le bon, la brute et le truand dans les nuages
DESCRIPTION
TRANSCRIPT
![Page 1: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/1.jpg)
© 2011 - S.Gioria
CONFOO – Montréal Québec - Canada
9 Mars 2011
Copyright © 2009 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License.
The OWASP Foundation http://www.owasp.org
Sébastien Gioria (French Chapter Leader & OWASP Global Education Committee Member) [email protected]
Le bon, la brute et le truand dans les nuages
(ou comment percevoir la sécurité dans le Cloud)
![Page 2: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/2.jpg)
© 2011 - S.Gioria
q Expérience en Sécurité des Systèmes d’Information > 0x0D années
q Différents postes de manager SSI dans la banque, l’assurance et les télécoms
q Expertise Technique ü Gestion du risque, Architectures fonctionnelles, Audits ü S-SDLC : Secure-Software Development LifeCycle. ü PenTesting, Digital Forensics ü Consulting et Formation en Réseaux et Sécurité
OWASP France Leader - Evangéliste -
OWASP Global Education Comittee Member ([email protected])
CISA && ISO 27005 Risk Manager
q Domaines de prédilection : ü Web, WebServices, Insécurité du Web.
Twitter :@SPoint Consultant Sécurité Sénior au sein du cabinet d’audit
![Page 3: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/3.jpg)
© 2011 - S.Gioria
Agenda
Introduction Révolution ou mirage ? Différents modèles, différents risques Différents modèles, différentes solutions Un peu de littérature Et après ?
![Page 4: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/4.jpg)
© 2011 - S.Gioria
Les hackers sont astucieux
![Page 5: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/5.jpg)
© 2011 - S.Gioria
Vainqueurs a la CVE 2010
Produit 1er 2ème 3ème
Système d’exploitation
Linux Kernel (129)
Windows Server 2008 (93)
Apple IOS (35)
SGBD Oracle (36) Mysql (3) MS-SQL Server (1)
Navigateur Chrome (164) Safari (130) Firefox (115)
Clouds ? / Virtualisation
VmWare (125)
Xen (24) Hyper-V(2) – Azure (1)
• Il n’y a pas un meilleur editeur/constructeur…. • Sinon on ne serait pas aux aguets tous les 2èmes mardi du mois. • Sinon les bulletins du CERT seraient vides… • Et surtout Oracle ne mentirait pas sur son surnom*… • Le Cloud est compliqué…..
*:unbreakable => dernier Patch Update 10/10 à la CVSS (encore une fois)…
![Page 6: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/6.jpg)
© 2011 - S.Gioria
Soyons donc précis !
![Page 7: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/7.jpg)
© 2011 - S.Gioria
Révolution ?
![Page 8: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/8.jpg)
© 2011 - S.Gioria
Mirage ?
Type Infrastructure as a Service (IaaS) Platform as a Service (PaaS). Software as a Service (SaaS).
Beer as a Service (BaaS) * ? * Guinness for me please….
http
://w
ww
.clo
udse
curit
yalli
ance
.org
/gui
danc
e.ht
ml
![Page 9: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/9.jpg)
© 2011 - S.Gioria
Modèles
Cloud Privé : Dédié à une entreprise
Cloud partagé Mutualisé pour une communauté
Cloud Public Grand public,
Cloud Hybride Composé d’un ou plusieurs cloud précédent.
![Page 10: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/10.jpg)
© 2011 - S.Gioria
Les acteurs ?
Les mastodontes* : Google
§ 27/02/2011 : Google Mail perd des mails…..
Amazon § 09/2009: L’isolation dans le Cloud EC2 d’Amazon a des
fuites…. § 01/2011: Using Amazon Cloud to crack WPA keys (**)
Microsoft Azure : § …
*Et non pas les éléPHPants
** http://www.reuters.com/article/2011/01/07/us-amazon-hacking-idUSTRE70641M20110107
![Page 11: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/11.jpg)
© 2011 - S.Gioria
![Page 12: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/12.jpg)
© 2011 - S.Gioria
Qui contrôle quoi ?
