Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
En route vers le nuage privé,la sécurité et la virtualisationtous azimuts de vosinfrastructuresv1.0Tactika inc.  clement.g...
Contenu de la conférence   Contexte   Définitions   Sécurité et virtualisation   Risques et Facteurs de risque   Élém...
ContexteLa virtualisation        Partie intégrante du paysage des infrastructures TI        Une « brique » fondatrice d...
La virtualisation et la sécurité La virtualisation présente de nombreux avantages        Flexibilité        Agilité    ...
Les principaux types de                   virtualisation Plate-forme    Virtualisation d’une plate-forme matérielle     ...
Nombreux usages de la virtualisationversion 1.0     En route vers le nuage privé ...   6
Composants de la virtualisation             de plate-formeHôte                                              VLANs         ...
Évolution du centre de données : de    la virtualisation à l’infonuagique Virtualisation    Virtualisation        Nuage pr...
Virtualisation et les nombreuses       facettes de la sécuritéLa virtualisation a une incidence sur les niveaux : stratég...
Facteurs de risque Criticité de l’infrastructure de virtualisation Nombreuses fonctionnalités de la virtualisation  (com...
Les risques Les vulnérabilités d’un environnement physique s’appliquent dans un  environnement virtuel L’infrastructure ...
Éléments de virtualisation Bloc Intégré de Virtualisation (BIV)        Assemblage normalisé et préconfiguré de composant...
Bloc Intégré de Virtualisation (BVI)                                             Fabric-Based Infrastructure (FBI)        ...
Évolution : Infrastructure de nuage                    privé et BIV              BIV                                      ...
Réseau « plat »                           (flat network)Problème du réseau conventionnel        Demande croissante de dé...
Le réseau avant …   Noeud / core   Distribution   Accèsversion 1.0         En route vers le nuage privé ...   16
Le réseau maintenant …   Noeud / core                                                          BIVversion 1.0            E...
Réseau « plat »dans l’infrastructure de virtualisation                                      VM            VM    VM    VM  ...
Sécurité réseau et virtualisation                                                               Commutateur et services ré...
Contrôle d’accès réseau     fonction de coupe-feu / zonageModèle conventionnel       Zone version 1.0           En route v...
Contrôle d’accès réseau              fonction de coupe-feu / zonage                                     La reproduction du...
Nuage privé, hybride et public                                                           Virtualisation    Virtualisation ...
Opportunité(s)                                                            BIV                                             ...
Recommandations Analyse de risque Comprendre la technologie et son impact Restreindre les accès        Particulièremen...
LA préoccupation de sécurité de          la virtualisation Étendue des privilèges de l’administrateur de l’infrastructure...
Quelques lectures PCI DSS Virtualization Guidelines        https://www.pcisecuritystandards.org/documents         /Virtu...
Questions ?                                 Merci de votre attention !    Tactika inc.    •         clement.gagnon@tactika...
Nächste SlideShare
Wird geladen in …5
×

En route vers le cloud privé CQSI2012 v1.0

1.154 Aufrufe

Veröffentlicht am

Veröffentlicht in: Technologie
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (2019 Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download Full EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download Full doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book THIS can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer THIS is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBooks .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story THIS Helped Ignite a Movement,-- Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money THIS the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths THIS Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Antworten 
    Sind Sie sicher, dass Sie …  Ja  Nein
    Ihre Nachricht erscheint hier
  • Gehören Sie zu den Ersten, denen das gefällt!

