cloudwatt - webinaire cloud computing et nouvelles menaces (2013)
DESCRIPTION
Les menaces informatiques ont évoluées. Les attaques de demain sont plus ciblées et moins connues. Pour les entreprises, le passage d'une sécurité statique à une sécurité dynamique est devenu indispensable. Quel rôle le Cloud Computing peut-il jouer sur cette évolution ? Et si une meilleure sécurité se construisait avec votre fournisseur de Cloud ?TRANSCRIPT
WEBINAR - CLOUD COMPUTING ET NOUVELLES MENACES INTRODUCTION À UNE SÉCURITÉ DYNAMIQUE
CÉDRIC PRÉVOST - 2013
Webinar Sécurité - 2013 – Déposé - Diffusion ou reproduction non autorisée sans autorisation
I. Les menaces numériques d’aujourd’hui et de demain
II. D’autres menaces (PRISM, XKeyScore…)
III. Cloud public et sécurité
IV. Les réponses apportées par l’infrastructure Cloud de Cloudwatt
V. Questions
Webinar Sécurité - 2013 – Déposé - Diffusion ou reproduction non autorisée sans autorisation
CLIQUER ET MODIFIER LE TITRE
LE MEILLEUR DES MONDES DIGITAUX
– Des Apps totalement sécurisées
– Des réseaux transparents
(pas de latence, pas de réduction de la bande passante)
– Des utilisateurs qui ne font
que ce qu’ils sont supposés faire
LA RÉALITÉ
– Peu d’Apps « secured by
design » – Tous les éléments de
software (& hardware) comportent des bugs
– Les utilisateurs pratiquent
le « shadow IT » (1,7 milliards d’euros ...)
SONGERIES D’UN DSI SOLITAIRE…
Webinar Sécurité - 2013 – Déposé - Diffusion ou reproduction non autorisée sans autorisation
LE BESOIN D’AUJOURD’HUI N’EST PAS CELUI DE
MAIS D’UNE AUTRE SÉCURITÉ
Webinar Sécurité - 2013 – Déposé - Diffusion ou reproduction non autorisée sans autorisation
LA SÉCURITÉ D’HIER : UNE DÉFENSE STATIQUE EN PROFONDEUR
Webinar Sécurité - 2013 – Déposé - Diffusion ou reproduction non autorisée sans autorisation
LES MENACES DE DEMAIN : DES ATTAQUES PLUS CIBLÉES ET MOINS CONNUES
§ Tous les éléments du système d’informa4on moderne sont vulnérables : Hardware – Réseau – OS – So>ware (Open Source, Propriétaire, custom-‐made)
§ Des failles méconnues peuvent meGre en péril un SI parfaitement sécurisé : 0-‐days, Backdoors
§ Les aGaques ciblées (APT…) rendent les défenses sta4ques inefficaces qui ne protègent que des schémas d’aGaques connus
Webinar Sécurité - 2013 – Déposé - Diffusion ou reproduction non autorisée sans autorisation
LES MENACES DE DEMAIN : L’UTILISATEUR CANDIDE
§ Le terminal de l’u4lisateur est souvent le point d’entrée le plus vulnérable : o Failles du navigateur o Plug-‐ins non maîtrisés ou obsolètes o Applica4ons défectueuses (en par4culier lorsque l’u4lisateur peut installer/exécuter n’importe quelle applica4on)
§ Les u4lisateurs échangent toujours plus d’informa4ons sur les réseaux sociaux
§ Les u4lisateurs u4lisent les mêmes mots de passe sur tous les web-‐services (webmails, forums)
Webinar Sécurité - 2013 – Déposé - Diffusion ou reproduction non autorisée sans autorisation
LES MENACES DE DEMAIN : UNE SÉCURITÉ DÉBORDÉE
50/day 2000/day
15000/day
22700/day
Les logiciels de détec4on de signatures (An4virus…) se font surpasser: plus de 200,000 nouveaux malwares sont
découverts chaque jour!