Données
Applications
Machine Virtuelle
Serveur
Stockage
Réseau
Interne
Données
Applications
Machine Virtuelle
Serveur
Stockage
Réseau
Hébergeur
Données
Applications
Machine Virtuelle
Serveur
Stockage
Réseau
IaaS public
Données
Applications
Machine Virtuelle
Serveur
Stockage
Réseau
PaaS public
Données
Applications
Machine Virtuelle
Serveur
Stockage
Réseau
SaaS public
L’entreprise a le contrôle
Partage du contrôle avec le fournisseur
Le fournisseur de cloud a le contrôle
Burton Group : Cloud Computing Security in the Enterprise – Jul. 2009
![Page 13: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/13.jpg)
© 2011 - S.Gioria
Perte de la maitrise….
Sur le matériel…. Constemment externalisé
Sur le logiciel Quelle confiance ai-je sur le modèle déployé par le
fournisseur ? Quelle confiance ai-je dans le développement ?
Sur le réseau…. Quelle est la réelle connectivité ?
Sur l’organisation Les choix matériels et/ou logiciels peuvent impacter
les mesures de sécurité.
![Page 14: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/14.jpg)
© 2011 - S.Gioria
Risque sur les données
Perte du contrôle sur les données L’administrateur a les « clefs » d’accès
Comment sont effacées les données en cas de fin du contrat ?
Comment sont « sauvegardées »/ « archivées » les données ?
![Page 15: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/15.jpg)
© 2011 - S.Gioria
Risques techniques sur la virtualisation
Problèmes d’isolation des Machines virtuelles : Les pilules et autres médicaements de Johanna :
§ http://invisiblethings.org/papers/Security%20Challanges%20in%20Virtualized%20Enviroments%20-%20RSA2008.pdf
Partage des ressources : Disques RAM Processeur Réseau
![Page 16: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/16.jpg)
© 2011 - S.Gioria
Gestion des données sensibles
Les interfaces d’administration contiennent des données sensibles…. Les mots de passes sont souvent les même en interns
et en externe….
Les interfaces d’administration permettant d’effectuer de l’approvisionnement a la demande sont sensibles
Les APIs du Cloud ne sont peut être pas « sécurisées » Absence de clefs de chiffrement Absence de token de transaction…..
![Page 17: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/17.jpg)
© 2011 - S.Gioria
Et la réversibilité ?
Problèmes de disponibilité
Forte dépendance
Pas de normes d’interopérabilité sur les Clouds ….
![Page 18: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/18.jpg)
© 2011 - S.Gioria
![Page 19: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/19.jpg)
© 2011 - S.Gioria
Les 13 domaines de travaux du Cloud
La Cloud Security Alliance définit 13 domaines : I. Architecture
1. Cadre d’architecture du cloud Computing
II. Gouvernance 2. Gouvernance et gestion des risques 3. Aspects juridiques liées aux données 4. Conformité et audit 5. Cycle de vie de l’information 6. Portabilité et interopérabilité
http://www.cloudsecurityalliance.org/guidance.html
![Page 20: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/20.jpg)
© 2011 - S.Gioria
Les 13 domaines de travaux du Cloud
III. Opérations 7. Sécurité, continuité, reprise d’activité 8. Opérations du datacenter 9. Gestion des incidents, notifications, remédiation 10. Sécurité applicative 11. Chiffrement et gestion des clés 12. Gestion des identités et accès 13. Virtualisation
http://www.cloudsecurityalliance.org/guidance.html
![Page 21: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/21.jpg)
© 2011 - S.Gioria
PRÉCAUTIONS POUR LE DÉVELOPPEMENT
Ou comment sécuriser le SaaS….
![Page 22: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/22.jpg)
© 2011 - S.Gioria
Le problème
Confidentialité Protéger les données, les systèmes, les processus
d’un accès non autorisé
Intégrité Assurer que les données, systèmes et processus sont
valides et n’ont pas été modifiés de manière non intentionnelle.