En route vers le cloud privé CQSI2012 v1.0

  1. 1. En route vers le nuage privé,la sécurité et la virtualisationtous azimuts de vosinfrastructuresv1.0Tactika inc. clement.gagnon@tactika.com www.tactika.com @tactika http://ca.linkedin.com/in/tactika
  2. 2. Contenu de la conférence Contexte Définitions Sécurité et virtualisation Risques et Facteurs de risque Éléments de virtualisation Sécurité réseau, BIV, réseau plat, nuage privé et hybride Recommandations de sécurité La mention d’un produit ou d’un fournisseur ou fabriquant dans ce document et présentation ne doivent pas être interprétés comme étant une recommandation ou une promotion.version 1.0 En route vers le nuage privé ... 2
  3. 3. ContexteLa virtualisation  Partie intégrante du paysage des infrastructures TI  Une « brique » fondatrice de l’infonuagiqueL’impact de la virtualisation est majeur  Gouvernance, architecture, sécurité, gestion et opération, etc.Elle impose une remise en question des méthodes usuelles d’aborder la sécurité de l’informationversion 1.0 En route vers le nuage privé ... 3
  4. 4. La virtualisation et la sécurité La virtualisation présente de nombreux avantages  Flexibilité  Agilité  Optimisation des ressources matériellesMais ... Détériore-t-elle la sécurité ?  Si mal maîtrisée : oui  Portée et impacts architecturaux : très large  Demande la maitrise de nombreux concepts et des compétences diverses et étendues  Lajout dune couche d’infrastructure augmente la surface d’attaque Améliore-t-elle la sécurité ?  Pour la disponibilité : sans aucun doute, oui !version 1.0 En route vers le nuage privé ... 4
  5. 5. Les principaux types de virtualisation Plate-forme  Virtualisation d’une plate-forme matérielle  Ex. Processeur Intel  Type 1 Hyperviseur natif / baremetal, ex. : VMWare ESXi, Microsoft Hyper-V  Type 2 Hyperviseur invité, ex. : VMWare WorkStation Système d’exploitation  Virtualisation de ressources dans un système d’exploitation  Ex : IBM VM/370 @ z/VM Réseau  Virtualisation d’un composant réseau « réel » (commutateur, routeur, coupe- feu, etc.) sous la forme d’un « objet » virtuel  Ex. : Cisco Firewall Services Module (FWSM) dans les commutateurs 6500  Image virtuelle d’un appareil dédié / appliance (vmware, hyper-V, etc.) SAN  Consolidation de multiples SAN réels sous la forme d’un seul SAN virtuel  Ex. : HP, IBM, etc.version 1.0 En route vers le nuage privé ... 5
  6. 6. Nombreux usages de la virtualisationversion 1.0 En route vers le nuage privé ... 6
  7. 7. Composants de la virtualisation de plate-formeHôte VLANs Hyperviseur Hyperviseur Gestion distribuée de la plate-forme de virtualisation  Hôte  Hyperviseur  Machine virtuelle / VM, « Virtual Appliance », Applications virtuelles, Bureau virtuel (Virtual Desktop Interface / VDI)  Réseau virtuel & Commutateur virtuel  Gestion distribuée de la plate-forme de virtualisation version 1.0 En route vers le nuage privé ... 7
  8. 8. Évolution du centre de données : de la virtualisation à l’infonuagique Virtualisation Virtualisation Nuage privée Nuage hybride Nuage public des serveurs distribuée Nuage privé Consolidation  Flexibilité  Libre-service  Montée en  Élimination du Capex  Agilité  Normalisation charge Capex  Métrique  Grande flexiblitéversion 1.0 En route vers le nuage privé ... 8
  9. 9. Virtualisation et les nombreuses facettes de la sécuritéLa virtualisation a une incidence sur les niveaux : stratégique, tactique et opérationnelLes mesures de contrôle concernées :  Administratifs : politique, procédures et règles  Préventif : chiffrement, détection d’intrusion, contrôle d’accès, gestion des vulnérabilités  Investigation : surveillance, analyse, corrélation et gestion des incidentsLes dispositifs (moyens) doivent être adaptés à la virtualisation  Ex. : antivirus et anti-logiciel espionversion 1.0 En route vers le nuage privé ... 9
  10. 10. Facteurs de risque Criticité de l’infrastructure de virtualisation Nombreuses fonctionnalités de la virtualisation (complexité et interaction des fonctions) Dans une plate-forme de virtualisation, les mesures de contrôle sont ou deviendront de nature logicielle et non pas physique Partage d’une même infrastructure Étendue des privilèges de l’administrateur de l’infrastructure virtuelle Opacité des échanges entre les VM dans l’infrastructure virtuelleversion 1.0 En route vers le nuage privé ... 10
  11. 11. Les risques Les vulnérabilités d’un environnement physique s’appliquent dans un environnement virtuel L’infrastructure de virtualisation ajoute une surface dattaque Une complexité accrue des systèmes et des réseaux virtualisés Plus dune fonction par boitier physique La cohabitation de VM de différents niveaux de confiance Séparation des tâches déficientes Exploitation des vulnérabilités spécifiques aux machines virtuelles en hibernation, aux images «patron» (template), aux instantanés (snapshots) Limmaturité des solutions de sécurité, notamment de surveillance Fuite dinformations entre les segments de réseau virtuel Fuite dinformations entre les composants virtuels Extrait PCI DSS Virtualization Guidelines, v. 2version 1.0 En route vers le nuage privé ... 11
