presentation café numérique par grégory ogonowski
DESCRIPTION
Qu'est-ce que le Cloud? Quelles sont lesTRANSCRIPT
Cloud Computing
La face cachée du cloud est-elle fiable ?
2
Services ICT partagés pour des institutions publiques
Développement
applicatif
Infrastructures
Personnel
spécialisé
ICT pour l’emploi, la santé & la famille
• Fournisseur ICT ‘in-house’ • ASBL contrôlée par les
institutions membres • Focus sur la sécurité sociale &
les soins de santé • 1750 collaborateurs • 222 millions d’EUR CA (2012)
A propos de Smals
3
Sommaire
Introduction
Technologies utilisées
Sécurité
Conclusion
4
Introduction
Hard-discount de l’IT
• Accès immédiat
• Libre-service
• Choix de la quantité d’articles
• Paiement uniquement des articles choisis
• Provenance des articles transparente pour l’utilisateur
5
Technologies utilisées Virtualisation
Virtualisation
• Scission plus forte entre le matériel et les logiciels
• Déplacement de l’OS d’un serveur physique à l’autre sans interruption de service
• Meilleure disponibilité et scalabilité
6
Technologies utilisées Mutualisation des ressources
Mutualisation
• Services de base configurables
• Pool de machines de taille ajustable
• Bonne tolérance aux pannes
Couche d’administration
Middleware
DB
7
Technologies utilisées Equipements réseaux
Protection du trafic entrant et sortant (schémas simplifiés)
Web security Gateway
Internet
Router
Traffic shaper
Firewall
Load Balancer
Reverse proxy
IDS
WAF
IDS : Intrusion Detection System WAF : Web Application Firewall EDLP : Endpoint Data Loss Prevention
Proxy DLP
Workstation + EDLP
8
Technologies utilisées Gestion du stockage
Utilisation d’équipements adaptés
Emploi de systèmes de fichiers distribués (GlusterFS, HDFS, …)
SITE 2SITE 1
1
2
3
4
1
2
3
4
1
2
3
4
1
2
3
4
Data
SAN VS
9
Technologies utilisées NoSQL
Key/Value COLUMN
DOCUMENT GRAPH
N1
N2
N3
N4 N5
K
F1 : V
F2 : V, V, V
F3 : V
F4 : V, V
F5 : V
F6 : V
K1 C1 : V C2 : V C3 : V Key Value
10
Technologies Utilisées NoSQL
11
Technologies utilisées Et le reste…
Et bien plus encore :
DAM
Logging
Archivage
Backup
DRP
Honeypot
Groupe Diesel + Batteries
…
Nombreux domaines d’expertise requis
12
Technologies utilisées D’immenses datacenter
13
Sécurité D’où peuvent venir les attaques
14
Sécurité D’où peuvent venir les attaques
Le Web est surveillé :
Patriot Act
FISA
PRISM
XKeyscore
15
Sécurité Les fournisseurs ne se valent pas tous
Le fournisseur vous protège des attaques extérieures : sécurité généralement bonne, mais à évaluer
De l’intérieur, c’est autre chose (ex : Dropbox)
La documentation est-elle sérieuse ? Mauvais exemple :
cryptage md5 160 bits Oh Gosh !!!
Chiffrement pas suffisant : comment sont chiffrées les données
comment sont générées les clés (PBKDF2)
utilisation de padding
évaluer les mécanismes de récupération de mots de passe
…
ECB CBC
16
Sécurité Chiffrer n’est pas un gage de sécurité
• L’administrateur d’une infrastructure IaaS peut parfois récupérer les clés de chiffrement
• Pour s’en prémunir partiellement, vérifier que l’amorce du système n’a pas été modifiée
17
Sécurité Une solution prometteuse
Chiffrement homomorphique (Prometteur, mais encore immature) Soit :
m = message clair c(m) = message chiffré
Chiffrement homomorphique si c(m1m2) = c(m1)c(m2) c(m1 + m2) = c(m1) + c(m2)
Possibilité d'effectuer des opérations sur des données chiffrées
Les données manipulées dans le cloud restent chiffrées en mémoire et ne sont accessibles que par l’utilisateur final (le fournisseur n’a accès à rien)
18
Sécurité Threshold encryption
X personnes ont une clé, il faut qu’un minimum d’entre eux soient présents pour déchiffrer le message
Ex : 4 utilisateurs, seuil de 3
Message :
Lepczé’fàlz qsojràé,&à Hello World Sq6µ&fnjcT
19
Sécurité Chiffrer les données avant de les envoyer
Solutions pour chiffrer les données avant de les envoyer dans le cloud
Ex : Boxcryptor
Ciphercloud
20
Conclusion
Il est possible de trouver des solutions de grande qualité dans le cloud
Les grands acteurs du cloud ont une économie d’échelle impossible à atteindre pour des petites entreprises
Les services dans le cloud sont parfois interdépendants => se renseigner sur les dépendances
Les attaques peuvent venir de l’extérieur, mais aussi de l’intérieur
Evaluer les risques de son projet afin de déterminer le niveau de sécurité requis
21
Big Brother is watching you ;-)
22
Questions ?