Scribd Logo
Importer

Bienvenue sur Scribd !

  • Jdev2017 p8 Prezalaintchana v4

    Transféré par

    Jordan Mefoumane
    67 vues41 pages

    Titre original

    jdev2017_p8_prezalaintchana_v4

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    67 vues41 pages

    Jdev2017 p8 Prezalaintchana v4

    Transféré par

    Jordan Mefoumane

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 41

    Sécurité dans le cloud computing

    Alain Tchana, Maître de Conférence -


    alain.tchana@enseeiht.fr
    N7 (enseignement), IRIT (recherche) - Toulouse
    Université de Toulouse

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    1 / 41
    N
    1 Contexte

    2 Sécurité dans le cloud

    3 Origine des ménaces

    4 Solutions et limites

    5 Conclusion

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    2 / 41
    N
    La sécurité est crucial dans ce monde
    tout numérique

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    3 / 41
    N
    La sécurité est crucial dans ce monde
    tout numérique

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    4 / 41
    N
    Cloud computing
    Principe de base
    I Mutuatlisation et Multi-tenant
    I Allocation à la demande et Paiement à l’usage

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    5 / 41
    N
    Quelques chiffres

    D’une étude menée par l’IDC (International Data Corpora-


    tion) en 2015
    I 53% des entreprises pensent que le cloud va augmenter leurs
    revenus en l’espace de deux ans
    I Une utilisation optimale apporte les gains suivants
    I Augmentation du chiffre d’affaires de 10%
    I Réduction des coûts de l’IT de 77%
    I Réduction du délai de provisionnement des services et
    applications de 99%
    I etc.

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    6 / 41
    N
    Quelques chiffres

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    7 / 41
    N
    1 Contexte

    2 Sécurité dans le cloud

    3 Origine des ménaces

    4 Solutions et limites

    5 Conclusion

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    8 / 41
    N
    Défis dans le cloud
    I Impact énergetique
    I Garantie de service
    I Standardisation
    I –Sécurité–

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    9 / 41
    N
    De graves conséquences

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    10 / 41
    N
    De graves conséquences

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    11 / 41
    N
    1 Contexte

    2 Sécurité dans le cloud

    3 Origine des ménaces

    4 Solutions et limites

    5 Conclusion

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    12 / 41
    N
    La ménace
    Externe
    I Attaque classique d’applications
    I Deni de service
    I Sniffer le réseaux

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    13 / 41
    N
    La ménace
    Un autre client
    I Possibilité d’avoir le concurrent dans le même cloud
    I Possibilité d’avoir un hacker dans le cloud
    I ⇒ espionnage du voisin

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    14 / 41
    N
    La ménace

    Le Fournisseur et ses employés


    I Le fournisseur peut revendre des informations
    I La loi peut contraindre le fournisseur à divulguer les données
    I Un employé mal intentionné ou pas
    Attaques physiques
    I Catastrophes naturelles: (coupure d’électricité dans un datacenter
    d’Amazon 12 Juin 2009)
    I Quid des attaques terroriste

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    15 / 41
    N
    1 Contexte

    2 Sécurité dans le cloud

    3 Origine des ménaces

    4 Solutions et limites

    5 Conclusion

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    16 / 41
    N
    Les solutions de sécurité
    Attaque par un client
    I Utilisation de la virtualisation/containerisation
    I l’isolation des ressources
    I l’isolation des espaces d’utilisation
    I l’isolation des défaillances

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    17 / 41
    N
    Les solutions de sécurité
    Limites de la virtualisation
    I Micro-ressources (cache) non isolées. Voir "Bolt: I Know What You
    Did Last Summer...In the Cloud" [ASPLOS 2017]
    I Composants de l’hyperviseur non isolés. Voir "An Experimental Study
    of Cascading Performance Interference in a Virtualized Environment"
    SIGMETRICS 2013

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    18 / 41
    N
    Les solutions de sécurité
    Limites de la virtualisation
    I Micro-ressources (cache) non isolées
    I Début de solution: Intel CAT (Cache Allocation Technology)
    I Composants de l’hyperviseur non isolés
    I Début de solution: Intel VT-d

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    19 / 41
    N
    Les solutions de sécurité
    Limites de la virtualisation
    I Des vulnérabilités dans le code source
    I Xen hypervisor: 184 vulnerabilities (2012-2016)
    I Linux kernel: 721 vulnerabilities (2012-2016)

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    20 / 41
    N
    Les solutions de sécurité

    Attaque par le fournisseur ou ses employés


    I Utilisation de la cryptographie (chiffrer les données)
    I Mais une fois en mémoire, les données seront déchiffrées, donc
    visible
    I Bus snooping
    I Utilisation de SGX (Software guard extensions)
    I Présent dans les derniers processeurs Intel: Skylake (2015), Kaby
    lake (2016)
    I Protection à la fois des données et des applications
    I Le déchiffrement ne se fait que dans le processeur

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    21 / 41
    N
    Les solutions de sécurité
    Focus sur SGX
    I La portion de mémoire chiffrée s’appelle "enclave".
    I Uniquement le code qui se trouve dans l’enclave peut accéder à
    l’enclave.
    I Le déchiffrement dans le processeur (Intel).
    I Même un accès physique à la machine (e.g. les bus de données)
    ne permet pas de voir les données.

