enjeux de sécurité relatifs au cloud v1

Enjeux de sécurité relatifs au cloud

v.1

Novembre 2012

Tactika inc.

• [email protected]

• www.tactika.com

• @tactika

• http://ca.linkedin.com/in/tactika

http://www.isaca-quebec.ca/

Contenu de la conférence

La mention d’un produit ou d’un fournisseur ou fabriquant dans ce document et présentation ne doivent pas être interprétés comme étant une recommandation ou une promotion.

Marché, définitions et concepts Évolution et implantation Infonuagique et sécurité Risques et Facteurs de risque Mesures de contrôle

2 Enjeux de sécurité relatifs au Cloud

Le Cloud est-il incontournable ?

• Le cloud computing / informatique en nuage / infonuagique / informatique nuagière est un concept qui a dépassé le stade du «buzz word» pour devenir une réalité tangible et incontournable .

• Les TI seront profondément transformées dans les années à venir … à vrai dire, c’est déjà commencé !


Constr

uit a

vec

htt

p:/

/ww

w.w

ord

le.n

et/

http://savedelete.com/6-key-cloud-computing-players-of-year-2010.html

clem

ent.

gagn

on

@ta

ctik

a.co

m

http://www.marketsandmarkets.com/Market-Reports/cloud-computing-234.html

Le marché
























Qu’est-ce que le Cloud Computing ?

Le Cloud Computing est un modèle de prestation de services TI dématérialisée qui repose sur les technologies Internet et la virtualisation.

Libre-service et sur demande

Élastique, extensible (scalable)

Accessible par un réseau de type TCP/IP (i*net)

Partagé, multilocataire (multi-tenant)

Utilisation mesurée ( éventuellement facturée )

Niveau de service déterminé (entente de service / SLA )

Analogie entre les TI et l’électrification

Les services TI deviennent une commodité


Les bénéfices du Cloud

Coût

►CTP (coût total de possession / TCO) réputé moindre que le modèle traditionnel

Retour sur l’investissement / ROI rapide et tangible

► Coût facturé uniquement sur l’utilisation, demande peu d’effort de mise en œuvre

Agilité et gestion simplifiée

► Mise en service rapide, disponible immédiatement

Élasticité, extensibilité

► Gestion simplifiée de la capacité : automatisation des montées en charge et du délestage


Le modèle du Cloud vs le modèle traditionnel

Modèle traditionnel

Cloud

Organisation

Organisation Organisation

clem

ent.

gagn

on

@ta

ctik

a.co

m

Individu


Différence entre le Cloud et l’impartition

Fournisseur Client

Cloud

Partagé, multilocataire

Même entente de service

/SLA pour tous

Impartition

Non partagé, un locataire

Une entente de service / SLA spécifique


Abstraction

Modèles de prestation de services

IaaS Infrastructure as a Service

PaaS Platform as a Service

SaaS Software as a Service Service as a Service

Service de traitement (CPU), de stockage ou réseautique Ex. Système d’exploitation Windows Server 200X ou Linux, Espace de stockage

Service de plates-formes applicatives avec des fonctions programmables, paramétrables, configurables Ex. Sharepoint, Typo3

Service d’applications, Services horizontaux tel que la facturation , surveillance, sécurité, etc. Ex. CRM (software), anti-virus (service)

Infrastructure

IaaS


Plate - forme

Infrastructure

P aaS

Software

(Application)

Plate - forme

Infrastructure

SaaS

Évolution du modèle de prestation de services

• BPaas / Business Process as a Service

– BPaaS cible les processus métiers : paye, paiement en ligne, gestion financière

– Sous division de SaaS concerne les applications logicielles accessibles dans le nuage

• Personnal Cloud

– Ressources informatiques personnelles ou d’une PME accessible par Internet pour le partage de contenus (multimédia, document) avec diverses plates-formes (tablette, téléphone intelligent, ordinateur)


Cloud privé

Organisation

Cloud de

communauté

Organisation

clem

ent.

gagn

on

@ta

ctik

a.co

m

Cloud public

Cloud

privé

Cloud privé

Cloud public

Les modèles de déploiement


Les acteurs dans le modèle de prestation de services

Fournisseur

Client / utilisateur

Software(Application)

Plate-forme

Infrastructure

SaaS

Plate-forme

Infrastructure

PaaS

Objet du client

Infrastructure

IaaS

Objet du client

Client / opérateur

Opérateur

Interface

de gestion

clem

ent.

