

22

Les risques du Cloud (suite)

R2: Authentification / Fédération des identités utilisateurs

• Quelle(s) identité(s) vos utilisateurs utiliseront-ils sur le Cloud?

• Comment s’authentifieront vos différentes clientèles? • Assurez-vous de garder le contrôle des identités de vos

utilisateurs tout au long de votre transition vers le Cloud. • Sinon ils auront à gérer plusieurs codes d’accès et vous

compliquerez significativement votre gestion des identités et des accès.

• Cela facilitera les éventuelles intégrations de données entre vos différents fournisseurs de Cloud

Page 23: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

23

Les risques du Cloud (suite)

R3: Conformité aux lois et contextes règlementaire

Ce qui est perçu comme sécuritaire dans un pays/région peut ne pas l’être dans un autre en raison des différentes lois et règlements applicables. • Où seront hébergées vos données?

R4: Continuité des affaires et robustesse

Lorsque vous déployez vos applications sur le Cloud, vous déléguez aussi la responsabilité de la continuité des vos activités à votre fournisseur de cloud. • Est-ce que celui-ci peut vous garantir un niveau de service

approprié en cas de catastrophe?

Page 24: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

24

Les risques du Cloud (suite)

R5: Confidentialité et l’usage des données privées

Au moment où un utilisateur utilise les réseaux sociaux débute la collecte des données sur l’individu. La plupart des réseaux sociaux offrent par défaut un usage peu restrictif de vos données personnelles (partage, data mining, collecte d’informations sur les comportements des utilisateurs, publicités ciblée, etc.) Vérifiez les clauses de confidentialités, d’usage secondaire des données et de la collecte d’informations sur les comportements des utilisateurs. • Quelles garanties le fournisseur peut démontrer qu’il respecte

l’usage prévu?

• Comment voir qui a accédé aux données?

Page 25: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

25

Les risques du Cloud (suite)

R6: Intégration des services et des données

Pour éviter l’interception et le vol des données en transit, la sécurisation des communications est indispensable: soit par le chiffrement du protocole de transport et/ou des messages sécurisés. • Étudiez toutes les protections offertes, notamment pour d’établir

des connexions avec des niveaux de sécurité plus élevés entre machines.

• Vos données secrètes doivent être chiffrées avant d’être déposées sur le Cloud. Il peut être même préférable de ne pas stocker inutilement de telles données sur le Cloud.

Page 26: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

26

Les risques du Cloud (suite)

R7: Multi-location et sécurité physique

Dans le Cloud les ressources et les services sont partagés entre plusieurs clients (CPU, mémoire, réseau, stockage, bases de données). Des contrôles doivent assurer que les locataires ne débordent pas accidentellement (ou délibérément) en dehors de leur zone de confinement. • Les mécanismes d’isolation des machines virtuelles et la

séparations des accès par adresses IP sont à la base de la sécurité sur le Cloud.

• Les applications ayant un profil de risque plus élevé ne devraient préférablement pas être déployées sur les mêmes instances que les applications ayant un niveau de sécurité plus faible.

Page 27: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

27

Les risques du Cloud (suite)

R8: Analyse des incidents

Dans le cas d'un incident de sécurité , les applications et services hébergés chez un fournisseur de cloud sont plus difficiles à analyser

• Les incidents de sécurité sont plus complexes à investiguer lorsque

la journalisation est distribuée sur plusieurs serveurs répartis dans des différents centres de données.

• La colocation de données (appartenant à plusieurs clients différents) résidant sur des mêmes disques physiques, peut engendrer certaines complications dans le cas d’une saisie d’enquête.

