cloudwatt - webinaire cloud computing et nouvelles menaces (2013)

WEBINAR - CLOUD COMPUTING ET NOUVELLES MENACES INTRODUCTION À UNE SÉCURITÉ DYNAMIQUE

CÉDRIC PRÉVOST - 2013

Webinar Sécurité - 2013 – Déposé - Diffusion ou reproduction non autorisée sans autorisation

I.  Les menaces numériques d’aujourd’hui et de demain

II.  D’autres menaces (PRISM, XKeyScore…)

III.  Cloud public et sécurité

IV.  Les réponses apportées par l’infrastructure Cloud de Cloudwatt

V.  Questions


CLIQUER ET MODIFIER LE TITRE

LE MEILLEUR DES MONDES DIGITAUX

–  Des Apps totalement sécurisées

–  Des réseaux transparents

(pas de latence, pas de réduction de la bande passante)

–  Des utilisateurs qui ne font

que ce qu’ils sont supposés faire

LA RÉALITÉ

–  Peu d’Apps « secured by

design » –  Tous les éléments de

software (& hardware) comportent des bugs

–  Les utilisateurs pratiquent

le « shadow IT » (1,7 milliards d’euros ...)

SONGERIES D’UN DSI SOLITAIRE…


LE BESOIN D’AUJOURD’HUI N’EST PAS CELUI DE

MAIS D’UNE AUTRE SÉCURITÉ


LA SÉCURITÉ D’HIER : UNE DÉFENSE STATIQUE EN PROFONDEUR


LES MENACES DE DEMAIN : DES ATTAQUES PLUS CIBLÉES ET MOINS CONNUES

§  Tous les éléments du système d’informa4on moderne sont vulnérables : Hardware – Réseau – OS – So>ware (Open Source, Propriétaire, custom-‐made)

§  Des failles méconnues peuvent meGre en péril un SI parfaitement sécurisé : 0-‐days, Backdoors

§  Les aGaques ciblées (APT…) rendent les défenses sta4ques inefficaces qui ne protègent que des schémas d’aGaques connus


LES MENACES DE DEMAIN : L’UTILISATEUR CANDIDE

§  Le terminal de l’u4lisateur est souvent le point d’entrée le plus vulnérable : o Failles du navigateur o Plug-‐ins non maîtrisés ou obsolètes o Applica4ons défectueuses (en par4culier lorsque l’u4lisateur peut installer/exécuter n’importe quelle applica4on)

§  Les u4lisateurs échangent toujours plus d’informa4ons sur les réseaux sociaux

§  Les u4lisateurs u4lisent les mêmes mots de passe sur tous les web-‐services (webmails, forums)


LES MENACES DE DEMAIN : UNE SÉCURITÉ DÉBORDÉE

50/day 2000/day

15000/day

22700/day

Les logiciels de détec4on de signatures (An4virus…) se font surpasser: plus de 200,000 nouveaux malwares sont

découverts chaque jour!


LA SÉCURITÉ DOIT ÊTRE DYNAMIQUE POUR S’ADAPTER AUX NOUVELLES

MENACES


CLIQUER ET MODIFIER LE TITRE

STATIQUE

–  Répond à des schémas d’attaques connus et dépendant de leurs mises à jour

–  Vulnérable aux attaques

ciblées –  Vulnérable au

comportement des utilisateurs

DYNAMIQUE

–  Met les systèmes

d’exécution sous constante surveillance pour anticiper les nouvelles menaces

–  Anticipe les attaques

ciblées –  Surveille le comportement

des utilisateurs

SÉCURITÉ STATIQUE VS SÉCURITÉ DYNAMIQUE


ET LE CLOUD DANS TOUT ÇA ?

§  La majorité des vulnérabilités débordent le cadre du Cloud o Accès Internet o Emails & pièces jointes o Sauvegarde de données o Appareils mobiles o Outsourcing

§  Le Cloud apporte peu de nouvelles menaces: o Virtualisa4on o  Isola4on des VMs






V.  Questions


PRISM ET XKEYSCORE : BREF RAPPEL DES FAITS

6/7 juin 2013 : The Guardian/The Washington Post révèlent le programme PRISM

§  Accès à des informations stockées et des communications live : email, video, voice chat, photos, VoIP, transferts de fichiers, notifications d’activité (login…), détails des profils (réseaux sociaux)

§  Microsoft (2007), Yahoo! (2008), Google (2009), Facebook (2009), Paltalk (2009), YouTube (2010), AOL (2011), Skype (2011), Apple (2012) – Dropbox ?

