Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

CONFOO – Montréal Québec - Canada

9 Mars 2011

Copyright © 2009 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License.

The OWASP Foundation http://www.owasp.org

Sébastien Gioria (French Chapter Leader & OWASP Global Education Committee Member) sebastien.gioria@owasp.org

Le bon, la brute et le truand dans les nuages

(ou comment percevoir la sécurité dans le Cloud)

© 2011 - S.Gioria

q  Expérience en Sécurité des Systèmes d’Information > 0x0D années

q  Différents postes de manager SSI dans la banque, l’assurance et les télécoms

q  Expertise Technique ü  Gestion du risque, Architectures fonctionnelles, Audits ü  S-SDLC : Secure-Software Development LifeCycle. ü  PenTesting, Digital Forensics ü  Consulting et Formation en Réseaux et Sécurité

OWASP France Leader - Evangéliste -

OWASP Global Education Comittee Member (sebastien.gioria@owasp.org)

CISA && ISO 27005 Risk Manager

q  Domaines de prédilection : ü  Web, WebServices, Insécurité du Web.

Twitter :@SPoint Consultant Sécurité Sénior au sein du cabinet d’audit

© 2011 - S.Gioria

Agenda

 Introduction  Révolution ou mirage ?  Différents modèles, différents risques  Différents modèles, différentes solutions  Un peu de littérature  Et après ?

© 2011 - S.Gioria

Les hackers sont astucieux

© 2011 - S.Gioria

Vainqueurs a la CVE 2010

Produit 1er 2ème 3ème

Système d’exploitation

Linux Kernel (129)

Windows Server 2008 (93)

Apple IOS (35)

SGBD Oracle (36) Mysql (3) MS-SQL Server (1)

Navigateur Chrome (164) Safari (130) Firefox (115)

Clouds ? / Virtualisation

VmWare (125)

Xen (24) Hyper-V(2) – Azure (1)

•  Il n’y a pas un meilleur editeur/constructeur…. •  Sinon on ne serait pas aux aguets tous les 2èmes mardi du mois. •  Sinon les bulletins du CERT seraient vides… •  Et surtout Oracle ne mentirait pas sur son surnom*… •  Le Cloud est compliqué…..

*:unbreakable => dernier Patch Update 10/10 à la CVSS (encore une fois)…

© 2011 - S.Gioria

Soyons donc précis !

© 2011 - S.Gioria

Révolution ?

© 2011 - S.Gioria

Mirage ?

Type  Infrastructure as a Service (IaaS)  Platform as a Service (PaaS).  Software as a Service (SaaS).

 Beer as a Service (BaaS) * ? * Guinness for me please….

http

://w

ww

.clo

udse

curit

yalli

ance

.org

/gui

danc

e.ht

ml

© 2011 - S.Gioria

Modèles

 Cloud Privé :  Dédié à une entreprise

 Cloud partagé  Mutualisé pour une communauté

 Cloud Public  Grand public,

 Cloud Hybride  Composé d’un ou plusieurs cloud précédent.

© 2011 - S.Gioria

Les acteurs ?

 Les mastodontes* :  Google

§  27/02/2011 : Google Mail perd des mails…..

 Amazon §  09/2009: L’isolation dans le Cloud EC2 d’Amazon a des

fuites…. §  01/2011: Using Amazon Cloud to crack WPA keys (**)

 Microsoft Azure : §  …

*Et non pas les éléPHPants

** http://www.reuters.com/article/2011/01/07/us-amazon-hacking-idUSTRE70641M20110107

© 2011 - S.Gioria

© 2011 - S.Gioria

Qui contrôle quoi ?

Données

Applications

Machine Virtuelle

Serveur

Stockage

Réseau

Interne

Données

Applications

Machine Virtuelle

Serveur

Stockage

Réseau

Hébergeur

Données

Applications

Machine Virtuelle

Serveur

Stockage

Réseau

IaaS public

Données

Applications

Machine Virtuelle

Serveur

Stockage

Réseau

PaaS public

Données

Applications

Machine Virtuelle

Serveur

Stockage

Réseau

SaaS public

L’entreprise a le contrôle

Partage du contrôle avec le fournisseur

Le fournisseur de cloud a le contrôle

Burton Group : Cloud Computing Security in the Enterprise – Jul. 2009

© 2011 - S.Gioria

Perte de la maitrise….

 Sur le matériel….  Constemment externalisé

 Sur le logiciel  Quelle confiance ai-je sur le modèle déployé par le

fournisseur ?  Quelle confiance ai-je dans le développement ?

 Sur le réseau….  Quelle est la réelle connectivité ?

 Sur l’organisation  Les choix matériels et/ou logiciels peuvent impacter

les mesures de sécurité.

© 2011 - S.Gioria

Risque sur les données

 Perte du contrôle sur les données  L’administrateur a les « clefs » d’accès

 Comment sont effacées les données en cas de fin du contrat ?

 Comment sont « sauvegardées »/ « archivées » les données ?

© 2011 - S.Gioria

Risques techniques sur la virtualisation

 Problèmes d’isolation des Machines virtuelles :  Les pilules et autres médicaements de Johanna :

§  http://invisiblethings.org/papers/Security%20Challanges%20in%20Virtualized%20Enviroments%20-%20RSA2008.pdf

 Partage des ressources :  Disques  RAM  Processeur  Réseau

© 2011 - S.Gioria

Gestion des données sensibles

 Les interfaces d’administration contiennent des données sensibles….  Les mots de passes sont souvent les même en interns

et en externe….