  12. 12. Éléments de virtualisation Bloc Intégré de Virtualisation (BIV)  Assemblage normalisé et préconfiguré de composants pour des services de virtualisation Réseau plat (flat network)  Aplatissement du réseau local  Design réseau pour maximiser la performance et la flexibilité du réseau local Sécurité réseau et virtualisation  Localisation des mesures de contrôle de type réseau Virtualisaton des contrôles d’accès réseau Évolution vers les nuage de type privé, hybride et public  Modèle de l’infonuagique pour la prestation de service TI : SaaS, PaaS et IaaSversion 1.0 En route vers le nuage privé ... 12
  13. 13. Bloc Intégré de Virtualisation (BVI) Fabric-Based Infrastructure (FBI) Réseautique Gestion unifiée et intégrée Hyperviseur/ Virtualisation distribuée Plate-forme / Processeurs Stockageversion 1.0 En route vers le nuage privé ... 13
  14. 14. Évolution : Infrastructure de nuage privé et BIV BIV BIVversion 1.0 En route vers le nuage privé ... 14
  15. 15. Réseau « plat » (flat network)Problème du réseau conventionnel  Demande croissante de débit  Limitation de certains protocoles de réseau local  « Surcharge » de traitement aux couches 2 et 3 du modèle OSI (réseau local et IP)Solution  « Aplatissement du réseau » dans l’hyperviseur  Axé sur la couche 2 du modèle OSI :VLAN  Mais … les composants « externes » ne peuvent « voir » le trafic entre les VM : IDS/IPS, coupe-feu, routeurversion 1.0 En route vers le nuage privé ... 15
  16. 16. Le réseau avant … Noeud / core Distribution Accèsversion 1.0 En route vers le nuage privé ... 16
  17. 17. Le réseau maintenant … Noeud / core BIVversion 1.0 En route vers le nuage privé ... 17
  18. 18. Réseau « plat »dans l’infrastructure de virtualisation VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VLANversion 1.0 En route vers le nuage privé ... 18
  19. 19. Sécurité réseau et virtualisation Commutateur et services réseau IDS/IPS VM infectée Hôte Coupe-feu VM VM VM VM VM VM VM VM VM VM VM VM Externe VLAN Interne Non sécuriséversion 1.0 En route vers le nuage privé ... 19
  20. 20. Contrôle d’accès réseau fonction de coupe-feu / zonageModèle conventionnel Zone version 1.0 En route vers le nuage privé ... 20
  21. 21. Contrôle d’accès réseau fonction de coupe-feu / zonage La reproduction du zonage dans Modèle virtuel un environnement virtuel se Policy réalise à l’aide d’un réseau plat vsg# show running- qui est segmenté avec des config zone zone1 mécanismes virtuels de zonage zone zone1 condition 1 net.ip-address eq 1.1.1.1 condition 2 net.port eq 80 vsg# show running- config rule r2 rule r2 condition 1 dst.net.ip- address eq 2.2.2.2 condition 2 src.net.ip- address eq 1.1.1.1 condition 3 src.net.port eq 100 VLAN condition 4 dst.net.port eq 80 condition 5 net.protocol VM VM VM VM eq 6 action 1 permitversion 1.0 En route vers le nuage privé ... 21
  22. 22. Nuage privé, hybride et public Virtualisation Virtualisation Nuage privée Nuage hybride Nuage public Nuage public des serveurs distribuée Nuage privé Nuage privé • Consolidation • Capex • Flexibilité • Agilité • Libre-service • Normalisation • Montée en charge • Élimination du Capex • Métrique • Grande flexiblité Organisation Nuage privé clement.gagnon@tactika.com Nuage public Nuage privéversion 1.0 En route vers le nuage privé ... 22
  23. 23. Opportunité(s) BIV Relève Organisation Nuage privé clement.gagnon@tactika.com Nuage public BIVversion 1.0 En route vers le nuage privé ... 23
  24. 24. Recommandations Analyse de risque Comprendre la technologie et son impact Restreindre les accès  Particulièrement les accès physiques Implanter la défense en profondeur  Prévention, détection et investigation Isoler les fonctions de sécurité  Mécanismes de cloisonnement / isolation physique Durcir TOUS les composants de l’infrastructure de virtualisation Définir l’usage des outils de gestion Implanter la séparation des tâches Extrait PCI DSS Virtualization Guidelines, v. 2version 1.0 En route vers le nuage privé ... 24
  25. 25. LA préoccupation de sécurité de la virtualisation Étendue des privilèges de l’administrateur de l’infrastructure virtuelle  Des pouvoirs importants sont entre les mains de l’administrateur  Réseau, serveurs, stockage  Les mesures de contrôles appropriées  Vérification des antécédents  Séparation des tâches  Réseau, serveurs, stockage  Limitation des habilitations au strict nécessaire  Journalisation des activités  Intégrité des journaux  Relève « humaine »  Audit  Formation  Corolaire : l’envergure et les moyens de l’organisation !  L’administrateur (un humain) est … le maillon faible de la sécurité de l’infrastructure ...version 1.0 En route vers le nuage privé ... 25
  26. 26. Quelques lectures PCI DSS Virtualization Guidelines  https://www.pcisecuritystandards.org/documents /Virtualization_InfoSupp_v2.pdfAddressing the Most Common Security Risks in Data Center Virtualization Projects  25 January 2010, Gartner / Analyst : Neil MacDonaldversion 1.0 En route vers le nuage privé ... 26
  27. 27. Questions ? Merci de votre attention ! Tactika inc. • clement.gagnon@tactika.com • www.tactika.com • @tactika • http://ca.linkedin.com/in/tactikaversion 1.0 En route vers le nuage privé ... 27

×