La sécurité dans le «Cloud», réelle ou virtuelle? Nuages roses ou nuages noirs? David Girard Available Aug 30, 2011 Conseiller sénior en sécurité, Trend Micro 1
Agenda Mise en situation et les différents types de nuages (exemples d ici) Les risques associés à l infonuagique Les moyens de mitigation du risque Recommandations et conclusion Leader mondial depuis 2009 en terme de technologie et part de marché selon IDC Research Partenaire No. #1 de l année 2011, VMWorld 2011 Trend Micro Confidential 1/18/2012 2 2
Les différents types de nuages Les risques associés à l infonuagique Les moyens de mitigation du risque Recommandations et conclusion 1/18/2012 3 3
Questions Qui dans la salle a le plein contrôle sur toutes ses données en tout temps et qui n utilise aucune forme d infonuagique? Qui a un compte Dropbox ou Safesync? Qui utilise Google Docs, SlideShare, icloud, SalesForce.com ou Kindle? Qui a un courriel Web ou téléphone intelligent? Qui utilise un antivirus, anti-polluriel ou filtrage Web de Trend Micro? Qui utilise Amazon EC2, vcloud ou Windows Azure? Trend Micro Confidential 1/18/2012 4 4
Où sont vos données? Nuage Hybride Nuage Public IaaS PaaS SaaS DaaS Postes et serveurs physiques BYOPC Virtualisation Server Nuage Privé Virtualisation des postes Mobile ou BYOD 6 Nuage Communautaire 5
Mise en situation Les gourous de l informatique vous disent que le «cloud computing» est la solution à tous les problèmes Les chercheurs en sécurité et les consultants en sécurité vous disent que vous êtes à risque De quelle couleur sont vraiment les nuages de la virtualisation? 7 6
L infonuagique et ses bénéfices Elle va diminuer vos coûts d exploitation en baissant vos coûts de matériel, énergie, immobilisation, etc. Augmenter la productivité de vos administrateurs (ratio serveur/administrateur plus élevé ). Vous aurez de la haute disponibilité, du recouvrement en cas de désastre et de la continuité des affaires. Vous serez plus «vert»! Elle va régler le réchauffement de la planète à elle seule. 8 7
L infonuagique est-elle insécure? Les présentations de chercheurs à DevCon, Black Hat et autres se succèdent. Le «cloud computing» est dangereux et piratable. Les incidents chez certains fournisseurs de nuages commencent à faire leur apparition. Les outils, les preuves de concept (Bluepill, Vitriol, Xensploit) et les Whites papers des firmes de sécurité sont là. «Hypervisor Attacks and Hurricanes are inevitable» disent les analystes! 9 8
La sécurité: Le défino. 1 pour l adoption du Cloud La sécurité et la vie privée sont les inquiétudes les plus souvent invoquées et ils surpassent les trois autres éléments (performance, immaturité et conformité) réunis. Gartner (Avril 2010) 10 9
Les types d infonuages Grille de classification du NIST pour l infonuagique (Cloud_Computing_Business_Use_Case_Template.pdf) Modèle de service Privé Logiciel en tant que service (SaaS)* Plateforme en tant que service (PaaS) Infrastructure en tant que service (IaaS) Modèle de déploiement Communautaire Public Hybride *Données en tant que service ou DaaS est considéré par certains comme une sous catégorie de SaaS Référence :Guidelines on Security and Privacy in Public Cloud Computing Draft-SP-800-144_cloud-computing.pdf Trend Micro Confidential 1/18/2012 11 10
Nuage public Qui a le contrôle? Serveurs Virtualisation & Nuage privé Trois modèles de nuages publics Infrastructure Plateforme Logiciel en en tant tant que en que tant service service que service IaaS PaaS SaaS (et DaaS) Administrateurs (Enterprise) Fournisseurs de services Qui est responsable de la sécurité? Avec le modèle IaaS le client est responsable pour la sécurité Avec les modèles SaaS ou PaaS, c est le fournisseur de services qui est responsable de la sécurité Ce ne sont pas tous les SaaS ou les PaaS qui sont sécuritaires Ils peuvent compromettre vos terminaux qui s y connectent La sécurité des terminaux devient primordiale. 12 11
Qui a le contrôle? Même chose pour DaaS Trend Micro Confidential 1/18/2012 13 12
Qui a le contrôle? Trend Micro Confidential 1/18/2012 14 13
Qui a le contrôle? Trend Micro Confidential 1/18/2012 15 14
Tendances Qu avons nous comme projet au Québec? Trend Micro Confidential 1/18/2012 16 15