Disponibilité Assurer que les données, systèmes et processus sont
accessible au moment voulu
![Page 23: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/23.jpg)
© 2011 - S.Gioria
Le problème
Traçabilité Assurer le cheminement de toute donnée, processus
et la reconstruction des transactions
« Privacy » Assurer que les données personnelles sont sous le
contrôle de leur propriétaire
Conformité Adhérer aux lois et réglementations
Image de marque Ne pas se retrouver à la une du journal « Le Monde »
suite à un incident
![Page 24: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/24.jpg)
© 2011 - S.Gioria
La menace Les gouvernements ? Le concurrent La mafia Le chômeur… L’étudiant Le « script kiddies » Mon fils de 3 ans
Capacité de
protection
« Personne ne nous piratera »
Mais……
![Page 25: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/25.jpg)
© 2011 - S.Gioria
Défense en profondeur
![Page 26: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/26.jpg)
© 2011 - S.Gioria
Pourquoi est-ce un problème global ?
![Page 27: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/27.jpg)
© 2011 - S.Gioria
Le Mercenaire des menaces(*)
10/03/2011 – 9h45
* Un burger et vous l’achetez….
![Page 28: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/28.jpg)
© 2011 - S.Gioria
Chuck Norris OWASP ASVS à la rescousse
Quelles sont les fonctionnalités à mettre en oeuvre dans les contrôles de sécurité nécessaires à mon application
Quelle est la couverture et le niveau de rigueur à mettre en oeuvre lors de la vérification de sécurité d'une application.
Comment comparer les différentes vérifications de sécurité effectuées
Quel niveau de confiance puis-je avoir dans une application
Spécifications/Politique de sécurité des développements
Aide à la revue de code
Chapitre sécurité des contrats de développement ou des appels d’offres !
![Page 29: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/29.jpg)
© 2011 - S.Gioria
Principes de développement
KISS : Keep it Short and Simple 8 étapes clés :
Validation des entrées Validation des sorties Gestion des erreurs Authentification ET Autorisation Gestion des Sessions Sécurisation des communications Sécurisation du stockage Accès Sécurisé aux ressources
![Page 30: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/30.jpg)
© 2011 - S.Gioria
KISS : Keep it Short and Simple
Suivre constamment les règles précédentes Ne pas « tenter » de mettre en place des
parades aux attaques Développer sécurisé ne veut pas dire prévenir la
nouvelle vulnérabilité du jour Construire sa sécurité dans le code au fur et a
mesure et ne pas s’en remettre aux éléments d’infrastructures ni au dernier moment.
![Page 31: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/31.jpg)
© 2011 - S.Gioria
10/03/2011 – 13h30
Parfois il faut faire sa pub ;)
![Page 32: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/32.jpg)
© 2011 - S.Gioria
Cet homme peut vous aider(*)
10/02/2011 : 14h45
* : je suis d’accord on dirait pas J sur cette photo
![Page 33: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/33.jpg)
© 2011 - S.Gioria
Mettre en place les Tests Qualité
Ne pas parler de tests sécurité ! Définir des fiches tests simples, basées
sur le Top10/TopX : Tests d’attaques clients/image de marque (XSS) Tests d’intégrité (SQL Injection, …) Tests de conformité (SQL/LDAP/XML Injection) Tests de configuration (SSL, interfaces d’administration)
Ajouter des revues de code basées sur des checklists SANS/Top25 OWASP ASVS ….
![Page 34: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/34.jpg)
© 2011 - S.Gioria
De la littérature
![Page 35: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/35.jpg)
© 2011 - S.Gioria
De la littérature
ENISA : Benefits, risks and recommendations for information
security (11/2009)
NIST : SP800-144 : Guidelines on Security and Privacy in
Public Cloud Computing (01/2011)
Cloud Security Alliance : Top Threats to Cloud Computing V1.0 (03/2010) Security Guidance for Critical Areas of Focus In Cloud
Computing V2.1 (12/2009)
![Page 36: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/36.jpg)
© 2011 - S.Gioria
Conclusion ?
© Flickr – Mathieu aubry
![Page 37: Le bon, la brute et le truand dans les nuages](https://reader034.vdocuments.net/reader034/viewer/2022051513/5479c082b4af9fa5158b48d8/html5/thumbnails/37.jpg)
© 2011 - S.Gioria
Remerciements
Pascal Saulière (@psauliere)
AF (@starbuck3000)
Les deux Arthur(s)