§  Cible tout client de ces services vivant en dehors des Etats-Unis §  98% de la production PRISM proviendrait de Yahoo, Google et Microsoft §  UK et Canada également concernés – AU, NZ possibles

31 Juillet 2013 : The Guardian/The Washington Post révèlent le programme XKEYSCORE

§  Accès à l’historique de navigation et de recherche, aux e-mails et aux chats §  Localise les VPN dans n’importe quel pays et analyse les métadonnées transférées par

ces VPN


PRISM ET XKEYSCORE : LES CIBLES PRIORITAIRES

Source : Le Monde


Fleur Pellerin (Min. Economie numérique) : « L'affaire PRISM, si elle est avérée, rend per8nent de localiser les data center et des serveurs sur le territoire na8onal afin de mieux garan8r la sécurité des données. »

US GVT : "What you've got is two programs that […] have been repeatedly authorized by Congress. (…) You can't have 100 percent security and then also have 100 percent privacy and zero inconvenience. You know, we're going to have to make some choices as a society."

PRISM ET XKEYSCORE : RÉACTIONS ET LÉGALITÉ

PRISM est… ü  Couvertes par le Patriot Act (voté oct 2001 suite au 11/9, renouvelé en mai 2011) ü  permises par le FISA (Foreign Intelligence Surveillance Act, 1978, qui a été renforcé en 2008 sur la base du

Patriot Act) ü  la limite : ne peut pas être u4lisé pour cibler inten4onnellement des américains, ou des résidents des USA


PRISM ET XKEYSCORE : QUELLES CONCLUSIONS ?

Les révélations PRISM confirment plusieurs points :

•  Autorité et Réalité du Patriot Act

•  Des données européennes ne peuvent être sûres qu’au

sein de l’UE, avec des fournisseurs UE

•  La transparence et la confiance dans le provider Cloud sont clés






V.  Questions


LE CLOUD PUBLIC N’EST PAS UN VILAIN PETIT CANARD

Non-‐cloud enterprise

In-‐house private cloud

Outsourced private cloud Public Cloud

data control ✚ ✚ ✚

clients control ✚ ✚ ✚

architecture control ✚ ✚ ?

IT operators control ✚ ✚

sw/hw standardiza4on ✚ ✚ ✚

configura4on integrity ? ✚ ✚ ✚

mul4-‐site ? ? ? ✚

physical security ? ? ✚ ✚

intrusion detec4on ? ✚

DDoS resilience ✚ ✚

APT resilience ? ?

forensics/traceability ? ? ✚ ✚

elas4city ✚ ✚ ✚

cost reduc4ons ? ? ✚

From the client point of view

L’étape délicate n’est

pas de basculer sur un Cloud

public, mais sur un Cloud

privé


IAM

CLOUD PUBLIC : LES MESURES DE SÉCURITÉ

Storage

Mul4-‐tenant orchestra4on & Provisioning

Network

Hypervisor

VM #1

VM #2

VM #3

VM #N

…

Hypervisor

VM #1

…

Isola4on Client

Suivi Comportement

Contrôle intégrité

Filtrage réseau Audi4ng


CLOUD PUBLIC : LES POURS ET LES CONTRES

•  Des droits d’accès pour les utilisateurs d’applications mieux définis

•  Les applications Middleware doivent respecter des versions spécifiques, réduisant la surface d’attaque

•  Protection des datacenters physiques

•  Fonctionnement sécurisé, fiable & 24/7

•  OS & configuration automatisés

•  Contrôle des versions des applications et installation des patchs à grande échelle

•  Pas plus sécurisé by design

•  Des contraintes juridiques

•  Localisation et dispersion des données

•  Séduisant à attaquer car les systèmes Cloud représentent un point unique d’entrée de nombreuses ressources


CLOUD PUBLIC : DES APPLICATIONS FINALEMENT MIEUX PROTÉGÉES ?

Les fournisseurs de Cloud seront mieux préparés à neutraliser une menace sophistiquée/massive ou un sinistre.

Ils mettent en oeuvre de meilleures pratiques de sécurité à grande et uniforme échelle

Ils surveillent les activités des utilisateurs et du système en terme d’attaques ou de comportement malveillant.

Ils mettent à disposition des ressources système automatiquement grâce à une configuration contrôlée.