Les différents types de nuages Les risques associés à l infonuagique Les moyens de mitigation du risque Recommandations et conclusion 1/18/2012 17 16
Les risques associés au «Cloud» Tous les risques associés aux environnements physiques plus ceux associés aux hyperviseurs et ceux spécifiques pour le «cloud» Forte dépendance sur l accès réseau Augmentation de la complexité Plus d exposition à des attaques externes Perte de contrôle sur certains aspects des TI Exposition sur le net des interfaces de gestion et des applications Plus de DDoS Absence d une politique de sécurité adaptée Absence de contrôles de sécurité adaptés Trend Micro Confidential 1/18/2012 19 17
Consolidation et infonuagique Physique Virtuel Nuage Windows/Linux/Solaris Virtualisation des serveurs Public Privé et communautaire Virtualisation des postes Hybride Les nouvelles plateformes n éliminent pas les menaces Chaque plateforme ajoute des risques 20 18
Analyser le risque sur le parcours du Cloud Virtualisation Nuage privé IaaS Destruction des données 12 Co-hébergement Disparition du périmètre 11 10 Gouvernance et accès aux données 9 Intégrité et confidentialité des données 8 Conformité/ Manque de journalisation 7 Complexité de gestion 6 Étranglement des ressources 5 VM avec des niveaux de confiance différents mélangés 4 Trous de sécurité instantané 3 Attaques Inter-VM 2 08-31 Contrôles hôtes sous-déployés 1 19
De quoi devrions-nous nous inquiéter? L utilisation du chiffrement n est pas fréquente: Maintenant seul les serveurs autorisés peuvent lire les données! Les partitions virtuelles et les serveurs sont mobiles: Les politiques permettent l accès seulement aux endroits permis! Name: John Doe SSN: 425-79-0053 Visa #: 4456-8732 Des serveurs illicites peuvent accéder les données: Oui mais l information n est pas lisible! Nom: Joe Louis SSN: 111-222-333 Visa #: 4456-8732 Pas de modules d audits ou d alertes: Maintenant il y a des rapports, alertes et journaux d activités! Les clés de chiffrement sont séparées du coffre : Le client décide ou sont stockées les clés! Les volumes virtuels contiennent des données résiduelles: Pas de problèmes Les disques ne sont pas lisibles! Classification 1/18/2012 22 20
Incidents dans le «cloud» Source : http://cloutage.org/ et on n oubli pas RIM Trend Micro Confidential 1/18/2012 23 21
5 7 8 2 1 3 4 6 22
Surface d attaque 1. Composantes de gestion 2. Infrastructure virtuelle 3. Infrastructure physique (hyperviseur + san ) primaire 4. Infrastructure physique de relève 5. Les machines virtuelles et les appliances 6. Les équipements de gestions externes 7. Les liens externes de l infrastructure virtuelle 8. Les hyperviseurs de type 2 et les postes de travail virtualisés qui sont sur le réseau de l organisation 9. Les administrateurs d infrastructures virtuelles Tous droits réservés/ Copyright @ 2009 BPR 23
Les possibilités d attaques 1. Attaques sur l infrastructure de gestion (XSS, DoS, etc) ; 2. Attaques sur les machines virtuelles (une VM ou de ou VM à VM «VM hopping» 3. «Jail breaking», VM à Hyperviseur (plus répendu sur les types 2) 4. Side channel attack. L hyperviseur envoit des informations à une VM qui expose des secrets à une autre VM. Survient si le réseau virtuel est mal configuré : promiscuos mode enabled. 5. Attaques sur le réseau virtuel :Attaques sur les services de réplication comme vmotion ou si le MAC spoofing est permis sur la vswitch. Si le réseau virtuel n est pas bien segmenté et que par exemple, on a des VM d une zone publique et d une zone privée sur une même vswitch, vous exposez votre réseau interne à des attaquants externes. 6. Attaques sur l OS sous-jacent dans le cas des hyperviseur de type 2. 26 24
Les possibilités d attaques (suite) 7. Attaques sur la couche de persistance. On trouve souvent lors d audits des fichiers VMDK en partage sur le réseau ou des SAN qui ont le mot de passe par défaut du fabriquant. N oublier pas que iscsi passe ses authentifiant en clair sur le réseau avec VMWare (activez CHAP mais avec un MiTM vous verrez tout quand même si vous lancez votre attaque avant l authentification). Si le réseau local n est pas adéquatement segmenté, vous exposez alors vos données à tous les utilisateurs du LAN. 8. Sabotage de la part de l administrateur de l infrastructure virtuelle. 9. Attaque via le Clipboard entre la console et une VM compromise. 10. Directory traversal (ex: VMWare Workstation, partage) 11. XSS sur un composant de l hyperviseur. Ex: VMWare Player. 12. Attaque sur les fichiers de logs. Log Abuse. DoS. 13. Attaque SNMP. Certains supportent SNMP 1 et sont très bavard. Exigez 2c ou 3. 27 25