Webinar Sécurité - 2013 – Déposé - Diffusion ou reproduction non autorisée sans autorisation
LA SÉCURITÉ DOIT ÊTRE DYNAMIQUE POUR S’ADAPTER AUX NOUVELLES
MENACES
Webinar Sécurité - 2013 – Déposé - Diffusion ou reproduction non autorisée sans autorisation
CLIQUER ET MODIFIER LE TITRE
STATIQUE
– Répond à des schémas d’attaques connus et dépendant de leurs mises à jour
– Vulnérable aux attaques
ciblées – Vulnérable au
comportement des utilisateurs
DYNAMIQUE
– Met les systèmes
d’exécution sous constante surveillance pour anticiper les nouvelles menaces
– Anticipe les attaques
ciblées – Surveille le comportement
des utilisateurs
SÉCURITÉ STATIQUE VS SÉCURITÉ DYNAMIQUE
Webinar Sécurité - 2013 – Déposé - Diffusion ou reproduction non autorisée sans autorisation
ET LE CLOUD DANS TOUT ÇA ?
§ La majorité des vulnérabilités débordent le cadre du Cloud o Accès Internet o Emails & pièces jointes o Sauvegarde de données o Appareils mobiles o Outsourcing
§ Le Cloud apporte peu de nouvelles menaces: o Virtualisa4on o Isola4on des VMs
Webinar Sécurité - 2013 – Déposé - Diffusion ou reproduction non autorisée sans autorisation
I. Les menaces numériques d’aujourd’hui et de demain
II. D’autres menaces (PRISM, XKeyScore…)
III. Cloud public et sécurité
IV. Les réponses apportées par l’infrastructure Cloud de Cloudwatt
V. Questions
Webinar Sécurité - 2013 – Déposé - Diffusion ou reproduction non autorisée sans autorisation
PRISM ET XKEYSCORE : BREF RAPPEL DES FAITS
6/7 juin 2013 : The Guardian/The Washington Post révèlent le programme PRISM
§ Accès à des informations stockées et des communications live : email, video, voice chat, photos, VoIP, transferts de fichiers, notifications d’activité (login…), détails des profils (réseaux sociaux)
§ Microsoft (2007), Yahoo! (2008), Google (2009), Facebook (2009), Paltalk (2009), YouTube (2010), AOL (2011), Skype (2011), Apple (2012) – Dropbox ?
§ Cible tout client de ces services vivant en dehors des Etats-Unis § 98% de la production PRISM proviendrait de Yahoo, Google et Microsoft § UK et Canada également concernés – AU, NZ possibles
31 Juillet 2013 : The Guardian/The Washington Post révèlent le programme XKEYSCORE
§ Accès à l’historique de navigation et de recherche, aux e-mails et aux chats § Localise les VPN dans n’importe quel pays et analyse les métadonnées transférées par
ces VPN
Webinar Sécurité - 2013 – Déposé - Diffusion ou reproduction non autorisée sans autorisation
PRISM ET XKEYSCORE : LES CIBLES PRIORITAIRES
Source : Le Monde
Webinar Sécurité - 2013 – Déposé - Diffusion ou reproduction non autorisée sans autorisation
Fleur Pellerin (Min. Economie numérique) : « L'affaire PRISM, si elle est avérée, rend per8nent de localiser les data center et des serveurs sur le territoire na8onal afin de mieux garan8r la sécurité des données. »
US GVT : "What you've got is two programs that […] have been repeatedly authorized by Congress. (…) You can't have 100 percent security and then also have 100 percent privacy and zero inconvenience. You know, we're going to have to make some choices as a society."
PRISM ET XKEYSCORE : RÉACTIONS ET LÉGALITÉ
PRISM est… ü Couvertes par le Patriot Act (voté oct 2001 suite au 11/9, renouvelé en mai 2011) ü permises par le FISA (Foreign Intelligence Surveillance Act, 1978, qui a été renforcé en 2008 sur la base du
Patriot Act) ü la limite : ne peut pas être u4lisé pour cibler inten4onnellement des américains, ou des résidents des USA
Webinar Sécurité - 2013 – Déposé - Diffusion ou reproduction non autorisée sans autorisation
PRISM ET XKEYSCORE : QUELLES CONCLUSIONS ?
Les révélations PRISM confirment plusieurs points :
• Autorité et Réalité du Patriot Act
• Des données européennes ne peuvent être sûres qu’au
sein de l’UE, avec des fournisseurs UE
• La transparence et la confiance dans le provider Cloud sont clés
Webinar Sécurité - 2013 – Déposé - Diffusion ou reproduction non autorisée sans autorisation
I. Les menaces numériques d’aujourd’hui et de demain
II. D’autres menaces (PRISM, XKeyScore…)
III. Cloud public et sécurité
IV. Les réponses apportées par l’infrastructure Cloud de Cloudwatt
V. Questions
Webinar Sécurité - 2013 – Déposé - Diffusion ou reproduction non autorisée sans autorisation
LE CLOUD PUBLIC N’EST PAS UN VILAIN PETIT CANARD
Non-‐cloud enterprise
In-‐house private cloud
Outsourced private cloud Public Cloud
data control ✚ ✚ ✚
clients control ✚ ✚ ✚
architecture control ✚ ✚ ?
