Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Le challenge du cloud computing pour les IDS & IPS

Le challenge du cloud computing pour les IDS & IPS
2011-04-052013-02-11cloud computingfr
Les sondes de détection et de réaction contre les intrusions sont des équipements fréquemment controversés dans de nombreuses entreprises. Dans le cadre de la migration vers des services de Cloud Computing, la situation se complexifie encore plus du fait des caractéristiques même du...
Publié le 5 Avril 2011 par Jean-François Audenard dans cloud computing
cloud computing

Les sondes de détection et de réaction contre les intrusions sont des équipements fréquemment controversés dans de nombreuses entreprises. Dans le cadre de la migration vers des services de Cloud Computing, la situation se complexifie encore plus du fait des caractéristiques même du cloud. Qu'en est-il et en quoi le cloud computing vient-il noicir le tableau ?

une technologie déjà controversée en entreprise

Tout acteur de la sécurité pourra vous le confirmer : Déployer un boitier IDS/IPS à un endroit stratégique de son réseau ou de serveurs ce n'est pas compliqué. Le plus complexe reste d'en assurer la gestion dans le temps (Mise à jour des bases de signatures, actualisation de la configuration et surtout collecte et analyse des évènements). Les coûts d'un projet IDS/IPS sont très souvent "plombés" par la gestion des équipements.... quand cela est fait... souvent les équipements sont achetés, déployés et configurés.... pour ensuite être "oubliés"... Bref. Ce n'est pas une technologie "simple à opérer", loin de là. Mais revenons à nos moutons !

focus "Infrastructure as a Service" (IaaS)

Les techniques de détection et de prévention d'intrusions peuvent être adadtées à différentes couches ou composant d'un système d'information : Couche réseau (NIDS/NIPS - Network IDS/IPS), à la couche système d'exploitation (HIDS - Host IDS) ou encore aux couches applicatives ou middleware (Database IDS, Web Application Firewall). En fait, on peut implémenter des fonctions de type IDS à partir de tous types de logs/informations générés par une application quelconque... Analyser les logs de son serveur Web Apache pour détecter les tentatives d'intrusion ou de découverte est une forme d'IDS.

Pour cet article, nous limiterons notre propos à des services de cloud computing de type IaaS (Infrastructure as a Service). Ce type de service propose des ressources informatiques pour executer des machines virtuelles, de la connectivité réseau et des espaces de stockage de données. Le tout étant accessible à distance.

caractéristiques du cloud computing

Selon la définition du NIST, les caractéristiques essentielles du cloud computing sont : La mutualisation/colocation (multi-tenancy) ; la capacité à répondre à une demande très importante (massive scalability) ; l'elasticité (elasticity) ou capacité d'adapter simplement les ressources aux besoins ; l'auto-activation de ressources (self-provisioning) et enfin la facturation à l"usage (pay as you go). Nous mettrons de coté la caractéristique "pay as you go" car elle n'a que très peu d'impact sur les les systèmes IDS/IPS : Elle ne sera donc pas couverte dans cet article.

mutualisation/colocation (multi-tenancy)

La mutualisation des ressources entre utilisateurs du cloud et une utilisation simultanée de ressources communes est une caractéristique fondamentale du cloud computing. Un même client du cloud va donc utiliser les mêmes accès réseaux, les mêmes machines ou les mêmes systèmes de stockage que d'autres clients, le tout étant rendu transparent via des technologies de virtualisation et d'isolation.

Dans le monde physique (ou "normal", ou encore "Pas dans le cloud"), le déploiement d'un IDS/IPS est lié à un environnement physique donné : Un lien ou un accès réseau, un serveur ou un groupe de serveurs physiques, une plateforme, etc.... Dans le cloud, cette approche est vaine : Tout est "virtuel" et "immatériel" : Un client souhaitant protéger ses VM (Virtual Machines ou Machines Virtuelles") devra changer sa façon d'approcher le problème. L'un des "classiques" c'est comment superviser le trafic entre deux VM localisées sur le même hyperviseur ? Si chaque client active une VM intégrant un moteur IPS/IDS, il reste le challenge de la gestion de celle-ci...

capacité à répondre à une demande très importante (massive scalability)

Dans un environnement de cloud computing, le nombre d'instances de VM tournant simultanément peut être virtuellement énorme : de plusieurs milliers à plusieurs dizaines de milliers de machines. Dans un tel contexte, le nombre d'évenenements de sécurité générés par les IDS/IPS peut être tout simplement gigantestque... C'est peut-être le challenge le plus difficile à relever.