Les possibilités d attaques (suite) 14. Idée: exploiter une faille dans un API de sécurité... Ex: Comme les failles dans Snort ou dans un produit similaire. 15. Rootkit à la BluePill ou Vitriol. 16. Fausses mises à jour. Vérifier vos hash! Ingénierie sociale sur l administrateur de l infrastructure virtuelle. Faux programme de transfert SCP 17. Exploiter des VM ou des vswitche mal isolées. 18. Attaquer la console. 28 26
Security Life Cycle in Cloud Era Threat Infiltration Implantation Intrusion Extraction(Data) Infrastructure Infrastructure Gateways Firewalls Virtual Public Cloud 3G/4G network Devices PCs Notebooks Mobile Device Industrial Devices Application & Server File server/mail Servers Web server Data base server Application servers Data Damage Productivity Business Continuality Data & Company reputation Network Check Points Device Protection Server Security Data Damage Control Security Jobs Gateway Firewall/IPS/IDS Virtual Workload Security VPN Gateway Inside Network Monitoring PCs Notebooks Mobile security Industrial Device Security Host Firewall/IPS Host AV Application Control File Integrity Monitoring Log Inspections System Hardening Vulnerability Shielding Data recovery Data Encryption Remote Wipe Smart Threat Protection Smart Data Protection 27
Les différents types de nuages Les risques associés à l infonuagique Les moyens de mitigation du risque Recommandations et conclusion 1/18/2012 31 28
Comment se protéger 1. Gestion des accès (rôles) et de l authentification serré. 2. Définir des zones pour des tâches différentes et des niveaux de sécurité différents. 3. Sécurisé de la persistance des données 4. Sécuriser la console de gestion 5. Séparation des tâches entre les administrateurs. 6. Mettre à jour les composants de la solution. 7. Sécuriser les réseaux physiques et virtuels. 8. Chiffrement des communications et des données 9. Utiliser des produits qui sont faits pour la virtualisation 32 29
Comment se protéger (suite) 9. Mettre place une infrastructure de journalisation et de surveillance adéquate. 10. Durcir et protéger les VM elles mêmes. 11. Effectuer le durcissement de l environnement virtuel (si on en a le contrôle nuage privé). 12. Balayer les environnements virtuels avec des scanneurs de vulnérabilités régulièrement. 13. Sécuriser les applications qui sont dans les VM car elles peuvent compromette les VM et les données. 33 30
La solution idéale de sécurité pour le Cloud Flexible Physique Virtuel Cloud Complète Modulaire IDS / IPS Protection d application Web Pare-feu Surveillance de l intégrité Antimalware Inspection de journaux Chiffrement Application de politiques Installer et appliquer un ou plusieurs modules de protection ou solutions Intégré S intègre avec les API, les produits et les technologies du Cloud comme Vmware, Amazon EC2.et être certifié FIPS et EAL4+ Classification 1/18/2012 34 31
Quelle est la solution? Sécuriser le Cloud c est protéger Virtualisation & Réseaux Cloud Infrastructure Mobile & Endpoint Cloud End Devices Gestion mixte Physique Virtuel Cloud Mobile Data, Cloud Storage Cloud Data Réseaux sociaux & SaaS Cloud Application 36 32
Quelle est la solution? Sécuriser votre nuage Virtualisation & réseaux Cloud Infrastructure Gestion mixte Physique Virtuel Cloud Mobile & Endpoint Cloud Devices Outside-In Threat Intelligence Inside-Out Contrôle d accès données Mobile Data, Cloud Storage Réseaux sociaux& SaaS Cloud Data Cloud Application 37 33
