Revenons un peu sur la découverte au sein du cloud Amazon EC2 d'un centre de commande et de contrôle (C&C, Command & Control) d'un réseau de zombies de type Zeus.
Que faut-il en penser ?
En fait, pas grand chose : Un service cloud de type "IaaS" (Infrastructure As a Service, cad une bonne petite machine virtuelle) ce n'est rien de plus qu'un serveur dédié (bon je simplifie un peu mais pas trop non plus). L'opérateur du cloud IaaS s'assure que les VM fonctionnent correctement et tout et tout.... Ce qui tourne au sein des VM ne le regarde à priori pas : Si une faille de sécurité vient à être exploitée sur une application déployée par l'un de ses clients, l'opérateur du cloud n'y est pas vraiment pour quelque chose.
Dans ce cas, que faut-il faire ?
Au même titre que pour un serveur dédié compromis, l'opérateur d'un cloud en mode IaaS devra, dès qu'il aura eu connaissance du problème, contacter son client ou faire cesser le trouble en arrêtant la VM, bref prendre des mesures appropriées...
C'est du classique pour un serveur dédié : même combat pour un cloud IaaS. Une bonne page de contact "report abuse" et c'est emballé/pesé.
Après, il reste possible de mettre en amont des plateformes des sondes comme des IDS qui vont détecter les flux vraisemblablement "malsains" car taggués comme étant des communications de type botnet, etc... Cela se fait en amont de fermes de serveurs dédiés, mais bon, il faut des signatures à jour et bien sur il est nécessaire que le trafic soit en clair (donc exit si SSL est utilisé) : Retour case départ au bon vieux formulaire denotification "report abuse".
Donc pas de quoi en faire un pataques.... Le buzz "cloud computing" est vraiment incroyable... Je comprends les stats de GoogleTrends. :-)
Que faut-il en penser ?
En fait, pas grand chose : Un service cloud de type "IaaS" (Infrastructure As a Service, cad une bonne petite machine virtuelle) ce n'est rien de plus qu'un serveur dédié (bon je simplifie un peu mais pas trop non plus). L'opérateur du cloud IaaS s'assure que les VM fonctionnent correctement et tout et tout.... Ce qui tourne au sein des VM ne le regarde à priori pas : Si une faille de sécurité vient à être exploitée sur une application déployée par l'un de ses clients, l'opérateur du cloud n'y est pas vraiment pour quelque chose.
Dans ce cas, que faut-il faire ?
Au même titre que pour un serveur dédié compromis, l'opérateur d'un cloud en mode IaaS devra, dès qu'il aura eu connaissance du problème, contacter son client ou faire cesser le trouble en arrêtant la VM, bref prendre des mesures appropriées...
C'est du classique pour un serveur dédié : même combat pour un cloud IaaS. Une bonne page de contact "report abuse" et c'est emballé/pesé.
Après, il reste possible de mettre en amont des plateformes des sondes comme des IDS qui vont détecter les flux vraisemblablement "malsains" car taggués comme étant des communications de type botnet, etc... Cela se fait en amont de fermes de serveurs dédiés, mais bon, il faut des signatures à jour et bien sur il est nécessaire que le trafic soit en clair (donc exit si SSL est utilisé) : Retour case départ au bon vieux formulaire denotification "report abuse".
Donc pas de quoi en faire un pataques.... Le buzz "cloud computing" est vraiment incroyable... Je comprends les stats de GoogleTrends. :-)
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens