en route vers le cloud privé cqsi2012 v1.0

27
En route vers le nuage privé, la sécurité et la virtualisation tous azimuts de vos infrastructures v1.0 Tactika inc. [email protected] www.tactika.com @tactika http://ca.linkedin.com/in/tactika

Upload: tactika-inc

Post on 15-May-2015

527 views

Category:

Technology


0 download

TRANSCRIPT

Page 1: En route vers le cloud privé CQSI2012 v1.0

En route vers le nuage privé, la sécurité et la virtualisation tous azimuts de vos infrastructures v1.0 Tactika inc.

[email protected]

www.tactika.com

@tactika

http://ca.linkedin.com/in/tactika

Page 2: En route vers le cloud privé CQSI2012 v1.0

Contenu de la conférence

La mention d’un produit ou d’un fournisseur ou fabriquant dans ce document et présentation ne doivent pas être interprétés comme étant une recommandation ou une promotion.

Contexte Définitions Sécurité et virtualisation Risques et Facteurs de risque Éléments de virtualisation Sécurité réseau, BIV, réseau plat, nuage privé et hybride

Recommandations de sécurité

version 1.0 En route vers le nuage privé ... 2

Page 3: En route vers le cloud privé CQSI2012 v1.0

Contexte

La virtualisation Partie intégrante du paysage des infrastructures TI

Une « brique » fondatrice de l’infonuagique

L’impact de la virtualisation est majeur Gouvernance, architecture, sécurité, gestion et

opération, etc.

Elle impose une remise en question des méthodes usuelles d’aborder la sécurité de l’information

version 1.0 3 En route vers le nuage privé ...

Page 4: En route vers le cloud privé CQSI2012 v1.0

La virtualisation et la sécurité

La virtualisation présente de nombreux avantages Flexibilité Agilité Optimisation des ressources matérielles

Mais ... Détériore-t-elle la sécurité ?

Si mal maîtrisée : oui Portée et impacts architecturaux : très large Demande la maitrise de nombreux concepts et des compétences

diverses et étendues L'ajout d'une couche d’infrastructure augmente la surface d’attaque

Améliore-t-elle la sécurité ? Pour la disponibilité : sans aucun doute, oui !

version 1.0 En route vers le nuage privé ... 4

Page 5: En route vers le cloud privé CQSI2012 v1.0

Les principaux types de virtualisation

Plate-forme Virtualisation d’une plate-forme matérielle

Ex. Processeur Intel Type 1 Hyperviseur natif / baremetal, ex. : VMWare ESXi, Microsoft

Hyper-V Type 2 Hyperviseur invité, ex. : VMWare WorkStation

Système d’exploitation Virtualisation de ressources dans un système d’exploitation

Ex : IBM VM/370 @ z/VM Réseau

Virtualisation d’un composant réseau « réel » (commutateur, routeur, coupe-feu, etc.) sous la forme d’un « objet » virtuel Ex. : Cisco Firewall Services Module (FWSM) dans les commutateurs 6500 Image virtuelle d’un appareil dédié / appliance (vmware, hyper-V, etc.)

SAN Consolidation de multiples SAN réels sous la forme d’un seul SAN virtuel

Ex. : HP, IBM, etc.

version 1.0 5 En route vers le nuage privé ...

Page 6: En route vers le cloud privé CQSI2012 v1.0

Nombreux usages de la virtualisation

version 1.0 6 En route vers le nuage privé ...

Page 7: En route vers le cloud privé CQSI2012 v1.0

Hyperviseur

Composants de la virtualisation de plate-forme

Hôte Hyperviseur Machine virtuelle / VM, « Virtual Appliance », Applications

virtuelles, Bureau virtuel (Virtual Desktop Interface / VDI) Réseau virtuel & Commutateur virtuel Gestion distribuée de la plate-forme de virtualisation version 1.0 7 En route vers le nuage privé ...

Hôte

Hyperviseur

VLANs

Gestion distribuée de la plate-forme de virtualisation

Page 8: En route vers le cloud privé CQSI2012 v1.0

Évolution du centre de données : de la virtualisation à l’infonuagique

Virtualisation des serveurs

Virtualisation distribuée

Nuage privée Nuage hybride Nuage public

Consolidation Capex

Flexibilité Agilité

Libre-service Normalisation Métrique

Montée en charge

Élimination du Capex Grande flexiblité

version 1.0 En route vers le nuage privé ... 8

Nuage privé

Page 9: En route vers le cloud privé CQSI2012 v1.0

Virtualisation et les nombreuses facettes de la sécurité

La virtualisation a une incidence sur les niveaux : stratégique, tactique et opérationnel

Les mesures de contrôle concernées : Administratifs : politique, procédures et règles Préventif : chiffrement, détection d’intrusion, contrôle

d’accès, gestion des vulnérabilités Investigation : surveillance, analyse, corrélation et

gestion des incidents

Les dispositifs (moyens) doivent être adaptés à la virtualisation Ex. : antivirus et anti-logiciel espion

version 1.0 En route vers le nuage privé ... 9

Page 10: En route vers le cloud privé CQSI2012 v1.0

Facteurs de risque

Criticité de l’infrastructure de virtualisation Nombreuses fonctionnalités de la virtualisation

(complexité et interaction des fonctions) Dans une plate-forme de virtualisation, les mesures de

contrôle sont ou deviendront de nature logicielle et non pas physique

Partage d’une même infrastructure Étendue des privilèges de l’administrateur de

l’infrastructure virtuelle Opacité des échanges entre les VM dans

l’infrastructure virtuelle

version 1.0 10 En route vers le nuage privé ...

Page 11: En route vers le cloud privé CQSI2012 v1.0

Les risques

Les vulnérabilités d’un environnement physique s’appliquent dans un environnement virtuel

L’infrastructure de virtualisation ajoute une surface d'attaque

Une complexité accrue des systèmes et des réseaux virtualisés

Plus d'une fonction par boitier physique

La cohabitation de VM de différents niveaux de confiance

Séparation des tâches déficientes

Exploitation des vulnérabilités spécifiques aux machines virtuelles en hibernation, aux images «patron» (template), aux instantanés (snapshots)

L'immaturité des solutions de sécurité, notamment de surveillance

Fuite d'informations entre les segments de réseau virtuel

Fuite d'informations entre les composants virtuels

version 1.0 En route vers le nuage privé ... 11

Extrait PCI DSS Virtualization Guidelines, v. 2

Page 12: En route vers le cloud privé CQSI2012 v1.0

Éléments de virtualisation

Bloc Intégré de Virtualisation (BIV) Assemblage normalisé et préconfiguré de composants pour des

services de virtualisation

Réseau plat (flat network) Aplatissement du réseau local Design réseau pour maximiser la performance et la flexibilité du

réseau local

Sécurité réseau et virtualisation Localisation des mesures de contrôle de type réseau

Virtualisaton des contrôles d’accès réseau Évolution vers les nuage de type privé, hybride et public

Modèle de l’infonuagique pour la prestation de service TI : SaaS, PaaS et IaaS

version 1.0 12 En route vers le nuage privé ...

Page 13: En route vers le cloud privé CQSI2012 v1.0

Bloc Intégré de Virtualisation (BVI) Fabric-Based Infrastructure (FBI)

Stockage

Plate-forme /

Processeurs

Hyperviseur/

Virtualisation

distribuée

Réseautique

Ge

stio

n u

nifié

e e

t in

gré

e

version 1.0 13 En route vers le nuage privé ...

Page 14: En route vers le cloud privé CQSI2012 v1.0

Évolution : Infrastructure de nuage privé et BIV

BIV BIV

version 1.0 14 En route vers le nuage privé ...

Page 15: En route vers le cloud privé CQSI2012 v1.0

Réseau « plat » (flat network)

Problème du réseau conventionnel Demande croissante de débit Limitation de certains protocoles de réseau local « Surcharge » de traitement aux couches 2 et 3 du

modèle OSI (réseau local et IP)

Solution « Aplatissement du réseau » dans l’hyperviseur

Axé sur la couche 2 du modèle OSI :VLAN

Mais … les composants « externes » ne peuvent « voir » le trafic entre les VM : IDS/IPS, coupe-feu, routeur

version 1.0 15 En route vers le nuage privé ...

Page 16: En route vers le cloud privé CQSI2012 v1.0

Accès

Noeud / core

Le réseau avant …

Distribution

version 1.0 16 En route vers le nuage privé ...

Page 17: En route vers le cloud privé CQSI2012 v1.0

Le réseau maintenant …

Noeud / core

BIV

version 1.0 17 En route vers le nuage privé ...

Page 18: En route vers le cloud privé CQSI2012 v1.0

VM VM VM VM

VM VM VM VM

VM VM VM VM

VM VM VM VM

Réseau « plat » dans l’infrastructure de virtualisation

VLAN

version 1.0 18 En route vers le nuage privé ...