Total Cloud Protection DEEP SECURITY + SECURE CLOUD API vshield Endpoint Sans agent Anti-Malware 1 Détecte et bloque le code malicieux (menaces Web, virus, vers et chevaux de Troie). (PCI*). Agent pour Windows aussi disponible. VMsafe APIs API Intel et VMware Avec agent IDS / IPS Protection pour App Web Contrôle d application Pare feu Sans agent Surveillance de l intégrité VM et Hyperviseur Inspection des journaux Chiffrement des données 2 3 4 5 Détecte et bloque les attaques connues et les zero-day qui ciblent les vulnérabilités (PCI*). Patches virtuelles. Protège contre les vulnérabilités Web (PCI*) Donne une visibilité accrue et un meilleur contrôle sur les applications qui accèdent le réseau Réduit la surface d attaque. Prévient les DoS & détecte les scans de reconnaissance (PCI*) Détecte les changements malicieux ou nonautorisés aux fichiers, répertoires, clés de registres, processus et ports réseau. (ITIL, PCI*) Facilite l identification d événements de sécurité important qui se cachent les journaux. (PCI*) Protège vos données contre le vol et vous rend conforme aux lois en matière de vie privée 39 (PCI*): Aide à la conformité PCI Data Security Standards et d autres standards 34
Total Cloud Protection Sécurité pour vos systèmes, applications et données dans le nuage Deep Security 8 Cloud Aware Credit Card Payment Patient Sensitive Social SecureCloud Security Medical Research Numbers Records Results 2 Information Protection modulaire pour les serveurs et les applications Machines virtuelles auto-défendu dans le Cloud L agent dans les VM permet de voyager entre les différentes solutions de nuages Une console de gestion pour tous les modules Chiffrement avec gestion des clés par politiques Les données sont illisibles pour les utilisateurs non-autorisés Gestion des clés par politique pour contrôler et automatiser la livraison des clés Mécanisme d authentification des serveurs qui requiert des clés 40 35
SecureCloud 2 Certification FIPS 140-2 : Exigé pour le déploiement au fédéral Intégration avec la console Deep Security - Une seule console Permets d accéder à l ère de l infonuagique tout en respectant les critères de vie privée Sépare les données de divers niveaux de classification pour éviter les fuites d informations et les menaces de l intérieur Réduire la complexité et les coûts avec des politiques de gestion des clés de chiffrement Augmente la sécurité avec l authentification des serveurs basés sur leur identité et leur intégrité Permets de passer d un nuage à l autre sans se soucier si on laisse des données lisibles derrière soit. Gestion du cycle de vie des clés de chiffrement : révocation, rotation afin de les déployer dans un environnement physique, virtuel ou nuage 1/18/2012 41 41 36
SecureCloud 2 Options de déploiement en enterprise Options de déploiement Trend Micro Solution SaaS Chiffrement Supporté VM VM VM VM vsphere Machines Virtuelles VM VM VM VM Nuage privé Ou Data Center Software Application Console SecureCloud ou Deep Security VM VM VM VM Nuage public 42 37
SecureCloud 2 Options de déploiement pour fournisseur de services Options de gestion des clés Modèle hébergé Chiffrement supporté VM VM VM VM Nuage Public Ou Modèle direct Console SecureCloud ou Deep Security Modèle direct donne aux fournisseurs le plein contrôle sur les services offerts. Modèle hébergé déresponsabilise le fournisseur de services. Les deux modèles permettent au fournisseur de faire des revenus et de se différencier 43 38
Architecture de Deep Security Deep Security Manager 1 Rapports 5 Threat Intelligence Manager 2 Deep Security Agent 3 4 SecureCloud Deep Security Agent Deep Security Virtual Appliance Cloud Modules: DPI & FW Anti-malware Integrity Monitoring Log Inspection Modules: DPI & FW Anti-malware Integrity Monitoring 44 39
8.0 45 40
Deep Security: Plateformes protégées Windows 2000 Windows 2003 (32 & 64 bit) & R2 Windows XP Vista (32 & 64 bit) Windows Server 2008 (32 & 64 bit) & R2 Windows 7 8, 9, 10 sur SPARC 10 on x86 (64 bit) Red Hat 4, 5, 6 (32 & 64 bit), CentOS 4, 5 (32 & 64 bit), SuSE 10, 11 VMware ESX Server (guest OS) Surveillance de l intégrité avec API Intel sous vsphere 5 VMware Server (host & guest OS) HP-UX 11i (11.23 & 11.31) AIX 5.3, 6.1 Modules de surveillance de l intégrité & Inspection des journaux seulement 46 46 41
L antivirus sans agent = plus de densité Les autres produits consomment 3x 12x plus de ressources durant les scans cédulés et ne peuvent pas supportés plus de 25 VM-VDI par serveur Trend supportent 200-300% plus de VM-VDI par hyperviseur que les AV traditionnels Trend supporte 40-60% plus de VM serveurs par hyperviseur que les Antivirus traditionnels 273% CPU 307% 2143 % IOPS 2053 % 81% 692% Symantec Trend McAfee Symantec Trend McAfee Utilisation de ressources d un scan programmée par rapport à un baseline de 50 VMs par hyperviseur 42