gagn

on

@ta

ctik

a.co

m


Vue fournisseur : partagé, multilocataire, virtualisation

Fournisseur

Opérateur

clem

ent.

gagn

on

@ta

ctik

a.co

m


«Chaîne» des tiers

Software (Application)

Plate-forme

Infrastructure

IaaS

Fournisseur

Client

Client

Fournisseur

SaaS

How Amazon Controls Ecommerce (Slides)

http://techcrunch.com/2011/05/11/how-amazon-controls-ecommerce-slides/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Techcrunch+%28TechCrunch%29

clem

ent.

gagn

on

@ta

ctik

a.co

m


http://techcrunch.com/2011/05/11/how-amazon-controls-ecommerce-slides/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed:+Techcrunch+(TechCrunch)











Popularité des modèles de déploiement


Quel modèle de prestation de services ?

• Utilisation de l’infonuagique en 2012 selon Gartner

– Courriel électronique (50%), Stockage (45%), Copie de sécurité /data backup (37%),Hébergement web (34%)

http://www.itincanada.ca/component/kunena/50-it-bulletin-insights-for-smbs/3055-gartners-2012-cloud-predictions

• Selon KPMG

Tendance


Évolution du centre de données : de la virtualisation à l’infonuagique

Virtualisation des serveurs

Virtualisation distribuée

Nuage privée Nuage hybride Nuage public

Consolidation Capex

Flexibilité Agilité

Libre-service Normalisation Métrique

Montée en charge

Élimination du Capex Grande flexiblité

Nuage privé


Nuage privé, hybride et public

Nuage privé

Organisation

clem

ent.

gagn

on

@ta

ctik

a.co

m

Nuage privé

Nuage privé

Nuage public

Nuage public Virtualisationdes serveurs

Virtualisation distribuée

Nuage privée Nuage hybride Nuage public

• Consolidation• Capex

• Flexibilité• Agilité

• Libre-service• Normalisation• Métrique

• Montée en charge

• Élimination du Capex• Grande flexiblité

Nuage privé


Infonuagique et la sécurité

• Les trois principales préoccupations selon Gartner

– Sécurité, Protection de la vie privée, Souveraineté des données http://www.itincanada.ca/component/kunena/50-it-bulletin-insights-for-smbs/3055-gartners-2012-cloud-predictions

• Selon KPMG


La perception du risque et le Cloud

En affaires, le risque est perçu comme une opportunité ou comme un événement négatif. Les bénéfices du Cloud sont une opportunité. Une organisation peut démontrer un appétit et une tolérance aux risques dans sa recherche d’opportunités.

En sécurité de l’information, le risque est perçu comme une menace qui exploite une vulnérabilité. Les problèmes du Cloud :

Les risques d’un tiers peuvent devenir mes risques ... Si plusieurs tiers sont impliqués, les risques des tiers sont «chainés».


Gouvernance, risque

et conformité

Processus de gestion

Contrôle et opération

Facteurs de risque

• Selon son degré d’intégration dans les services TI, le Cloud peut devenir un facteur de risque

• Le degré d’intégration désigne l’envergure, l’étendue et la criticité du service Cloud.

Exemple :

Service de mesure de disponibilité de sites Web (intégration faible, impact léger)

Service Web en arrière-boutique (intégration élevée, impact important)


Impact(s)

Disponibilité

Intégrité

Confidentialité

clem

ent.

gagn

on

@ta

ctik

a.co

m

RISQUE

Vulnérabilité(s) Mesure(s) de contrôle

Modèle générique du risque

Menace(s)

Pro

bab

ilité

Surfaces d’attaque


Principaux risques selon ENISA

1. Perte de la gouvernance

2. Verrouillage/«Lock in» avec le fournisseur

3. Perte de l’isolation «virtuelle»

4. Problème de non-conformité

5. Perte de protection des données

6. Destruction non sécuritaire des données

7. Le fournisseur «à risque»

BENEFITS, RISKS AND RECOMMENDATIONS FOR INFORMATION SECURITY , European Network and Information Security Agency (ENISA) 2009


