Surveiller votre infrastructure EC2 en libre

Solutions Linux11 Mars 2011

Sergio Loureiro, CEOsergio@secludit.com

Agenda

Infrastructure as a Service et Amazon EC2

Problèmes de surveillance et sécurité nouveaux

Solutions opensource

Future work et conclusions

2

3

Avantages IaaS

Investissement initial réduit

Programmable (APIs)

Pay per use

Auto Scaling

Lock-in réduit par rapport au SaaS et PaaS

Plus de contrôle (mais aussi cout) par rapport au SaaS et PaaS

4

Différences avec les infrastructures traditionnelles

Plus de dynamique et “sprawl” (IP dynamiques)

APIs

Security groups

Moins de fonctionnalités (outbound, règles de fw)

Moins de contrôle

5

La sécurité est le principal frein à lʼadoption du cloud

6

Les nouveaux défis de sécurité

Etat de lʼartCloud Security AllianceENISA

7

Problèmes nouveaux des infrastructures dynamiques

Les ressources et le périmètre de sécurité sont dynamiques

Les ressources sont interconnectés entre eux et avec lʼextérieur

Pour les utilisateurs et opérateurs dʼinfrastructure cloud

comment voir, contrôler et agir à distance et à tout instant ?

8

Solutions

Gestion dʼimages “gold”

Automatisation du déploiement (puppet, chef)• Pas de configuration manuelle• Fenêtre de vulnérabilité réduites

Automatisation de la surveillance (nagios)• Augmentation de la visibilité• Construction de logs

9

Automatisation de la surveillance

Lʼauto détection de nouvelles machines• Visibilité totale, en temps réel

Lʼauto déploiement des checks • Pas de configuration manuelle• Fenêtre de vulnérabilité réduites

Surveillance en continu• Checks et alertes (Nagios) • Dashboards, rapports et logs 10

Détection de nouvelles machines et services

Polling des APIs EC2 et analyse des modifications• Instances EC2• Security groups (règles de firewall)

Update de la configuration Nagios• Hosts et host checks• Services et service checks

Base de données ndoutils• Compatibilité• Communication par NSCA

11

Elastic Detector : screenshots 1/3

Elastic Detector : screenshots 2/3

Elastic Detector : screenshots 3/3

Surveillance des services Amazon EC2Régions et “availability zones”

Cloudwatch (API monitoring CPU, réseau, disque)

APIs (temps de réponse et disponibilité)

Security groups (modifications)

SNMP (roadmap)

15

Axes Sécurité

Identity and access management (modifications)

Snapshots (DLP)

Surveillance en continu• Vulnérabilités et patchs• Analyse des modifications

APIs• Sécurité des APIs et gestion des clés

16

Cloud stacks

17

http://open.eucalyptus.com/

http://www.openstack.org/

http://cloudfoundry.org/

http://www.redhat.com/solutions/cloud/cloudforms/

Ressources

https://cloudsecurityalliance.org/guidance/

http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment

http://nagios.org

http://www.puppetlabs.com/

http://www.opscode.com/chef/

http://aws.amazon.com/resources/18

Conclusion

19

Problèmes très vastes

Automatisation est nécessaire

Solution complémentaire aux consoles de gestion

Compatible et basé sur Nagios

Merci

PRODUCT > https://elastic-detector.secludit.com/ENTREPRISE > secludit.comBLOG > elastic-security.comOPENSOURCE > cloudyscripts.comTWITTER > @elasticsecurity

20