Page 28: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

28

Les risques du Cloud (suite) R9: Sécurité de l’infrastructure et des applications

L'infrastructure et les applications doivent être durcies, configurées et maintenues rigoureusement… en observant les meilleures pratiques de l'industrie. Même dans le Cloud, la segmentation des zones de sécurité et les architectures n-tiers sont des concepts à prendre en compte pour assurer la sécurité. • La séparation des tâches et des rôles d’administrations doivent

être dûment contrôlés. • Des audits de contrôles périodiques devraient être réalisés par

une firme indépendante. • Sécurisez rigoureusement les interfaces d’administration. • Les clefs d’accès aux données doivent être protégées et

changées sur une base régulière. • Évaluez les risques et prenez les mesures appropriées!

Page 29: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

29

Les risques du Cloud (suite)

R10: Exposition des environnements de développement

Dans la plupart des organisations les environnements de développement et de pré-production sont moins sécurisés que ceux de productions. • Si dans le Cloud ces environnements ne sont pas sécurisés

adéquatement, ils peuvent représenter de forts risques d’accès non-autorisés, de modifications et de vol d’informations.

Page 30: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

30

Les risques du Cloud (bonus!)

Optimisation des applications

Puisque vous payez à l’utilisation, une application non-optimisée occasionnera des coûts supplémentaires:

• Mémoire • CPU • Stockage • Communications

• Ne pas conserver ou faire transiter plus de données qu’il n’en faut

• Concevez donc vos systèmes comme si les ressources étaient

limitées!

Page 31: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

|31

Sécurité applicative et Cloud Computing

Page 32: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

32

Les risques de sécurité applicative sur le Cloud

• D’un point de vue applicatif, le Cloud n’est qu’une nouvelle façon de déployer les ressources informatiques.

• Contrairement à certaines perceptions, le Cloud n’opère aucune magie quant à la sécurité des applications: • une application non sécuritaire à l’interne le sera tout autant

dans le Cloud, sinon plus...

• Si la sécurité d’une application n’est pas déjà assurée à l’intérieur de votre organisation, elle ne pourra l’être davantage sur le Cloud.

Page 33: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

33

Les risques de sécurité applicative sur le Cloud

• Dans le Cloud vous devrez prendre en compte l’augmentation

de l’exposition de votre application, ou plutôt l’augmentation de la probabilité d’une attaque, et ce tant au niveau infrastructure qu’au niveau applicatif.

• Si vous migrez sur le Cloud une application autrefois conçu pour un usage interne, vous aurez certainement à composer avec une augmentation de la probabilité d’usages abusifs.

• Il est encore plus important dans un développement de solutions Cloud d’anticiper les menaces tôt dans le cycle de développement qu’il ne l’est pour un développement traditionnel.

Page 34: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

34

Top 10 (2013) des risques applicatifs

Page 35: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

|35

Retours d’expériences

Page 36: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

Retour d’expérience SaaS : Google Apps for Business

Outils Web de bureautique et de collaboration (payant)

• Gmail : Courriel Web

• Google Calendar : Agenda en ligne

• Google Docs : Documents, tableur, dessins et présentations

• Google Site : Site Intranet/Extranet par Google

• Google Video : Youtube Like pour entreprise

Vise une clientèle d’affaire et gouvernementale

Différent de ce que vous connaissez

36

Page 37: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

Mon expérience avec Google Apps

• Caractère d’urgence : choix financier

• Groupe de travail « Google Apps Security »

– 13 officiers de sécurité

– Centraliser les informations et animer le groupe

– Collaborer avec Google

• Démarche

– Parcourir et lister toutes les fonctionnalités des Apps

– Résultat : Matrice de 105 fonctionnalités

– Affectation d’une « cote de risque » à chaque fonctionnalité

• Stocké dans un document Google Apps (spreadsheet)

• Remonter les points aux équipes Google

– Tenter de faire corriger

37

Page 38: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

Certifications Google (2009) Google Apps est certifié SSAE 16 et ISAE 3402 et FISMA

• Statement on Standards for Attestation Engagements 16

• International Standard on Assurance Engagements (ISAE) 3402

• Federal Information Security Management Act (2002)