IT operators control ✚ ✚
sw/hw standardiza4on ✚ ✚ ✚
configura4on integrity ? ✚ ✚ ✚
mul4-‐site ? ? ? ✚
physical security ? ? ✚ ✚
intrusion detec4on ? ✚
DDoS resilience ✚ ✚
APT resilience ? ?
forensics/traceability ? ? ✚ ✚
elas4city ✚ ✚ ✚
cost reduc4ons ? ? ✚
From the client point of view
L’étape délicate n’est
pas de basculer sur un Cloud
public, mais sur un Cloud
privé
Webinar Sécurité - 2013 – Déposé - Diffusion ou reproduction non autorisée sans autorisation
IAM
CLOUD PUBLIC : LES MESURES DE SÉCURITÉ
Storage
Mul4-‐tenant orchestra4on & Provisioning
Network
Hypervisor
VM #1
VM #2
VM #3
VM #N
…
Hypervisor
VM #1
…
Isola4on Client
Suivi Comportement
Contrôle intégrité
Filtrage réseau Audi4ng
Webinar Sécurité - 2013 – Déposé - Diffusion ou reproduction non autorisée sans autorisation
CLOUD PUBLIC : LES POURS ET LES CONTRES
• Des droits d’accès pour les utilisateurs d’applications mieux définis
• Les applications Middleware doivent respecter des versions spécifiques, réduisant la surface d’attaque
• Protection des datacenters physiques
• Fonctionnement sécurisé, fiable & 24/7
• OS & configuration automatisés
• Contrôle des versions des applications et installation des patchs à grande échelle
• Pas plus sécurisé by design
• Des contraintes juridiques
• Localisation et dispersion des données
• Séduisant à attaquer car les systèmes Cloud représentent un point unique d’entrée de nombreuses ressources
Webinar Sécurité - 2013 – Déposé - Diffusion ou reproduction non autorisée sans autorisation
CLOUD PUBLIC : DES APPLICATIONS FINALEMENT MIEUX PROTÉGÉES ?
Les fournisseurs de Cloud seront mieux préparés à neutraliser une menace sophistiquée/massive ou un sinistre.
Ils mettent en oeuvre de meilleures pratiques de sécurité à grande et uniforme échelle
Ils surveillent les activités des utilisateurs et du système en terme d’attaques ou de comportement malveillant.
Ils mettent à disposition des ressources système automatiquement grâce à une configuration contrôlée.
Webinar Sécurité - 2013 – Déposé - Diffusion ou reproduction non autorisée sans autorisation
CLOUD PUBLIC : LA CONFIANCE EN VOTRE FOURNISSEUR EST LA CLÉ
C’est pourquoi il faut impérativement : Ø Challenger ses solutions
Ø Auditer ses infrastructures et opérations
Ø Exiger de la transparence et de la réversibilité
Webinar Sécurité - 2013 – Déposé - Diffusion ou reproduction non autorisée sans autorisation
COMMENT AMÉLIORER ENCORE PLUS LA SÉCURITÉ DANS LE CLOUD ?
• Des hyperviseurs plus sécurisés
COUCHES LOGICIELLES CHIFFREMENT MONITORING FORENSICS
• Orchestra4on
• Provisioning
• Virtualisa4on du réseau
• Dashboard
Webinar Sécurité - 2013 – Déposé - Diffusion ou reproduction non autorisée sans autorisation
I. Les menaces numériques d’aujourd’hui et de demain
II. D’autres menaces (PRISM, XKeyScore…)
III. Cloud public et sécurité
IV. Les réponses apportées par l’infrastructure Cloud de Cloudwatt
V. Questions
Webinar Sécurité - 2013 – Déposé - Diffusion ou reproduction non autorisée sans autorisation
CLOUDWATT : LE CHOIX DE L’OPEN-SOURCE
L’offre IaaS Cloudwatt est basée sur la solution OpenStack
§ Projet Open Source lancé conjointement par la NASA et Rackspace en juillet 2010
§ Plus de 180 entreprises ont depuis rejoint la fondation OpenStack, et plus de 500 développeurs contribuent actuellement au projet
§ OpenStack bénéficie d’une architecture modulaire comprenant 7 composants :
Compute : Nova Block Storage : Cinder Object Storage : Swift Image Service : Glance Dashboard : Horizon Identity : Keystone Network : Neutron
Webinar Sécurité - 2013 – Déposé - Diffusion ou reproduction non autorisée sans autorisation
CLOUDWATT : NOS ENGAGEMENTS
Open Source Interopérabilité & Réversibilité
Transparence Auditabilité
Sécurité Dynamique
Webinar Sécurité - 2013 – Déposé - Diffusion ou reproduction non autorisée sans autorisation
CLOUDWATT : LA SÉCURITÉ
Les applications déployées au sein de Cloudwatt seront mieux protégées contre les attaques communes
Comment Cloudwatt est-il mieux préparé que la plupart des DSI pour lutter contre les menaces massives et sophistiquées ?
