Add to collection(s) Add to saved
  1. No category
Uploaded by SAMYA ELBARMILE

Virtualisation et cloud computing

advertisement 
Virtualisation et Sécurité du Cloud
Computing
Master2:Securité des Systèmes
d’Information
Pr.Chaimae SAADI
Email:chaimaesaadi900@gmail.com
1
Année universitaire: 2018/2019
04/02/2019
Guide de cours
 Ce cours s'adresse aux étudiants de la 2ème année Master
sécurité des système d’information.
 C’est un élément constitutif de l’unité d’enseignement
principale.
 Il sera assuré pendant une durée déterminée de cours et de
travaux pratiques une fois par semaine.
2
04/02/2019
Objectif de cours
 Comprendre les principes de la virtualisation ;
 Manipuler les concepts de la virtualisation à travers des outils
pratiques ;
 Découvrir la notion du cloud computing et ses applications
 Découvrir les concepts de sécurité Cloud
3
04/02/2019
Partie1: Virtualisation
Définition du concept de la virtualisation.
2. Prendre connaissance des domaines de la virtualisation.
3. Déterminer les avantages et les inconvénients de la
virtualisation.
4. Comprendre les différents types de la virtualisation.
a. Architecture de virtualisation
b. Forme de virtualisation
c. Domaine de virtualisation
d. Type de virtualisation
e. Réseau et virtualisation
1.
4
04/02/2019
Partie 2: Securité Cloud Computing
1.
2.
3.
4.
5.
6.
7.
8.
5
Historique et Principes du cloud computing
Les concepts et les enjeux du cloud computing
Classification des services dans le cloud
Modèles de déploiement du Cloud
Exemple d’offres de cloud computing
Sécurité du Cloud Computing
Gestion des risques dans le Cloud Computing
Aspects et problèmes juridiques
04/02/2019
Travaux dirigés sur ordinateur
 Installation & configuration d’ESXi 5
 Installation du vsphère client
 Connexion à un hôte via vsphère client
 Installation configuration KVM
 Mise en place d'un Cloud de type IAAS
 Application des concepts de Sécurité dans une solution IAAS
6
04/02/2019
Introduction
Au départ:
Sur toute machine physique, une couche hardware est présente.
Cette couche représente l’ensemble des périphériques matériels
nécessaires au bon fonctionnement de l’ordinateur.
Il existe de nombreux types de périphériques, tels que:
 le processeur,
 la mémoire,
 les cartes réseau et
 les disques durs, …
et pour chaque périphérique, il existe de nombreux constructeurs
différents.
7
04/02/2019
 Le schéma suivant illustre une architecture dite ‘classique’,
composée de deux couches :
 La couche matérielle, représentée par un serveur, caractérise
8
l’ensemble des périphériques matériels.
 La couche logicielle, qui comprend le système d’exploitation et
04/02/2019
les applications.
La virtualisation
 Faire fonctionner sur une même machine physique plusieurs
systèmes comme s’il fonctionne sur des machine physique distinct
9
04/02/2019
Objectif de la virtualisation
 De partager un même serveur physique en N serveurs virtuels,
alloués à différents clients.
 De définir:
 La technologie de virtualisation retenue
 Les ressources allouée à chaque client.
 De donner à chaque client un contrôle total sur son serveur
virtuel.
10
04/02/2019
Architecture virtuelle
 Une architecture virtuelle, composée de trois couches :
 La couche matérielle, représentée par un serveur, caractérise
l’ensemble des périphériques matériels.
 La couche logicielle qui est composée de l’hyperviseur en lieu
et place du système d’exploitation de l’architecture classique.
 Les
différents conteneurs comprenant
d’exploitation et des applications.
11
un
système
04/02/2019
12
04/02/2019
Hyperviseur
 Un hyperviseur opère entre la couche matérielle et les différents
conteneurs qui lui sont ajoutés. Chaque conteneur, également
appelé machine virtuelle, contient une instance d’un système
d’exploitation et une ou plusieurs applications.
 La couche de virtualisation simule des périphériques virtuels pour
chaque machine virtuelle et s’occupe de faire le lien entre les
périphériques virtuels et les périphériques physiques.
 NB: les machines virtuelles fonctionneront sans avoir
besoin du pilote du constructeur. Et un changement de
matériel n’aura aucune incidence sur les machines
virtuelles.
13
04/02/2019
Hyperviseur
 Donc un hyperviseur:
 Assure le contrôle du processeur et des ressources de la
machine hôte.