élasticité et et auto-activation

Avec le cloud computing, il est possible d'ajuster dynamiquement les ressources aux traitements à réaliser : Ainsi, on peut passer de 3 VM à 10 ou 20 VM en quelques secondes ou utiliser une capacité de stockage variant fortement entre 2 jours d'une même semaine. Dans un tel contexte, faut-il reconfigurer à chaque fois son IDS/IPS ? Comment lui attribuer plus de ressources afin qu'il puisse faire son travail dans de bonnes conditions, ce dès le démarrage d'une nouvelle VM ?

conclusion

Effectivement, le cloud computing pose de sérieuses questions pour les IDS/IPS. La transposition des techniques et pratiques utilisées en entreprises sont inadaptées. De nouvelles approches doivent donc être proposées tant par les fournisseurs de services de cloud computing que les éditeurs de solutions de sécurité. Certains en sont encore à proposer des "appliances virtuelles" de leurs équipements physiques : ce n'est clairement pas adapté. Les approches basées sur l'intégration  de fonctions au coeur des hyperviseurs et des fonctions dites d'introspections permettront peut-être de répondre au besoin de sécuriser en profondeur les infrastructures de cloud computing

6 Commentaires

  • 18 Février 2013
    2013-02-18
    par
    Hassan
    Bonjour M. Audenard,
    J'ai beaucoup apprécié votre article succinct et très précis. Bravo.
    Je suis en cours de préparation d'un doctorat sur la sécurité dans le Cloud et notamment l'intrusion entre VM.
    Pouvez vous m'apporter plus d'éclaircissement par rapport à votre vision sur le sujet.
    Bien à vous
  • 29 Mai 2012
    2013-02-18
    par
    Bonjour. Fondamentalement la sécurité dans le cloud reste homogène avec ce qu'il est possible de faire/voir dans d'autres domaines. Selon moi, ce qui change surtout c'est l'approche que l'on peut avoir de la sécurité. En tant que "client" est contraint de délèguer la mise en oeuvre de sa sécurité, le "travail" va être donc de mettre en place une structure de pilotage (def des besoins, contrôles, métriques, ...) pour s'assurer que le job est bien fait. En tant que "provider" le challenge est d'aller vers de la transparence sur ce qui est fait et de quelle façon.
    Pour répondre à votre question : Oui, la sécurité du Cloud demande d'avoir des compétences plus larges dans les domaines "métiers" (connaissance des usages) de l'IT et de ses processus et de booster ses connaissances dans le domaine juridique.
    Jeff.
    PS: Bien votre "howto" Axis2 et Rampart ! :-)
  • 28 Mai 2012
    2013-02-18
    par
    Bonjour, Je suis avec grand intérêt les articles de votre blog. Celui si attire mon attention sur la sécurité d'un contexte Cloud. Serait-il selon vous pertinent de d'abord détecter les vulnérabilités des applications déployées dans le Cloud et aussi de quantifier ou évaluer précisément les mécanismes de sécurité (tels les IDS) déployables/utilisables actuellement dans le Cloud ? Plus globalement, pensez vous que la sécurité du Cloud est un domaine qui requiert une expertise nouvelle ?
  • 28 Septembre 2011
    2013-02-18
    par
    Fehis Saad
    Bonjours Mr. Jean-François Audenard
    Je vous Remercie pour vous idées de sujets de PHD, et je suis vraiment interesser par l'un de ces sujets,
    Monsieur,
    Est
    ce que vous pouvez me données plus de détail sur ces challenges? et au
    même est ce que vous acceptez le travail avec moi en modèle cotutelle
    avec au autre chercher en Algérie.
    J'attire votre attention que mon PHD doit être a l'ESI-algerie et avec le CERIST (Centre de recherche en algerie)

    Mes salutations
  • 26 Septembre 2011
    2013-02-18
    par
    Quelques idées :
    - Un système pour tagger (meta-tag, watermarking, ...) des informations afin d'être en mesure de "suivre" les données mises dans le cloud. Ces "méta-informations" pourraient être aussi utilisée comme "attributs" par les fournisseurs de service cloud pour appliquer un traitement spécifique (chiffrement, ...). Ces méta-tags ne seraient pas modifiables par le fournisseur de cloud et ils seraient même invisibles pour lui dans certains cas.
    - Un autre sujet porterait sur la gestion de clefs de chiffrement dans le cloud, notamment par une VM... Le sujet pourrait porter sur des algo de chiffrement de type "homomorphiques" pou encore des systèmes de gestions de clefs sécurisés virtualisés (TPM virtuels).
    Bonne recherche de sujet !
    JF.

Pages

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage