Vous songez à réduire vos coûts liés à la gestion de vos infrastructures technologiques et de vos applications? Vous avez entendu dire que le Cloud Computing (pour certains l'infonuagique ou informatique en nuage) permettait d’augmenter la disponibilité, la performance et l'extensibilité de vos applications tout en protégeant vos actifs informationnels? En consommateur avisé, vous êtes méfiants et aimeriez en savoir davantage avant de vous lancer dans une aventure ou seuls les plus aguerris s’en sortent sans y laisser de plumes. Si tel est votre cas, ou si vous êtes tout simplement curieux de voir l'envers de la médaille, cette conférence est pour vous! Nous vous apporterons des pistes de solutions ainsi qu’un retour sur nos expériences de travail vécues sur la sécurité dans le Cloud.
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
1. The OWASP Foundation
http://www.owasp.org
Ce que vous devriez savoir
sur le “Cloud computing”
Yann Rivière
Patrick Leclerc
2. Yann Rivière
@yannriviere
• 14 ans d’expérience
• 3 ans au Canada, le reste en France
• Défense, Télécom, Consultation
• Architecte en sécurité
• Directeur de la pratique architecture chez EGYDE
CISSP, CISM, CCSK, CRISC, ITILv3
Conseils
• Membre du conseil d’administration d’ISACA
Québec
3. Patrick Leclerc
• 20 ans d’expérience en développement,
architecture logicielle et sécurité
• Architecte logiciel et sécurité applicative
Directeur de la pratique sécurité
applicative chez EGYDE Conseils
• Leader du chapitre OWASP Québec
• Chroniqueur occasionnel du magazine
SÉCUS
4. Plan de la présentation
• Mise en contexte du Cloud Computing
• Modèles de service et de déploiement
• Responsabilités et enjeux de sécurité
• Sécurité applicative et Cloud
• Retours sur expérience
|4
7. 7
Définition
Le Cloud computing est un modèle de service
permettant l’omniprésence et l’accès à la demande via
le réseau d’un partage de ressources informatiques
configurables (par exemple réseaux, serveurs, stockage,
applications et services) de manière commode avec
possibilité de mise à disposition et de restitution
rapide dans un effort minimal de gestion ou
d’interaction avec le fournisseur du service.
NIST SP800-145 : The NIST Definition of Cloud Computing
8. 8
Historique
Origine du terme Cloud Computing
• Cloud : Utilisé en science pour décrire agglomération
d’objets distant dont les détails intéressent peu dans
un contexte donné
• Métaphore : Utilisé dans les diagrammes pour
représenter les réseau téléphoniques et maintenant
l’internet
9. 9
Historique
1950 : Partage des accès au mainframe
• Time sharing et CPU
1970 : Concept de la machine virtuelle
• Système IBM CP-40 : Premier OS a permettre la virtualisation
1990 : Les compagnies offrent des accès VPN (Virtual Private Network)
• vs connexion point à point
1999 : Salesforce.com
• Conceptualise la délivrance d’application d’entreprise via site Web
2004 : Amazon AWS
• SQS : Simple Queue Service
• 2006 : EC2 et S3
2008 : Google App Engine preview et Microsoft annonce Azure
• 2010 : commercialisation Azure
• 2011 : Google App Engine sort du mode preview
2014 : vous utilisez tous les jours le Cloud
• Netflix
• Dropbox
• Gmail
• Amazon
• Etc…
10. Caractéristiques essentielles du Cloud
Service à la demande (As a Service)
Accès par le réseau et selon des mécanismes standards IP
• HTTP/s par exemple
Partagé en général
Extensible (scalable)
• Augmentation et diminution des capacités de calcul, stockage,
bande passante etc..
