37
© 2011 - S.Gioria CONFOO – Montréal Québec - Canada 9 Mars 2011 Copyright © 2009 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The OWASP Foundation http://www.owasp.org Sébastien Gioria (French Chapter Leader & OWASP Global Education Committee Member) [email protected] Le bon, la brute et le truand dans les nuages (ou comment percevoir la sécurité dans le Cloud)

Le bon, la brute et le truand dans les nuages

  • Upload
    confoo

  • View
    1.707

  • Download
    1

Embed Size (px)

DESCRIPTION

 

Citation preview

Page 1: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

CONFOO – Montréal Québec - Canada

9 Mars 2011

Copyright © 2009 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License.

The OWASP Foundation http://www.owasp.org

Sébastien Gioria (French Chapter Leader & OWASP Global Education Committee Member) [email protected]

Le bon, la brute et le truand dans les nuages

(ou comment percevoir la sécurité dans le Cloud)

Page 2: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

q  Expérience en Sécurité des Systèmes d’Information > 0x0D années

q  Différents postes de manager SSI dans la banque, l’assurance et les télécoms

q  Expertise Technique ü  Gestion du risque, Architectures fonctionnelles, Audits ü  S-SDLC : Secure-Software Development LifeCycle. ü  PenTesting, Digital Forensics ü  Consulting et Formation en Réseaux et Sécurité

OWASP France Leader - Evangéliste -

OWASP Global Education Comittee Member ([email protected])

CISA && ISO 27005 Risk Manager

q  Domaines de prédilection : ü  Web, WebServices, Insécurité du Web.

Twitter :@SPoint Consultant Sécurité Sénior au sein du cabinet d’audit

Page 3: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

Agenda

 Introduction  Révolution ou mirage ?  Différents modèles, différents risques  Différents modèles, différentes solutions  Un peu de littérature  Et après ?

Page 4: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

Les hackers sont astucieux

Page 5: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

Vainqueurs a la CVE 2010

Produit 1er 2ème 3ème

Système d’exploitation

Linux Kernel (129)

Windows Server 2008 (93)

Apple IOS (35)

SGBD Oracle (36) Mysql (3) MS-SQL Server (1)

Navigateur Chrome (164) Safari (130) Firefox (115)

Clouds ? / Virtualisation

VmWare (125)

Xen (24) Hyper-V(2) – Azure (1)

•  Il n’y a pas un meilleur editeur/constructeur…. •  Sinon on ne serait pas aux aguets tous les 2èmes mardi du mois. •  Sinon les bulletins du CERT seraient vides… •  Et surtout Oracle ne mentirait pas sur son surnom*… •  Le Cloud est compliqué…..

*:unbreakable => dernier Patch Update 10/10 à la CVSS (encore une fois)…

Page 6: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

Soyons donc précis !

Page 7: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

Révolution ?

Page 8: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

Mirage ?

Type  Infrastructure as a Service (IaaS)  Platform as a Service (PaaS).  Software as a Service (SaaS).

 Beer as a Service (BaaS) * ? * Guinness for me please….

http

://w

ww

.clo

udse

curit

yalli

ance

.org

/gui

danc

e.ht

ml

Page 9: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

Modèles

 Cloud Privé :  Dédié à une entreprise

 Cloud partagé  Mutualisé pour une communauté

 Cloud Public  Grand public,

 Cloud Hybride  Composé d’un ou plusieurs cloud précédent.

Page 10: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

Les acteurs ?

 Les mastodontes* :  Google

§  27/02/2011 : Google Mail perd des mails…..

 Amazon §  09/2009: L’isolation dans le Cloud EC2 d’Amazon a des

fuites…. §  01/2011: Using Amazon Cloud to crack WPA keys (**)

 Microsoft Azure : §  …

*Et non pas les éléPHPants

** http://www.reuters.com/article/2011/01/07/us-amazon-hacking-idUSTRE70641M20110107

Page 11: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

Page 12: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

Qui contrôle quoi ?

Données

Applications

Machine Virtuelle

Serveur

Stockage

Réseau

Interne

Données

Applications

Machine Virtuelle

Serveur

Stockage

Réseau

Hébergeur

Données

Applications

Machine Virtuelle

Serveur

Stockage

Réseau

IaaS public

Données

Applications

Machine Virtuelle

Serveur

Stockage

Réseau

PaaS public

Données

Applications

Machine Virtuelle

Serveur

Stockage

Réseau

SaaS public

L’entreprise a le contrôle

Partage du contrôle avec le fournisseur

Le fournisseur de cloud a le contrôle

Burton Group : Cloud Computing Security in the Enterprise – Jul. 2009

Page 13: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

Perte de la maitrise….

 Sur le matériel….  Constemment externalisé

 Sur le logiciel  Quelle confiance ai-je sur le modèle déployé par le

fournisseur ?  Quelle confiance ai-je dans le développement ?

 Sur le réseau….  Quelle est la réelle connectivité ?

 Sur l’organisation  Les choix matériels et/ou logiciels peuvent impacter

les mesures de sécurité.

Page 14: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

Risque sur les données

 Perte du contrôle sur les données  L’administrateur a les « clefs » d’accès

 Comment sont effacées les données en cas de fin du contrat ?

 Comment sont « sauvegardées »/ « archivées » les données ?

Page 15: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

Risques techniques sur la virtualisation

 Problèmes d’isolation des Machines virtuelles :  Les pilules et autres médicaements de Johanna :

§  http://invisiblethings.org/papers/Security%20Challanges%20in%20Virtualized%20Enviroments%20-%20RSA2008.pdf

 Partage des ressources :  Disques  RAM  Processeur  Réseau

Page 16: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

Gestion des données sensibles

 Les interfaces d’administration contiennent des données sensibles….  Les mots de passes sont souvent les même en interns

et en externe….

 Les interfaces d’administration permettant d’effectuer de l’approvisionnement a la demande sont sensibles

 Les APIs du Cloud ne sont peut être pas « sécurisées »  Absence de clefs de chiffrement  Absence de token de transaction…..

Page 17: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

Et la réversibilité ?

 Problèmes de disponibilité

 Forte dépendance

 Pas de normes d’interopérabilité sur les Clouds ….

Page 18: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

Page 19: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

Les 13 domaines de travaux du Cloud

La Cloud Security Alliance définit 13 domaines : I.  Architecture

1.  Cadre d’architecture du cloud Computing

II.  Gouvernance 2.  Gouvernance et gestion des risques 3.  Aspects juridiques liées aux données 4.  Conformité et audit 5.  Cycle de vie de l’information 6.  Portabilité et interopérabilité

http://www.cloudsecurityalliance.org/guidance.html

Page 20: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

Les 13 domaines de travaux du Cloud

III. Opérations 7.  Sécurité, continuité, reprise d’activité 8.  Opérations du datacenter 9.  Gestion des incidents, notifications, remédiation 10.  Sécurité applicative 11.  Chiffrement et gestion des clés 12.  Gestion des identités et accès 13.  Virtualisation

http://www.cloudsecurityalliance.org/guidance.html

Page 21: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

PRÉCAUTIONS POUR LE DÉVELOPPEMENT

Ou comment sécuriser le SaaS….

Page 22: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

Le problème

 Confidentialité  Protéger les données, les systèmes, les processus

d’un accès non autorisé

 Intégrité  Assurer que les données, systèmes et processus sont

valides et n’ont pas été modifiés de manière non intentionnelle.

 Disponibilité  Assurer que les données, systèmes et processus sont

accessible au moment voulu

Page 23: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

Le problème

 Traçabilité  Assurer le cheminement de toute donnée, processus

et la reconstruction des transactions

 « Privacy »  Assurer que les données personnelles sont sous le

contrôle de leur propriétaire

 Conformité  Adhérer aux lois et réglementations

 Image de marque  Ne pas se retrouver à la une du journal « Le Monde »

suite à un incident

Page 24: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

La menace  Les gouvernements ?  Le concurrent  La mafia  Le chômeur…  L’étudiant  Le « script kiddies »  Mon fils de 3 ans

Capacité de

protection

« Personne ne nous piratera »

Mais……

Page 25: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

Défense en profondeur

Page 26: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

Pourquoi est-ce un problème global ?

Page 27: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

Le Mercenaire des menaces(*)

10/03/2011 – 9h45

* Un burger et vous l’achetez….

Page 28: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

Chuck Norris OWASP ASVS à la rescousse

 Quelles sont les fonctionnalités à mettre en oeuvre dans les contrôles de sécurité nécessaires à mon application

 Quelle est la couverture et le niveau de rigueur à mettre en oeuvre lors de la vérification de sécurité d'une application.

  Comment comparer les différentes vérifications de sécurité effectuées

 Quel niveau de confiance puis-je avoir dans une application

Spécifications/Politique de sécurité des développements

Aide à la revue de code

Chapitre sécurité des contrats de développement ou des appels d’offres !

Page 29: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

Principes de développement

KISS : Keep it Short and Simple  8 étapes clés :

 Validation des entrées  Validation des sorties  Gestion des erreurs  Authentification ET Autorisation  Gestion des Sessions  Sécurisation des communications  Sécurisation du stockage  Accès Sécurisé aux ressources

Page 30: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

KISS : Keep it Short and Simple

 Suivre constamment les règles précédentes  Ne pas « tenter » de mettre en place des

parades aux attaques  Développer sécurisé ne veut pas dire prévenir la

nouvelle vulnérabilité du jour  Construire sa sécurité dans le code au fur et a

mesure et ne pas s’en remettre aux éléments d’infrastructures ni au dernier moment.

Page 31: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

10/03/2011 – 13h30

Parfois il faut faire sa pub ;)

Page 32: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

Cet homme peut vous aider(*)

10/02/2011 : 14h45

* : je suis d’accord on dirait pas J sur cette photo

Page 33: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

Mettre en place les Tests Qualité

 Ne pas parler de tests sécurité !  Définir des fiches tests simples, basées

sur le Top10/TopX :  Tests d’attaques clients/image de marque (XSS)  Tests d’intégrité (SQL Injection, …)  Tests de conformité (SQL/LDAP/XML Injection)  Tests de configuration (SSL, interfaces d’administration)

 Ajouter des revues de code basées sur des checklists  SANS/Top25  OWASP ASVS  ….

Page 34: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

De la littérature

Page 35: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

De la littérature

 ENISA :  Benefits, risks and recommendations for information

security (11/2009)

 NIST :  SP800-144 : Guidelines on Security and Privacy in

Public Cloud Computing (01/2011)

 Cloud Security Alliance :  Top Threats to Cloud Computing V1.0 (03/2010)  Security Guidance for Critical Areas of Focus In Cloud

Computing V2.1 (12/2009)

Page 36: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

Conclusion ?

© Flickr – Mathieu aubry

Page 37: Le bon, la brute et le truand dans les nuages

© 2011 - S.Gioria

Remerciements

 Pascal Saulière (@psauliere)

 AF (@starbuck3000)

 Les deux Arthur(s)