CLOUD PUBLIC : LA CONFIANCE EN VOTRE FOURNISSEUR EST LA CLÉ

C’est pourquoi il faut impérativement : Ø  Challenger ses solutions

Ø  Auditer ses infrastructures et opérations

Ø  Exiger de la transparence et de la réversibilité


COMMENT AMÉLIORER ENCORE PLUS LA SÉCURITÉ DANS LE CLOUD ?

•  Des hyperviseurs plus sécurisés

COUCHES LOGICIELLES CHIFFREMENT MONITORING FORENSICS

•  Orchestra4on

•  Provisioning

•  Virtualisa4on du réseau

•  Dashboard






V.  Questions


CLOUDWATT : LE CHOIX DE L’OPEN-SOURCE

L’offre IaaS Cloudwatt est basée sur la solution OpenStack

§  Projet Open Source lancé conjointement par la NASA et Rackspace en juillet 2010

§  Plus de 180 entreprises ont depuis rejoint la fondation OpenStack, et plus de 500 développeurs contribuent actuellement au projet

§  OpenStack bénéficie d’une architecture modulaire comprenant 7 composants :

  Compute : Nova   Block Storage : Cinder   Object Storage : Swift   Image Service : Glance   Dashboard : Horizon   Identity : Keystone   Network : Neutron


CLOUDWATT : NOS ENGAGEMENTS

Open Source Interopérabilité & Réversibilité

Transparence Auditabilité

Sécurité Dynamique


CLOUDWATT : LA SÉCURITÉ

Les applications déployées au sein de Cloudwatt seront mieux protégées contre les attaques communes

Comment Cloudwatt est-il mieux préparé que la plupart des DSI pour lutter contre les menaces massives et sophistiquées ?

•  En mettant en œuvre les best practices de sécurité de façon systématique et

globale

•  En travaillant avec l’ANSSI qui évalue ses solutions

•  En supervisant en continu l’activité de ses systèmes et de ses ressources afin de détecter les comportements anormaux (et les attaques) et y réagir

•  En provisionnant les ressources systèmes automatiquement à l’aide d’une gestion de configuration qui industrialise et contrôle tout déploiement

•  En gérant un cycle de vie continue (OpenStack + patchs sécurité)


CLOUDWATT : NOTRE INFRASTRUCTURE

Un Datacenter situé en France à Val-de-Reuil (Normandie) qui répond aux dernières normes :

§  Datacenter Tier IV (taux de disponibilité : 99,995%) opéré par Orange

§  Utilisation du Free Cooling (réduction de la puissance énergétique nécessaire au refroidissement)

§  3 niveaux de sécurité pour l’accès aux équipements hébergés dont un contrôle biométrique

–  Doubles chaînes d’alimentation, batteries et groupes électrogènes pour alimentation continue

–  Sécurité: détection – extinction incendie, supervision 24x7, protection périphérique du site.

§  A moyen terme Cloudwatt envisage de déployer ses infrastructures sur plusieurs Datacenters en France et à l’étranger

§  Cette stratégie multi-sites sera complétée par une gestion au niveau applicatif de la réplication inter-cellules sur plusieurs sites, afin de donner plus de liberté aux partenaires quant à la localisation du site

Une ambition Européenne


CLOUDWATT : NOS GARANTIES

•  Certifications : ü  (en cours) ISO 2001 sur le périmètre stockage + compute ü  (en cours) hébergement données de santé

•  Cloudwatt réalise des tests d’intrusion spécifiques de ses

briques fonctionnelles •  Cloudwatt réalise des tests d’intrusion globaux de son

architecture •  Cloudwatt réalise un audit annuel de sa gestion

opérationnelle par un tiers, dont des extraits sont communicables aux clients


CLOUDWATT : CONFIANCE & TRANSPARENCE

La confiance des clients dans le fournisseur de Cloud est la clé.

Cloudwatt apportera les garanties nécessaires

à ses partenaires pour consolider cette confiance auprès des clients.






V.  Questions


MERCI !

Site Internet : https://www.cloudwatt.com Contact : https://www.cloudwatt.com/cwcontact.php Et aussi, les réseaux sociaux : Interpellez-nous sur Twitter : https://twitter.com/cloudwatt Aimez-nous sur Facebook : https://www.facebook.com/cloudwatt Suivez-nous sur Linkedin : http://www.linkedin.com/company/cloudwatt Regardez-nous sur Youtube : http://www.youtube.com/user/cloudwatt


cloudwatt - webinaire cloud computing et nouvelles menaces (2013)

Technology