Service mesuré
• Contrôles, supervision et reporting des ressources utilisées
• Facturation
12. Les modèles services
3 différents modèles
IaaS
(Infrastructure as a Service)
PaaS
(Platform as a Service)
SaaS
(Software as a Service)
Stockage
Calcul
Réseau
Niveau d’abstraction
Développement Applications
13. Les modèles de déploiement
Organisation B
13
Organisation A
Cloud Public
Cloud Privé
Cloud Privé
Cloud
Communautaire
Cloud Privé
Cloud Public
Cloud Hybride
15. 15
Les responsabilités de sécurité dans le Cloud
Ligne des responsabilités La sécurité est de votre responsabilité
IaaS PaaS SaaS
Données
Application
Machine virtuelle
Hyperviseur
Stockage
Réseau
Données
Application
Machine virtuelle
Hyperviseur
Stockage
Réseau
Données
Application
Machine virtuelle
Hyperviseur
Stockage
Réseau
16. 16
Quelques faits de 2014
10 Janvier 2014 : Dropbox, Plus de 175 millions d’utilisateurs
• 2 jours de panne, erreur dans un script de maintenance
https://tech.dropbox.com/2014/01/outage-post-mortem/
24 Janvier 2014 : Google
• Gmail, Docs, Calendar et documents s’arretent pendant 30 mns
• Erreur dans le un système interne qui génère des configuration pour les serveurs
http://googleblog.blogspot.fr/2014/01/todays-outage-for-several-google.html
14 Mars 2014 : Dropbox disparait , prise 2
• Le service n’est plus fonctionnel pendant une heure
• Aucun détail sur la cause de l’incident….
https://twitter.com/dropbox_support/status/444498998636728320
17 Mars : Google disparait, prise 2
• Talk, Hangouts, Voice et App Engine down pendant 3.5 heures
• Maintenance qui a mal tournée, self Denial of Service
http://static.googleusercontent.com/media/www.google.com/en/us/appsstatus/ir/foyrkcdqoojjapj.pdf
20 Avril 2014 : Les TV intelligents de Samsung ne fonctionnent plus
• Toute les SmartTV Samsung présentaient des erreurs aux utilisateurs
• Cause : incendie dans la salle serveur de Samsung
http://www.pcworld.com/article/2146160/fire-at-samsung-facility-affects-website-media-portal.html
17. 17
Quelques faits de 2014
12 Juin 2014 : iCloud n’est plus accessible pendant quelques heures
• Aucune explication de la part d’Apple
23 Juin 2014 : Microsoft Exchange et Lync ne sont plus fonctionnel pendant quelques heures
• Logiciel de communication de la suite Office 365, Vidéoconférence, tchat
• Courriels
• Cause : problème de routage (Lync) et problème d’annuaire (Exchange)
24 Juin 2014 : Microsoft Exchange Online n’est plus fonctionnel pendant 9 heures
• Problème de réseau…
30 Aout 2014 : Compte iCloud piratés et photos de célébrités diffusées
• Pas de faille dans le service
• Seulement des attaques ciblées (login, mot de passe et questions de sécurité)
18. 18
Les points d’attaque du Cloud
Internet
SaaS
PaaS
IaaS
Humain
Hyperviseur
Interfaces, APIs
Réseau virtuel, Mémoire, CPU Système d’exploitation
Outils d’administration
Moteur d’exécution
Application
Humain
Poste de travail
Réseau
Console d’administration
19. 19
(« Notorious Nine », Threat Working Group de la CSA)
1. Vol de données
Les menaces
Cross-VM attacks (http://www.cs.unc.edu/~yinqian/papers/crossvm.pdf)
2. Perte de données
Effacement, destruction de données (Mat Honan, Sidekick)
3. Vol de comptes d’administration
Perte de confiance dans toute l’infrastructure
4. API non sécurisées
Authentification en clair, authentification faible
5. Déni de service
Pris dans les bouchons. Attendre et payer ou couper le service
6. Utilisateurs internes malintentionnés
Un espion chez votre fournisseur, un employé corrompu ?
