Cloud Computing

La face cachée du cloud est-elle fiable ?

2

Services ICT partagés pour des institutions publiques

Développement

applicatif

Infrastructures

Personnel

spécialisé

ICT pour l’emploi, la santé & la famille

• Fournisseur ICT ‘in-house’ • ASBL contrôlée par les

institutions membres • Focus sur la sécurité sociale &

les soins de santé • 1750 collaborateurs • 222 millions d’EUR CA (2012)

A propos de Smals

3

Sommaire

Introduction

Technologies utilisées

Sécurité

Conclusion

4

Introduction

Hard-discount de l’IT

• Accès immédiat

• Libre-service

• Choix de la quantité d’articles

• Paiement uniquement des articles choisis

• Provenance des articles transparente pour l’utilisateur

5

Technologies utilisées Virtualisation

Virtualisation

• Scission plus forte entre le matériel et les logiciels

• Déplacement de l’OS d’un serveur physique à l’autre sans interruption de service

• Meilleure disponibilité et scalabilité

6

Technologies utilisées Mutualisation des ressources

Mutualisation

• Services de base configurables

• Pool de machines de taille ajustable

• Bonne tolérance aux pannes

Couche d’administration

Middleware

DB

7

Technologies utilisées Equipements réseaux

Protection du trafic entrant et sortant (schémas simplifiés)

Web security Gateway

Internet

Router

Traffic shaper

Firewall

Load Balancer

Reverse proxy

IDS

WAF

IDS : Intrusion Detection System WAF : Web Application Firewall EDLP : Endpoint Data Loss Prevention

Proxy DLP

Workstation + EDLP

8

Technologies utilisées Gestion du stockage

Utilisation d’équipements adaptés

Emploi de systèmes de fichiers distribués (GlusterFS, HDFS, …)

SITE 2SITE 1

1

2

3

4

1

2

3

4

1

2

3

4

1

2

3

4

Data

SAN VS

9

Technologies utilisées NoSQL

Key/Value COLUMN

DOCUMENT GRAPH

N1

N2

N3

N4 N5

K

F1 : V

F2 : V, V, V

F3 : V

F4 : V, V

F5 : V

F6 : V

K1 C1 : V C2 : V C3 : V Key Value

10

Technologies Utilisées NoSQL

11

Technologies utilisées Et le reste…

Et bien plus encore :

DAM

Logging

Archivage

Backup

DRP

Honeypot

Groupe Diesel + Batteries

…

Nombreux domaines d’expertise requis

12

Technologies utilisées D’immenses datacenter

13

Sécurité D’où peuvent venir les attaques

14

Sécurité D’où peuvent venir les attaques

Le Web est surveillé :

Patriot Act

FISA

PRISM

XKeyscore

15

Sécurité Les fournisseurs ne se valent pas tous

Le fournisseur vous protège des attaques extérieures : sécurité généralement bonne, mais à évaluer

De l’intérieur, c’est autre chose (ex : Dropbox)

La documentation est-elle sérieuse ? Mauvais exemple :

cryptage md5 160 bits Oh Gosh !!!

Chiffrement pas suffisant : comment sont chiffrées les données

comment sont générées les clés (PBKDF2)

utilisation de padding

évaluer les mécanismes de récupération de mots de passe

…

ECB CBC

16

Sécurité Chiffrer n’est pas un gage de sécurité

• L’administrateur d’une infrastructure IaaS peut parfois récupérer les clés de chiffrement

• Pour s’en prémunir partiellement, vérifier que l’amorce du système n’a pas été modifiée

17

Sécurité Une solution prometteuse

Chiffrement homomorphique (Prometteur, mais encore immature) Soit :

m = message clair c(m) = message chiffré

Chiffrement homomorphique si c(m1m2) = c(m1)c(m2) c(m1 + m2) = c(m1) + c(m2)

Possibilité d'effectuer des opérations sur des données chiffrées

Les données manipulées dans le cloud restent chiffrées en mémoire et ne sont accessibles que par l’utilisateur final (le fournisseur n’a accès à rien)

18

Sécurité Threshold encryption

X personnes ont une clé, il faut qu’un minimum d’entre eux soient présents pour déchiffrer le message

Ex : 4 utilisateurs, seuil de 3

Message :

Lepczé’fàlz qsojràé,&à Hello World Sq6µ&fnjcT

19

Sécurité Chiffrer les données avant de les envoyer

Solutions pour chiffrer les données avant de les envoyer dans le cloud

Ex : Boxcryptor

Ciphercloud

20

Conclusion

Il est possible de trouver des solutions de grande qualité dans le cloud

Les grands acteurs du cloud ont une économie d’échelle impossible à atteindre pour des petites entreprises

Les services dans le cloud sont parfois interdépendants => se renseigner sur les dépendances

Les attaques peuvent venir de l’extérieur, mais aussi de l’intérieur

Evaluer les risques de son projet afin de déterminer le niveau de sécurité requis

21

Big Brother is watching you ;-)

22

Questions ?