Assurance raisonnable qu’il y a des contrôles dans l’organisation

• Sécurité logique

• Protection des renseignements personnels

• Sécurité physique des centre de données

• Redondance et incidents sont gérés

• Gestion du changement (code review and testing before production release)

• Organisationnel : mécanismes de communication dans l’organisation

Le rapport inclus

• Description des contrôles de l’organisation

• Les tests détaillés des contrôles sur une période de 6 mois

• 1 fois par année

• Première Suite de Cloud Computing a être approuvée pour une utilisation gouvernementale US

– Pourquoi ? : Gmail and Google Agenda sont ségrégués dans des centres de données aux USA (ne quittent pas le territoire) 38

Page 39: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

Quelques remarques sur la sécurité en de la solution (2009)

• Authentification

– Seulement login + Mot de passe ?

• Protection des données

– Mode hors ligne (Google Gear) ?

• APIs Google

– Contournement de l’authentification déportée?

• Console d’administration

– Disponible mondialement ?

• Utilisateur

– Je suis un utilisateur tout puissant !

• Portabilité

• Export et téléchargement des données

39

Page 40: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

Choses à savoir… Une image insérée dans un document Google est publique

• https://docs.google.com/document/d/17JwEGk76jKLv1fOd17yB5VvykiyplI0lHpBsnSEk-Qk/edit

• Preuves : http://bit.ly/YqPelu , http://bit.ly/RzK0BB

40

Page 41: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

Choses à savoir… • Sécurité des tableurs par colonne :

– peut être outrepassée

• Utilisateur en lecture seule

– Pouvoir d’écraser le document

• Supprimer un utilisateur : Supprimer tout ses documents

– Pas de retour arrière

• Visualisation des données partagées:

– N’existe pas

– Outils tiers/API

41

Page 42: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

|42

Références

• OWASP Cloud Top 10 Security Risks

• https://www.owasp.org/index.php/Category:OWASP_Cloud_%E2%80%90_10_Project

• Notorious Nine (TOP 9 des menaces) https://cloudsecurityalliance.org/research/top-threats

• NIST SP800-145 : http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf

• https://cloudsecurityalliance.org

Page 43: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

OWASP World

L’OWASP (www.owasp.org) est une organisation mondiale à but

non-lucratif (501c3)

Elle a pour mission de rendre la sécurité applicative visible afin de permettre au gens et organisations de prendre des décisions informées sur les vrais risques de sécurité

des applications.

Tout le matériel OWASP est

disponible gratuitement sous licence « open software ».

OWASP demeure neutre et

indépendante des fournisseurs de produits et de services

Page 44: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

44

Plusieurs ressources OWASP...

• Top 10 (2013) des risques de sécurité applicatives

• OWASP Secure Coding Practices

• OWASP Cheat sheets

• OWASP Code Review Guide

• OWASP Testing Guide

• OWASP ASVS 2.0 (Application Security Verification Standard)

• OWASP Zed Attack Proxy (ZAP)

• OWASP Webgoat et BWA (Broken Web Application)

• OWASP podcasts, vidéos, webinars, présentations, livres…

• Open SAMM

De tout pour tous les profils!

Page 45: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

45

Impliquez vous! Supportez-nous!

Bénéfices des membres OWASP: $50/an

• Rabais sur les conférences

• Une adresse de courriel: [email protected]

• Droit de vote dans les élections

• Reconnaissance sur le site de l’OWASP

• 40% du montant peut être versé au chapitre

• Pour nous commanditer, suivre le lien « donate » sur https://www.owasp.org/index.php/Quebec_City

Page 46: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

46

Supportez OWASP!

Devenir membre pour un don annuel de:

• Individuel $50

• Corporatif $5000

Permet à OWASP de supporter les initiatives:

projets, listes de distribution, conférences, podcasts, bourses et coordination des activités mondiales…

Page 47: Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

|47

Merci!