7. Abus des services Cloud (fournisseurs…)
Puissance de calcul (cracking), Attaque DDoS
8. Insuffisance dans les vérifications préalables (due diligence)
Mentalité « Ruée vers l’or »
9. Vulnérabilités induites par le partage de ressources
Un seul composant piraté expose de multiples clients
21. 21
Les risques du Cloud
R1: Responsabilités et risques aux données
Les degrés de responsabilité et de contrôle sur les données
varient en fonction du modèle de services Cloud utilisé. En fait, vous
risquez de perdre le contrôle de vos données…
• Peut-être devriez-vous vous assurer de pouvoir récupérer vos
données en cas de changement de fournisseur ou en cas de
fermeture de votre fournisseur?
• Votre organisation (vos données) peut se retrouver captive de
votre fournisseur
22. 22
Les risques du Cloud (suite)
R2: Authentification / Fédération des identités utilisateurs
• Quelle(s) identité(s) vos utilisateurs utiliseront-ils sur le Cloud?
• Comment s’authentifieront vos différentes clientèles?
• Assurez-vous de garder le contrôle des identités de vos
utilisateurs tout au long de votre transition vers le Cloud.
• Sinon ils auront à gérer plusieurs codes d’accès et vous
compliquerez significativement votre gestion des identités et
des accès.
• Cela facilitera les éventuelles intégrations de données entre
vos différents fournisseurs de Cloud
23. 23
Les risques du Cloud (suite)
R3: Conformité aux lois et contextes règlementaire
Ce qui est perçu comme sécuritaire dans un pays/région peut ne pas
l’être dans un autre en raison des différentes lois et règlements
applicables.
• Où seront hébergées vos données?
R4: Continuité des affaires et robustesse
Lorsque vous déployez vos applications sur le Cloud, vous déléguez
aussi la responsabilité de la continuité des vos activités à votre
fournisseur de cloud.
• Est-ce que celui-ci peut vous garantir un niveau de service
approprié en cas de catastrophe?
24. 24
Les risques du Cloud (suite)
R5: Confidentialité et l’usage des données privées
Au moment où un utilisateur utilise les réseaux sociaux débute la
collecte des données sur l’individu. La plupart des réseaux
sociaux offrent par défaut un usage peu restrictif de vos données
personnelles (partage, data mining, collecte d’informations sur les
comportements des utilisateurs, publicités ciblée, etc.)
Vérifiez les clauses de confidentialités, d’usage secondaire des
données et de la collecte d’informations sur les comportements
des utilisateurs.
• Quelles garanties le fournisseur peut démontrer qu’il respecte
l’usage prévu?
• Comment voir qui a accédé aux données?
25. 25
Les risques du Cloud (suite)
R6: Intégration des services et des données
Pour éviter l’interception et le vol des données en transit, la
sécurisation des communications est indispensable: soit par le
chiffrement du protocole de transport et/ou des messages sécurisés.
• Étudiez toutes les protections offertes, notamment pour d’établir
des connexions avec des niveaux de sécurité plus élevés entre
machines.
• Vos données secrètes doivent être chiffrées avant d’être déposées
sur le Cloud. Il peut être même préférable de ne pas stocker
inutilement de telles données sur le Cloud.
26. 26
Les risques du Cloud (suite)
R7: Multi-location et sécurité physique
Dans le Cloud les ressources et les services sont partagés entre
plusieurs clients (CPU, mémoire, réseau, stockage, bases de
données). Des contrôles doivent assurer que les locataires ne
débordent pas accidentellement (ou délibérément) en dehors de leur
zone de confinement.
• Les mécanismes d’isolation des machines virtuelles et la
séparations des accès par adresses IP sont à la base de la
sécurité sur le Cloud.
• Les applications ayant un profil de risque plus élevé ne devraient
préférablement pas être déployées sur les mêmes instances que
les applications ayant un niveau de sécurité plus faible.
27. 27
Les risques du Cloud (suite)
R8: Analyse des incidents
Dans le cas d'un incident de sécurité , les applications et services
hébergés chez un fournisseur de cloud sont plus difficiles à analyser
• Les incidents de sécurité sont plus complexes à investiguer
lorsque la journalisation est distribuée sur plusieurs serveurs
répartis dans des différents centres de données.