Principales menaces relatives au Cloud selon la Cloud Security Alliance

• Utilisation abusive ou malicieuse du Cloud

• Interfaces & API non sécuritaires

• Opérateurs malicieux

• Exploitations des vulnérabilités des plateformes partagées

• Fuite ou perte de données

• Hijacking d’un compte ou du service

• Exposition inconnue aux risques du fournisseur

Top Threats to Cloud Computing V1.0, Cloud Security Alliance, March 2010


Surfaces d’attaque

Point d’accès

SaaS : couche applicative / logiciel

PaaS : couche plate-forme applicative / logiciel

IaaS : couche système d’exploitation / logiciel

clem

ent.

gagn

on

@ta

ctik

a.co

m

Humain

Plate-forme matérielle / poste de travail

Lien de communication

Infrastructure de virtualisation et arrière-boutique

Humain

Plate-forme matérielle / poste de travail

Clients

Fournisseur


Aperçu des menaces

BOF, Injection SQL, Déni de service, Attaque brute

sur l’authentification

Changement non annoncé ou non planifié

Code malveillant, Attaque brute sur

l’authentification, Attaque sur l’hyperviseur,

Déni de service

clem

ent.

gagn

on

@ta

ctik

a.co

m

Humain : ingénierie sociale, malveillance

Client Web : Code malveillant, XSS

(cross site scripting), Phishing, DNS poisoning

Panne, désastre, Interception (MITM), déni de service

Panne, désastre,

injection de code, mauvaise paramétrisation

Humain : ingénierie sociale, malveillance

Client Web : Code malveillant,

XSS (cross site scripting), Phishing, DNS poisoning


Clients

Fournisseur

Principales vulnérabilités

Conformité

Aspects juridiques ►Multiples législations ► Géolocalisation des données

Maturité des acteurs

Gouvernance absente ou relâchée, état du SMSI

Entente de service/SLA Mal définie, incomplète

Votre infrastructure

Des composants et de la gestion de ces composants (bogue, mauvaise configuration, dysfonctionnement, etc.)

Infrastructure du tiers

Des composants et de la gestion de ces composants (bogue, mauvaise configuration, dysfonctionnement, etc.)

Format propriétaire et/ou lié à l’infrastructure du fournisseur (Verrouillage/lock-in)

Dysfonctionnement de la communication entre les SMSI (le votre et celui du tiers)

Gestion des changements, gestion des incidents

Maturité du tiers

Gouvernance, état de son SMSI, appétit aux risques (affaires, TCO)


Comment ces fonctions de sécurité sont-elles

mises en œuvre dans le cloud ?

Les fonctions «basiques» de sécurité et le cloud


Contrôle d’accès Authentification

Réseau

Détection des intrusions

Détection

Prévention

Réparation

Gestion des identités et

des habilitations

Gestion des vulnérabilités

Principales mesures de contrôle pour la sécurité de l’infrastructure

Contrôle d’accès authentification (forte), réseau

Détection des intrusions

Contrôle d’accès : authentification (forte) & réseau

Détection des intrusions, journalisation

clem

ent.

gagn

on

@ta

ctik

a.co

m

Chiffrement, lien sécurisé

Relève, redondance

Antivirus, anti-logiciel espion, correctif

Antivirus, anti-logiciel espion, correctifs

Contrôle d’accès physique de l’infrastructure

Contrôle d’accès authentification (forte), réseau

Signature et chiffrement

Contrôle des vulnérabilités : correctifs

Relève, redondance

Journalisation, antivirus, anti logiciel-espion, IDS/IPS


Clients

Fournisseur

Autres mesures de contrôle

• Définition dans l’entente de service/SLA des éléments de sécurité

– Acceptation implicite des risques !

• Sensibilisation et formation des utilisateurs

• Audit (vous et le fournisseur/tiers)

• Test d’intrusion (limité par le SLA et le modèle de prestation)

• Relève, redondance (vous versus le tiers)

• Surveillance (monitoring)


Impacts – Quelques cas réels Disponibilité

Avril 2011 / Panne majeure chez Amazon

Août 2011 / Panne mineure Amazon, plusieurs sites importants tels que Foursquare, Reddit, etc. subissent des pertes de disponibilité de plusieurs heures

http://www.pcworld.com/businesscenter/article/237588/amazon_web_services_reports_outage_in_the_us_late_monday.html

Juin 2012 / Deux pannes majeures avec les services EC2 causés par des pannes électriques dans un centre de données de Virginie : Netflix, Pintetrest, Instagram, Heroku sont affectés.

