Juste un petit post pour signaler que je serais, normalement, à la BruCon 2013. Je vais essayer de m’efforcer de faire deux blogposts sur le sujet : un par jour de conférence donc ...
En espérant vous y voir !
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies. Ces derniers assurent le bon fonctionnement de nos services. En savoir plus.
Juste un petit post pour signaler que je serais, normalement, à la BruCon 2013. Je vais essayer de m’efforcer de faire deux blogposts sur le sujet : un par jour de conférence donc ...
En espérant vous y voir !
Bonjour à toutes et à tous,
Je vais tenter ici de faire un petit article sur le cloud et la sécurité, oui j'en vois certain(e)s (là au fond) qui sont déjà prêt(e)s à partir :) mais mon boulot m'a pas mal fait bosser sur le sujet ces derniers temps, du coup je voulais faire un petit retour d'expérience (vraiment petit), et comme ça vous verrez aussi pourquoi je dis que mon boulot me donne un coup de vieux et n'a que très peu de technique :P (vous imaginez pas comment je suis content quand j'ai un peu de forensic ou un audit technique à faire :D). Mais bon la réflexion métier c'est pas mal non plus (si vous verrez).
Revenons à nos moutons avec la sécurité dans le cloud computing (du point de vue du client). Par contre ne vous imaginez pas que je vais vous sortir mes livrables comme ça hein, juste quelques axes de réflexions.
Disclamer : Cet article bien qu'expliquant des problématiques réelles est à prendre aussi avec de l'humour (surtout concernant les textes barrés :)).
Déjà qu'est-ce que le cloud computing : vous vous dites il nous prend pour des cons, mais je vous assure ce n'est pas clair pour tout le monde, même dans une DSI :
Donc le cloud computing c'est du bullshit ou on vous vend des choses que l'on savait déjà faire mais avec un bel emballage commercial ... euh non, sors de ce corps moi maléfique ! Plus sérieusement pour résumer le Cloud Computing c'est la capacité d'offrir un service (on va y revenir), à la demande, modulable, et normalement accessible de partout/tout le temps (on ne parlera pas du cas des clouds privés dans cet article).
Alors je parlais de services, beaucoup d'entre vous (tou(te)s ?!?) ont déjà vu des acronymes comme IaaS, DaaS, STaaS, SaaS, PaaS ... bref *aaS. En soit peu importe le modèle de service, on peut en étudier que trois (oui les trois qui les contrôlent tous), tous les autres ne sont que des spécialisations de ces derniers. Il faut donc comprendre les termes :
Le reste clairement n'est que du bullshit encore pire que les trois que je viens de citer du langage commercial.
Et donc la sécurité dans le cloud comment on l'aborde ? Comme toujours en étudiant les menaces, les vulnérabilités et les risques ... mais aussi, comme on doit le faire avec toute externalisation, les rôles et responsabilités. C'est ce premier point que l'on va déjà aborder.
Et pour commencer on va apporter un nouveau mot CSP : Cloud Service Provider : bref pour faire simple (et pas faire de superbe phrase à rallonge, parce que, on est pas au boulot ici) c'est l'hébergeur, celui-ci qui offre du service de Cloud Computing.
Les rôles et responsabilité : Pour expliquer les rôles et responsabilités nous allons prendre un scénario avec des CSP multiples (vous allez comprendre très vite).
Imaginons que vous preniez un abonnement à une application en mode SaaS. Et que cette application conserve des données à caractères personnelles (donc sensibles surtout du point de vue de l'image si vous vous les faites leaké).
Bon vous allez me dire rien de très complexe là dedans, mais détrompez-vous, les rôles et responsabilités sont très complexes dans ce cas.
Dans notre petit scénario, comme je l'avais dit, il y a des CSP multiples c'est à dire : que le CSP qui vous loue du SaaS, loue lui même du PaaS à un autre CSP, qui lui même loue du IaaS à un autre CSP (et on peut même imaginer que ce dernier CSP loue ces locaux à une autre entreprise, mais bon, on se contente du point de vue "cloud", vous voyez que c'est du bullshit :)).
Donc regardons un peu ce que dit la CSA (non pas notre organisme de censure de l'audiovisuel, mais la Cloud Security Alliance ...) :
Offres / Responsabilités |
IaaS | PaaS | SaaS |
Données | Clients | Clients | Partagée |
Logiciels | Clients | Partagée | Partagée |
Systèmes | Clients | Partagée | CSP |
Virtualisation | Partagée | CSP | CSP |
Réseaux | Partagée | CSP | CSP |
Physique | CSP | CSP | CSP |
Ce tableau est bien sur une vue simplifiée du problème, mais cela donne un bon point de vue concernant le petit scénario qui nous concerne. En effet dans le cas de CSP multiplent les resposabilités ne sont pas toutes prises par la seule entreprise avec laquelle vous avez un contrat, alors, que faire en cas de problème ? Très bonne question ... et la reponse est ********************** (ou 42 au choix) :). Sans compter que VOUS mettez des données personnelles sur des services externes, donc votre responsabilité peut aussi être jouée sur ce coup là.
On pourrait évoquer les problèmes liés aux données de paiements (mais la prochaine version de PCI devrait revenir la dessus). En clair si vous faites le choix de l'externalisation, mesurez bien les risques (et aussi les menaces) qui pèsent sur vous.
Parlons justement des risques : globalement voici ce qui vous pend au nez :
Alors d'ou viendrait le vrai problème : je sais pas au hasard une vulnérabilité dans un produit de type OpenStack ou autres, un attaque sur/via les outils de virtualisation (hyperviseur) ... en gros c'est tellement le bordel que l'on ne sait pas trop d'ou pourrait venir le coup :). D'ailleurs je compte bien pondre dans très peu de temps un bien meilleur article concernant la sécurité de la virtualisation (donc un peu plus technique que celui-ci).
Quelques menaces/vulnérabilités et risques en vrac :
Donc je vais arrêter là cet article, si vous avez des questions, ou pour en parler plus / échanger des idées, n'hésitez pas à me contacter par le moyen que vous voulez.
Je reviendrai peut être un jour avec un autre article sur le sujet, mais normalement, je vais vous préparer un article un peu plus technique concernant la virtu un de ces quatre, donc comme d'habitude ça sera écrit sur un coin de table (comprendre rapidement) avec plein de fautes d'orthographe à l'intérieur :D.
Sinon retrouvez d'autres lectures sur Paranoiac Thoughts (comme toujours).