• La colocation de données (appartenant à plusieurs clients
différents) résidant sur des mêmes disques physiques, peut
engendrer certaines complications dans le cas d’une saisie
d’enquête.
28. 28
Les risques du Cloud (suite)
R9: Sécurité de l’infrastructure et des applications
L'infrastructure et les applications doivent être durcies, configurées
et maintenues rigoureusement… en observant les meilleures
pratiques de l'industrie.
Même dans le Cloud, la segmentation des zones de sécurité et les
architectures n-tiers sont des concepts à prendre en compte pour
assurer la sécurité.
• La séparation des tâches et des rôles d’administrations doivent
être dûment contrôlés.
• Des audits de contrôles périodiques devraient être réalisés par
une firme indépendante.
• Sécurisez rigoureusement les interfaces d’administration.
• Les clefs d’accès aux données doivent être protégées et
changées sur une base régulière.
• Évaluez les risques et prenez les mesures appropriées!
29. 29
Les risques du Cloud (suite)
R10: Exposition des environnements de développement
Dans la plupart des organisations les environnements de
développement et de pré-production sont moins sécurisés que
ceux de productions.
• Si dans le Cloud ces environnements ne sont pas sécurisés
adéquatement, ils peuvent représenter de forts risques d’accès
non-autorisés, de modifications et de vol d’informations.
30. 30
Les risques du Cloud (bonus!)
Optimisation des applications
Puisque vous payez à l’utilisation, une application non-optimisée
occasionnera des coûts supplémentaires:
• Mémoire
• CPU
• Stockage
• Communications
• Ne pas conserver ou faire transiter plus de données qu’il n’en faut
• Concevez donc vos systèmes comme si les ressources étaient
limitées!
32. 32
Les risques de sécurité applicative
sur le Cloud
• D’un point de vue applicatif, le Cloud n’est qu’une nouvelle
façon de déployer les ressources informatiques.
• Contrairement à certaines perceptions, le Cloud n’opère aucune
magie quant à la sécurité des applications:
• une application non sécuritaire à l’interne le sera tout autant
dans le Cloud, sinon plus...
• Si la sécurité d’une application n’est pas déjà assurée à
l’intérieur de votre organisation, elle ne pourra l’être davantage
sur le Cloud.
33. 33
Les risques de sécurité applicative
sur le Cloud
• Dans le Cloud vous devrez prendre en compte l’augmentation de
l’exposition de votre application, ou plutôt l’augmentation de la
probabilité d’une attaque, et ce tant au niveau infrastructure
qu’au niveau applicatif.
• Si vous migrez sur le Cloud une application autrefois conçu pour
un usage interne, vous aurez certainement à composer avec une
augmentation de la probabilité d’usages abusifs.
• Il est encore plus important dans un développement de
solutions Cloud d’anticiper les menaces tôt dans le cycle de
développement qu’il ne l’est pour un développement traditionnel.
37. Retour d’expérience SaaS :
Google Apps for Business
Outils Web de bureautique et de collaboration (payant)
• Gmail : Courriel Web
• Google Calendar : Agenda en ligne
• Google Docs : Documents, tableur, dessins et présentations
• Google Site : Site Intranet/Extranet par Google
• Google Video : Youtube Like pour entreprise
Vise une clientèle d’affaire et gouvernementale
Différent de ce que vous connaissez
37
38. Mon expérience avec Google Apps
• Caractère d’urgence : choix financier
• Groupe de travail « Google Apps Security »
– 13 officiers de sécurité
– Centraliser les informations et animer le groupe
– Collaborer avec Google
• Démarche
– Parcourir et lister toutes les fonctionnalités des Apps
– Résultat : Matrice de 105 fonctionnalités
– Affectation d’une « cote de risque » à chaque fonctionnalité
• Stocké dans un document Google Apps (spreadsheet)
• Remonter les points aux équipes Google
– Tenter de faire corriger
38
39. Certifications Google (2009)
Google Apps est certifié SSAE 16 et ISAE 3402 et FISMA
• Statement on Standards for Attestation Engagements 16
• International Standard on Assurance Engagements (ISAE) 3402
• Federal Information Security Management Act (2002)
Assurance raisonnable qu’il y a des contrôles dans l’organisation
• Sécurité logique
• Protection des renseignements personnels
• Sécurité physique des centre de données
• Redondance et incidents sont gérés
• Gestion du changement (code review and testing before production release)
• Organisationnel : mécanismes de communication dans l’organisation
Le rapport inclus
• Description des contrôles de l’organisation
• Les tests détaillés des contrôles sur une période de 6 mois
• 1 fois par année
• Première Suite de Cloud Computing a être approuvée pour une utilisation
gouvernementale US
– Pourquoi ? : Gmail and Google Agenda sont ségrégués dans des centres de
données aux USA (ne quittent pas le territoire)
39
40. Quelques remarques sur la sécurité en
de la solution (2009)
• Authentification
– Seulement login + Mot de passe ?