http://venturebeat.com/2012/06/29/amazon-outage-netflix-instagram-pinterest/

Confidentialité Mars 2011 / Lors d’une vérification, GoGrid découvre une intrusion dans sa base de données client (arrière- boutique,

carte de crédit). Elle avise les institutions financières et ses clients et elle offre un service de surveillance de crédit.

http://mikepuchol.com/2011/03/30/gogrid-security-breach-why-virtual-credit-cards-should-rule-the-web/

Juin 2012 / 6.5 millions de «hashings» de mot de passe di site Linkedin sont publiés http://thenextweb.com/socialmedia/2012/06/06/bad-day-for-linkedin-6-5-million-hashed-passwords-reportedly-leaked-change-yours-now/

Août 2012 / Une attaque d’ingénierie sociale ayant pour cible un employé de DropBox permet le vol d’une liste de nom de compte et de mot de passe

http://www.dailymail.co.uk/sciencetech/article-2182229/Dropbox-Storage-service-admits-security-breach-fears-grow-storing-information-online.html

Intégrité Février 2010 / 52 sites web du congrès étasunien ont subi une défiguration. Ils étaient hébergés dans le Cloud par un

contractant. http://www.theaeonsolution.com/security/?p=207

– Octobre 2012 / La banque NatWest suspend son application mobile Get Cash après une fraude de 1500$ contre un client

http://www.bbc.co.uk/news/business-19857243


Ce qui vient …

• La localisation des services est un enjeu qui est influencé par – L’infrastructure du fournisseur

– Les besoins du consommateur

– Les pressions budgétaires (réduire le CAPEX et OPEX)

– Exigences de conformité et juridiques

• Pour préserver la confidentialité et l’intégrité, la solution est le chiffrement dans le nuage – Complexité

– Expertise

– Intégration

– Fiabilité

– Récupération


Alice et Bob dans le nuage … Le chiffrement dans le nuage : Facile à dire … mais pas facile à

faire !

• Le chiffrement des échanges, pas de problème ! SSL/TLS, VPN

• Nombreux problèmes avec le traitement et le stockage des données

– Complexité :

• Quoi et comment «le» chiffrer

• Type de chiffrement : symétrique, asymétrique, etc.

• Choix et robustesse de l’algorithme et des clés

• Cycle de vie des clés : création, déploiement, modification, répudiation, conservation, destruction

– Implantation dans les services : Iaas, PaaS, SaaS

– Gestion des clés : Qui les détient et comment ?

– Performance !


Questions ?

Merci de votre attention ! Tactika inc.

• [email protected]

• www.tactika.com

• @tactika

• http://ca.linkedin.com/in/tactika


Annexe Pense-bête pour contrôler

les risques du Cloud Appliquer les bonnes pratiques selon votre contexte !!!

Mettre à jour votre cadre de sécurité pour inclure le Cloud

Déterminer vos besoins

Déterminer un niveau de service

Analyser les aspects légaux ► PRP, localisation des données (autre pays ?) ► Cycle de vie des données ► Destruction des données

Catégoriser vos données, évaluer la criticité du service

Analyser les risques et déterminer le traitement de ceux qui sont non-acceptées !

Choisir le fournisseur ► comprendre l’entente de service/SLA, pérennité, état de son SMSI

Vérifier la stratégie de continuité/relève du fournisseur ( et la vôtre !) ► Tenir compte de la localisation du désastre …

Avez-vous une copie de vos données qui sont chez le fournisseur ?

Surveiller et journaliser ► Audit

Assurer la détection et le suivi des incidents de sécurité ► communication, collecte de preuve, enquête

Documenter l’architecture(s) ► Documenter … documenter … documenter


Annexe Comment implanter l’infonuagique


Évaluation des besoins

Étude d’opportunuité

Architecture de la solution du MO

Implantation

Intégration

Mode de

déploiement ?

Nuage privéNuage hybrideNuage public

IaaS PaaS SaaS

Analyse de risques

Évaluation des impacts

Évaluation de la maturité de

l’organisation

Acquisition

Stratégie d’implantation

Implantation

Exploitation

Opération

Processus de gestion

TI

Ententes

contractuelles

Analyse préliminaire

Mode de

Prestation de

service ?

enjeux de sécurité relatifs au cloud v1

Technology