 Les interfaces d’administration permettant d’effectuer de l’approvisionnement a la demande sont sensibles

 Les APIs du Cloud ne sont peut être pas « sécurisées »  Absence de clefs de chiffrement  Absence de token de transaction…..

© 2011 - S.Gioria

Et la réversibilité ?

 Problèmes de disponibilité

 Forte dépendance

 Pas de normes d’interopérabilité sur les Clouds ….

© 2011 - S.Gioria

© 2011 - S.Gioria

Les 13 domaines de travaux du Cloud

La Cloud Security Alliance définit 13 domaines : I.  Architecture

1.  Cadre d’architecture du cloud Computing

II.  Gouvernance 2.  Gouvernance et gestion des risques 3.  Aspects juridiques liées aux données 4.  Conformité et audit 5.  Cycle de vie de l’information 6.  Portabilité et interopérabilité

http://www.cloudsecurityalliance.org/guidance.html

© 2011 - S.Gioria

Les 13 domaines de travaux du Cloud

III. Opérations 7.  Sécurité, continuité, reprise d’activité 8.  Opérations du datacenter 9.  Gestion des incidents, notifications, remédiation 10.  Sécurité applicative 11.  Chiffrement et gestion des clés 12.  Gestion des identités et accès 13.  Virtualisation

http://www.cloudsecurityalliance.org/guidance.html

© 2011 - S.Gioria

PRÉCAUTIONS POUR LE DÉVELOPPEMENT

Ou comment sécuriser le SaaS….

© 2011 - S.Gioria

Le problème

 Confidentialité  Protéger les données, les systèmes, les processus

d’un accès non autorisé

 Intégrité  Assurer que les données, systèmes et processus sont

valides et n’ont pas été modifiés de manière non intentionnelle.

 Disponibilité  Assurer que les données, systèmes et processus sont

accessible au moment voulu

© 2011 - S.Gioria

Le problème

 Traçabilité  Assurer le cheminement de toute donnée, processus

et la reconstruction des transactions

 « Privacy »  Assurer que les données personnelles sont sous le

contrôle de leur propriétaire

 Conformité  Adhérer aux lois et réglementations

 Image de marque  Ne pas se retrouver à la une du journal « Le Monde »

suite à un incident

© 2011 - S.Gioria

La menace  Les gouvernements ?  Le concurrent  La mafia  Le chômeur…  L’étudiant  Le « script kiddies »  Mon fils de 3 ans

Capacité de

protection

« Personne ne nous piratera »

Mais……

© 2011 - S.Gioria

Défense en profondeur

© 2011 - S.Gioria

Pourquoi est-ce un problème global ?

© 2011 - S.Gioria

Le Mercenaire des menaces(*)

10/03/2011 – 9h45

* Un burger et vous l’achetez….

© 2011 - S.Gioria

Chuck Norris OWASP ASVS à la rescousse

 Quelles sont les fonctionnalités à mettre en oeuvre dans les contrôles de sécurité nécessaires à mon application

 Quelle est la couverture et le niveau de rigueur à mettre en oeuvre lors de la vérification de sécurité d'une application.

  Comment comparer les différentes vérifications de sécurité effectuées

 Quel niveau de confiance puis-je avoir dans une application

Spécifications/Politique de sécurité des développements

Aide à la revue de code

Chapitre sécurité des contrats de développement ou des appels d’offres !

© 2011 - S.Gioria

Principes de développement

KISS : Keep it Short and Simple  8 étapes clés :

 Validation des entrées  Validation des sorties  Gestion des erreurs  Authentification ET Autorisation  Gestion des Sessions  Sécurisation des communications  Sécurisation du stockage  Accès Sécurisé aux ressources

© 2011 - S.Gioria

KISS : Keep it Short and Simple

 Suivre constamment les règles précédentes  Ne pas « tenter » de mettre en place des

parades aux attaques  Développer sécurisé ne veut pas dire prévenir la

nouvelle vulnérabilité du jour  Construire sa sécurité dans le code au fur et a

mesure et ne pas s’en remettre aux éléments d’infrastructures ni au dernier moment.

© 2011 - S.Gioria

10/03/2011 – 13h30

Parfois il faut faire sa pub ;)

© 2011 - S.Gioria

Cet homme peut vous aider(*)

10/02/2011 : 14h45

* : je suis d’accord on dirait pas J sur cette photo

© 2011 - S.Gioria

Mettre en place les Tests Qualité

 Ne pas parler de tests sécurité !  Définir des fiches tests simples, basées

sur le Top10/TopX :  Tests d’attaques clients/image de marque (XSS)  Tests d’intégrité (SQL Injection, …)  Tests de conformité (SQL/LDAP/XML Injection)  Tests de configuration (SSL, interfaces d’administration)

 Ajouter des revues de code basées sur des checklists  SANS/Top25  OWASP ASVS  ….

© 2011 - S.Gioria

De la littérature

© 2011 - S.Gioria

De la littérature

 ENISA :  Benefits, risks and recommendations for information

security (11/2009)

 NIST :  SP800-144 : Guidelines on Security and Privacy in

Public Cloud Computing (01/2011)

 Cloud Security Alliance :  Top Threats to Cloud Computing V1.0 (03/2010)  Security Guidance for Critical Areas of Focus In Cloud

Computing V2.1 (12/2009)

© 2011 - S.Gioria

Conclusion ?

© Flickr – Mathieu aubry

© 2011 - S.Gioria

Remerciements

 Pascal Saulière (@psauliere)

 AF (@starbuck3000)

 Les deux Arthur(s)