• En mettant en œuvre les best practices de sécurité de façon systématique et
globale
• En travaillant avec l’ANSSI qui évalue ses solutions
• En supervisant en continu l’activité de ses systèmes et de ses ressources afin de détecter les comportements anormaux (et les attaques) et y réagir
• En provisionnant les ressources systèmes automatiquement à l’aide d’une gestion de configuration qui industrialise et contrôle tout déploiement
• En gérant un cycle de vie continue (OpenStack + patchs sécurité)
Webinar Sécurité - 2013 – Déposé - Diffusion ou reproduction non autorisée sans autorisation
CLOUDWATT : NOTRE INFRASTRUCTURE
Un Datacenter situé en France à Val-de-Reuil (Normandie) qui répond aux dernières normes :
§ Datacenter Tier IV (taux de disponibilité : 99,995%) opéré par Orange
§ Utilisation du Free Cooling (réduction de la puissance énergétique nécessaire au refroidissement)
§ 3 niveaux de sécurité pour l’accès aux équipements hébergés dont un contrôle biométrique
– Doubles chaînes d’alimentation, batteries et groupes électrogènes pour alimentation continue
– Sécurité: détection – extinction incendie, supervision 24x7, protection périphérique du site.
§ A moyen terme Cloudwatt envisage de déployer ses infrastructures sur plusieurs Datacenters en France et à l’étranger
§ Cette stratégie multi-sites sera complétée par une gestion au niveau applicatif de la réplication inter-cellules sur plusieurs sites, afin de donner plus de liberté aux partenaires quant à la localisation du site
Une ambition Européenne
Webinar Sécurité - 2013 – Déposé - Diffusion ou reproduction non autorisée sans autorisation
CLOUDWATT : NOS GARANTIES
• Certifications : ü (en cours) ISO 2001 sur le périmètre stockage + compute ü (en cours) hébergement données de santé
• Cloudwatt réalise des tests d’intrusion spécifiques de ses
briques fonctionnelles • Cloudwatt réalise des tests d’intrusion globaux de son
architecture • Cloudwatt réalise un audit annuel de sa gestion
opérationnelle par un tiers, dont des extraits sont communicables aux clients
Webinar Sécurité - 2013 – Déposé - Diffusion ou reproduction non autorisée sans autorisation
CLOUDWATT : CONFIANCE & TRANSPARENCE
La confiance des clients dans le fournisseur de Cloud est la clé.
Cloudwatt apportera les garanties nécessaires
à ses partenaires pour consolider cette confiance auprès des clients.
Webinar Sécurité - 2013 – Déposé - Diffusion ou reproduction non autorisée sans autorisation
I. Les menaces numériques d’aujourd’hui et de demain
II. D’autres menaces (PRISM, XKeyScore…)
III. Cloud public et sécurité
IV. Les réponses apportées par l’infrastructure Cloud de Cloudwatt
V. Questions
Webinar Sécurité - 2013 – Déposé - Diffusion ou reproduction non autorisée sans autorisation
MERCI !
Site Internet : https://www.cloudwatt.com Contact : https://www.cloudwatt.com/cwcontact.php Et aussi, les réseaux sociaux : Interpellez-nous sur Twitter : https://twitter.com/cloudwatt Aimez-nous sur Facebook : https://www.facebook.com/cloudwatt Suivez-nous sur Linkedin : http://www.linkedin.com/company/cloudwatt Regardez-nous sur Youtube : http://www.youtube.com/user/cloudwatt
Webinar Sécurité - 2013 – Déposé - Diffusion ou reproduction non autorisée sans autorisation