• Protection des données
– Mode hors ligne (Google Gear) ?
• APIs Google
– Contournement de l’authentification déportée?
• Console d’administration
– Disponible mondialement ?
• Utilisateur
– Je suis un utilisateur tout puissant !
• Portabilité
• Export et téléchargement des données
40
41. Choses à savoir…
Une image insérée dans un document Google est publique
• https://docs.google.com/document/d/17JwEGk76jKLv1fOd17yB5VvykiyplI0lHpBs
nSEk-Qk/edit
• Preuves : http://bit.ly/YqPelu , http://bit.ly/RzK0BB
41
42. Choses à savoir…
• Sécurité des tableurs par colonne :
– peut être outrepassée
• Utilisateur en lecture seule
– Pouvoir d’écraser le document
• Supprimer un utilisateur : Supprimer tout ses documents
– Pas de retour arrière
• Visualisation des données partagées:
– N’existe pas
– Outils tiers/API
42
43. |43
Références
• OWASP Cloud Top 10 Security Risks
• https://www.owasp.org/index.php/Category:OWASP_Cloud_%E2%
80%90_10_Project
• Notorious Nine (TOP 9 des menaces)
https://cloudsecurityalliance.org/research/top-threats
• NIST SP800-145 : http://csrc.nist.gov/publications/nistpubs/800-
145/SP800-145.pdf
• https://cloudsecurityalliance.org
44. OWASP World
L’OWASP (www.owasp.org) est
une organisation mondiale à but
non-lucratif (501c3)
Elle a pour mission de rendre la
sécurité applicative visible afin de
permettre au gens et organisations de
prendre des décisions informées
sur les vrais risques de sécurité
des applications.
Tout le matériel OWASP est
disponible gratuitement sous
licence « open software ».
OWASP demeure neutre et
indépendante des fournisseurs de
produits et de services
45. 45
Plusieurs ressources OWASP...
• Top 10 (2013) des risques de sécurité applicatives
• OWASP Secure Coding Practices
• OWASP Cheat sheets
• OWASP Code Review Guide
• OWASP Testing Guide
• OWASP ASVS 2.0 (Application Security Verification Standard)
• OWASP Zed Attack Proxy (ZAP)
• OWASP Webgoat et BWA (Broken Web Application)
• OWASP podcasts, vidéos, webinars, présentations, livres…
• Open SAMM
De tout pour tous les profils!
46. 46
Impliquez vous! Supportez-nous!
Bénéfices des membres OWASP: $50/an
• Rabais sur les conférences
• Une adresse de courriel: toi@owasp.org
• Droit de vote dans les élections
• Reconnaissance sur le site de l’OWASP
• 40% du montant peut être versé au chapitre
• Pour nous commanditer, suivre le lien « donate » sur
https://www.owasp.org/index.php/Quebec_City
47. 47
Supportez OWASP!
Devenir membre pour un don annuel de:
• Individuel $50
• Corporatif $5000
Permet à OWASP de supporter les initiatives:
projets, listes de distribution,
conférences, podcasts, bourses et coordination des
activités mondiales…