Plus de densité = plus d économies $$$$ $250K sur 3 ans pour 1000 postes virtuels Virtualisation des postes (TCO pour 1000) Avec Trend Micro Avec un AV Traditionnel + VERT!!! + CO2 Images VDI par hyperviseur 75 25 Serveurs requis pour héberger 1000 postes virtuels Économies sur le capital (Capex) pour 1 serveur Énergie, climatisation & économie d espace pour 1 serveur sur 3 ans Économies sur 3 ans pour 1000 Postes virtuels qui utilisent Trend Micro 14 40 $5900 (à partir du calculateur de TCO de VMware) $3600 (à partir du calculateur de TCO de VMware) $(5900+3600) X 26 serveurs de moins = $247,000 Économies similaires pour des serveurs virtuels. Économies sur 3 ans pour 600 VM de serveurs qui utilisent Trend Micro = $200,000 49 43
Solution Trend: Bénéfices principaux Protège contre les vulnérabilités dans les OS, applications d entreprises et les applications Web Détecte & bloque les activités suspectes Surveille l intégrité des VM et de l hyperviseur Protège contre les Attaques sophistiquées Priorise les efforts de programmation Prévient les fuites de données & les pannes de services aux clients Gère les correctifs non-planifiés Aide à la réduction des coûts d opérations Permet d être conforme 50 Politiques internes PCI-DSS, ITIL & autres cadres de conformité Des rapports détaillés qui décrivent les attaques stoppées et le niveau de conformité Livre la sécurité nécessaire pour réaliser les économies promises par la virtualisation Accroit la valeur de votre investissement dans un SIEM 44
Competitive Landscape Protection Agentless Anti-malware Agentless FW, IDS/IPS & web app protection Trend Micro DS YES McAfee Symantec IBM Tripwire NO (MOVE AV for VDI = thin agent) NO (optimized SEP agent with whitelisting) NO YES NO NO YES (only IDS/IPS) NO NO Agentless FIM incl. hypervisor integrity Integrated Agent with AV, FW, DPI, FIM, LI Task automation w. Recommendation Scan, Golden Host Context-aware Total Cloud Protection vcenter & vshield Integration YES YES NO (agent-based = Solidcore) NO 3 different prod Relies on EPO NO NO NO (has a more feature-rich agent) NO 2 different prod. YES NO NO NO NO YES NO NO NO NO NO YES NO NO NO (only 1/18/2012 52 vcenter) NO NO 52 45
Les différents types de nuages Les risques associés à l infonuagique Les moyens de mitigation du risque Recommandations et conclusion 1/18/2012 53 46
Vous protégez vos VM avec quoi? ou Les solutions traditionnelles tuent les VM et votre infrastructure Ne jouez pas à la roulette russe avec votre infrastructure! Trend Micro a les armes pour tuer les menaces, pas votre infrastructure SecureCloud, Deep Security et OfficeScan-VDI sont VM aware. Ils sont optimisés pour VMware et Citrix. Ne gaspillez pas vos ressources et votre argent. Classification 1/18/2012 54 47
Recommendations Chercher des solutions de sécurité pour le Cloud qui ont ces caractéristiques : Flexible: Fonctionne autant Physique-Virtuel-Cloud Complète: Mécanismes multiples de protection Modulaire: plusieurs modules de protection Intégré avec les API des technologies de nuage. VMware / Vmsafe, EPSEC, vcloud, Amazon EC2... Multiplateforme: Windows, Linux, Solaris, AIX, HP-UX Certifié FIPS 140-2 EAL4+ (Insister pour voir les roadmap des vendeurs mais ne pas acheter de vaporware, recherchez les solutions matures) Classification 1/18/2012 55 48
De quelle couleur est le nuage? Tout est une question de gestion du risque. Afin d avoir un risque acceptable, vous devez connaitre le risque et appliquer des contrôles adaptés afin qu il soit acceptable. Vous devez surveiller vos contrôles et votre nuage afin qu ils soient toujours adaptés à votre niveau d acceptation du risque ou au niveau de conformité qui sont exigés par les lois et standards qui vous régissent. Avec nous, votre nuage sera blanc Trend Micro Confidential 1/18/2012 56 49
Que prenez vous pour guérir d une pneumonie? Antibiotiques ou SVP ne tuer pas le patient! Utilisez le bon traitement. Faites la même chose avec vos VM. Utilisez un produit VM aware de Trend Micro. SecureCloud, Deep Security et OfficeScan-VDI sont optimisés pour VMware et Citrix. Support de Microsoft Hyper-V bientôt. Ne gaspillez pas vos ressources et votre argent. Classification 1/18/2012 57 50
dd Question? Merci! David_girard@trendmicro.com (514)-629-1680 51