VM VM VM VM

VM VM VM VM

VM VM VM VM

Page 19: En route vers le cloud privé CQSI2012 v1.0

VM

Sécurité réseau et virtualisation

VM VM

VM VM

VM VM

VM VM

VM

VM

VLAN

Coupe-feu

VM

version 1.0 19 En route vers le nuage privé ...

IDS/IPS

Commutateur et services réseau

Non sécurisé Externe Interne

Hôte

VM infectée

Page 20: En route vers le cloud privé CQSI2012 v1.0

Contrôle d’accès réseau fonction de coupe-feu / zonage

version 1.0 20 En route vers le nuage privé ...

Modèle conventionnel

Zone

Page 21: En route vers le cloud privé CQSI2012 v1.0

Contrôle d’accès réseau fonction de coupe-feu / zonage

VM VM

Policy

vsg# show running-

config zone zone1

zone zone1

condition 1

net.ip-address

eq 1.1.1.1

condition 2

net.port eq 80

vsg# show running-

config rule r2

rule r2

condition 1 dst.net.ip-

address eq 2.2.2.2

condition 2 src.net.ip-

address eq 1.1.1.1

condition 3 src.net.port

eq 100

condition 4 dst.net.port

eq 80

condition 5 net.protocol

eq 6

action 1 permit

VLAN

La reproduction du zonage dans un environnement virtuel se réalise à l’aide d’un réseau plat qui est segmenté avec des mécanismes virtuels de zonage

VM

version 1.0 21 En route vers le nuage privé ...

VM

Modèle virtuel

Page 22: En route vers le cloud privé CQSI2012 v1.0

Nuage privé, hybride et public

Nuage privé

Organisation

clem

ent.

gagn

on

@ta

ctik

a.co

m

Nuage privé

Nuage privé

Nuage public

Nuage public

version 1.0 22 En route vers le nuage privé ...

Virtualisationdes serveurs

Virtualisation distribuée

Nuage privée Nuage hybride Nuage public

• Consolidation• Capex

• Flexibilité• Agilité

• Libre-service• Normalisation• Métrique

• Montée en charge

• Élimination du Capex• Grande flexiblité

Nuage privé

Page 23: En route vers le cloud privé CQSI2012 v1.0

Opportunité(s)

version 1.0 En route vers le nuage privé ... 23

Nuage privé

Organisation

clem

ent.

gagn

on

@ta

ctik

a.co

m

Nuage public

BIV

BIV

Relève

Page 24: En route vers le cloud privé CQSI2012 v1.0

Recommandations

Analyse de risque

Comprendre la technologie et son impact

Restreindre les accès

Particulièrement les accès physiques

Implanter la défense en profondeur

Prévention, détection et investigation

Isoler les fonctions de sécurité

Mécanismes de cloisonnement / isolation physique

Durcir TOUS les composants de l’infrastructure de virtualisation

Définir l’usage des outils de gestion

Implanter la séparation des tâches

version 1.0 En route vers le nuage privé ... 24

Extrait PCI DSS Virtualization Guidelines, v. 2

Page 25: En route vers le cloud privé CQSI2012 v1.0

LA préoccupation de sécurité de la virtualisation

Étendue des privilèges de l’administrateur de l’infrastructure virtuelle Des pouvoirs importants sont entre les mains de l’administrateur

Réseau, serveurs, stockage

Les mesures de contrôles appropriées Vérification des antécédents Séparation des tâches

Réseau, serveurs, stockage

Limitation des habilitations au strict nécessaire Journalisation des activités

Intégrité des journaux

Relève « humaine » Audit Formation

Corolaire : l’envergure et les moyens de l’organisation ! L’administrateur (un humain) est … le maillon faible de la sécurité de

l’infrastructure ...

version 1.0 25 En route vers le nuage privé ...

Page 26: En route vers le cloud privé CQSI2012 v1.0

Quelques lectures

PCI DSS Virtualization Guidelines

https://www.pcisecuritystandards.org/documents/Virtualization_InfoSupp_v2.pdf

Addressing the Most Common Security Risks in Data Center Virtualization Projects

25 January 2010, Gartner / Analyst : Neil MacDonald

version 1.0 En route vers le nuage privé ... 26

Page 27: En route vers le cloud privé CQSI2012 v1.0

Questions ?

Merci de votre attention !

version 1.0 En route vers le nuage privé ... 27

Tactika inc.

[email protected]

• www.tactika.com

• @tactika

• http://ca.linkedin.com/in/tactika