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    22 / 41
    N
    Les solutions de sécurité

    Programmer des enclaves


    I Acquerir une machine avec des processeurs SGX-enabled
    I Activer SGX via le BIOS
    I Sous Windows
    I Installer MS Visual Studio Professional 2012
    I Installer Intel Platform Software and SDK
    I Linux: download and build Platform Software and SDK
    (https://github.com/01org/linux-sgx)

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    23 / 41
    N
    Les solutions de sécurité

    Quelques concepts et cycle de vie de l’enclave

    I EENTER pour démarrer l’exécution du code dans l’enclave


    I EEXIT pour terminer l’exécution
    I Ces deux instructions doivent être exécutées en Ring 3

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    24 / 41
    N
    Les solutions de sécurité

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    25 / 41
    N
    Les solutions de sécurité

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    26 / 41
    N
    Les solutions de sécurité

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    27 / 41
    N
    Les solutions de sécurité
    Attestation de l’enclave
    I Est ce que mon code qui s’exécute à distance est intact?
    I Attestation locale ou distante

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    28 / 41
    N
    Les solutions de sécurité

    Focus sur SGX: les limites


    I Des bugs de sécurité déjà (6 bugs aux dernières nouvelles), voir
    https://www.intel.com/content/dam/www/public/us/en/documents
    updates/desktop-6th-gen-core-family-spec-update.pdf

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    29 / 41
    N
    Les solutions de sécurité

    Focus sur SGX: les limites


    I La taille de l’enclave est limitée
    I uniquement 128MB
    I 96MB pour les utilisateurs, le reste pour les metadata
    I Les entrées et sorties de l’enclave ont un impact sur les
    performances
    I La gestion de l’enclave (pagination) est très coûteuse en
    performance
    I Plus important: Intel détient le monopole
    I Ceci peut constituer une ménace (car entreprise étrangère)

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    30 / 41
    N
    Les solutions de sécurité

    Attaque d’utilisateurs externes


    I Utilisation de la virtualisation/containerisation
    I Utilisation des firewall (e.g. Web Application Firewall ou encore
    "Security group" chez Amazon).
    I Le big data
    I Permet au fournisseur d’anticiper des attaques (détection des
    patterns, PCA par exemple)

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    31 / 41
    N
    Les solutions de sécurité

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    32 / 41
    N
    Les solutions de sécurité

    Attaque de terroristes et catastrophes


    I Réplication des données à travers plusieurs data centers
    I Constructions renforcées
    I Exemple du Cloud SAP: "The data center consists of 100,000
    metric tons of reinforced concrete and rests on 480 concrete
    pillars, each extending 16 meters into the ground. The exterior
    walls are 30 centimeters thick and made of reinforced concrete.
    The server rooms are further surrounded by 3 concrete walls.
    This design provides effective protection against storms and even
    a small airplane crash."

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    33 / 41
    N
    Les solutions de sécurité

    Respecter les normes et récommandations


    I Norme ISO 27001 pour les data centers en général
    I Norme ISO/IEC 27018 en complément pour les clouds
    I Des récommandations basiques
    I Controller l’access physique au data center: "A lot of people will
    forget the physical because there is so much on the network side"
    Corbin Miller de la NASA.
    I Bien séparer les data centers de production des data centers R&D.
    I Régulièrement scanner les vulnerabilités des applications
    (utilisation de IBM Rational AppScan pour les apps. web par
    exemple)

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    34 / 41
    N
    Les solutions de sécurité

    Respecter les normes et récommandations


    I Suivre les trainings pour la certification CCSK
    I Se tenir à jour des rapports d’organismes qui traitent de la
    sécurité
    I ENISA (Agence européenne chargée de la sécurité des réseaux et
    de l’information)
    I Cloud Security Alliance

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    35 / 41
    N
    Qui est responsable de quoi?

    IaaS
    I Le client: application, données et système d’exploitation
    I Le fournisseur: hyperviseur, machine physique, locaux
    PaaS
    I Le client: données, une partie des applications
    I Le fournisseur: une partie des applications, système
    d’exploitation, hyperviseur, machine physique, locaux
    SaaS
    I Le client: rien
    I Le fournisseur: tout

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    36 / 41
    N
    1 Contexte

    2 Sécurité dans le cloud

    3 Origine des ménaces

    4 Solutions et limites

    5 Conclusion

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    37 / 41
    N
    Conclusion

    I Le cloud est très attractif


    I Concentration de plusieurs entreprises
    I Cible privilégiée pour des attaques
    I Plusieurs sources d’attaques
    I Il existe des solutions encourageantes (SGX), malgré quelques
    limitations

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    38 / 41
    N
    Perspectives
    Une forme de ménace reste ouverte
    I Le cloud est souvent utilisé pour mener des actions malveillantes
    dont les victimes sont hors du cloud

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    39 / 41
    N
    Perspectives
    Une forme de ménace reste ouverte
    I Utilisation par des terrosites pour faire transiter des données
    discrètement

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    40 / 41
    N
    Fin

    I Merci pour votre attention


    I (Merci à Pascal Felber, Pr. Neuchatel - Suisse, pour la partie SGX)
    I "Un ordinateur en sécurité est un ordinateur éteint. Et encore..."
    Bill Gates.

    Alain Tchana, Maître de Conférence - alain.tchana@enseeiht.fr N7 (enseignement), IRIT (recherche) - Toulouse


    41 / 41
    N

    Vous aimerez peut-être aussi