 Allouer a chaque VM les ressources qu’elle a besoin.
 S’assure que les VM n’interferent pas l’une avec l’autre.
14
04/02/2019
Composants d’un hyperviseur
 L’hyperviseur, ou programme de contrôle, est un logiciel
constitué d’un ensemble de modules.
15
04/02/2019
Composants d’un hyperviseur
 Le régulateur (dispatcher) : il peut être considéré comme le
module de contrôle de plus haut niveau de l’hyperviseur.
 L’allocateur : son rôle est de déterminer quelle(s) ressource(s)
doivent être allouées aux applications virtualiseés.
 Des interpréteurs : a chacune des instructions privilégiées (a
l’exception de celles qui sont prises en charge par l’allocateur), on
va associer une routine d’interprétation.
16
04/02/2019
Les types d’hyperviseur
17
04/02/2019
18
04/02/2019
19
04/02/2019
Les formes de la virtualisation
 Il existe 3 formes de virtualisations:
 la virtualisation de matériel
 la virtualisation de présentation
 la virtualisation d’application
20
04/02/2019
la virtualisation de matériel
 C’est le faite de faire tourner plusieurs environnement sur le
même système physique
21
04/02/2019
la virtualisation de présentation
 Consiste a exécuter des application de manière centralisé sur des
serveurs et déporter l’affichage sur des poste client
« Remote control service »
22
04/02/2019
la virtualisation d’application
 Permet de distribuer sur un poste client des applications
métiers sans perturber le système d’application
23
04/02/2019
Les domaines de la virtualisation
 La virtualisation d’application est une technologie logicielle qui va
permettre d’améliorer la portabilité et la compatibilité des
applications en les isolant du système d’exploitation sur le quel
elles sont exécutées.
 Les domaines de virtualisations d’applications sont:
 La virtualisation réseau
 La virtualisation de stockage
 La virtualisation des serveurs
24
04/02/2019
La virtualisation réseau:
 De manière générale, la virtualisation des réseaux consiste à
partager une même infrastructure physique (débit des liens,
ressources CPU des routeurs,...) au profit de plusieurs réseaux
virtuels isolés.
 Un VLAN (Virtual Local Area Network) est un réseau local
regroupant un ensemble de machines de façon logique et non
physique.
25
04/02/2019
La virtualisation réseau
 Les avantages qu’offrent les réseaux virtuels sont les suivants :
 Une réduction du traffic de diffusion, puisque celui-ci est à
présent contenu au sein de chaque réseau virtuel ;
 Une sécurité accrue puisque l’information est encapsulée dans
une couche supplémentaire ;
 Une meilleure flexibilité puisqu’une modification de la
structure des réseaux peut être réalisée en modifiant la
configuration du commutateur.
26
04/02/2019
La virtualisation de stockage
 Dans une machine virtuelle, les données sont stockées sur un
disque dur virtuel. Ce disque dur se présente sous forme de
fichier dans le système de fichiers de l'hôte :
 VHD chez Microsoft
 VDI chez Oracle
 VMDK chez VMWare
 OVF format ouvert
27
04/02/2019
La virtualisation de stockage
 La virtualisation de stockage permet :
 d’adjoindre un périphérique de stockage supplémentaire sans
interruption des services;
 de regrouper des unités de disques durs de différentes vitesses,
de différentes tailles et de différents constructeurs ;
 de réallouer dynamiquement de l’espace de stockage.
28
04/02/2019
La virtualisation des serveurs
 Cette technique permet aux entreprises d’utiliser des serveurs
virtuels en lieu et place de serveurs physiques.
 Si cette virtualisation est faite au sein de la même entreprise, le
but est de mieux utiliser la capacité de chaque serveur par une
mise en commun de leur capacité.
29
04/02/2019
Les différents types de virtualisation
 Les technologies les plus répandues sont :
la virtualisation complète;
2. la paravirtualisation;
3. la virtualisation assistée par le matériel;
4. le cloisonnement.
1.
30
04/02/2019
Virtualisation complète
 LA VIRTUALISATION dite complète permet de faire fonctionner
n’importe quel système d’exploitation en tant qu’invité dans une
machine virtuelle, pour l’utilisateur final , ce type de virtualisation
est la plus simple a mettre en place et est la plus pratique.
 Limitations :ce type de virtualisation ne permet de virtualiser que
des SEs prévus pour la même architecture matérielle que le
processeur physique de l’ordinateur hôte
 Exemples : VirtualBox , Microsoft VirtualPC et Microsoft
VirtualServer
31
04/02/2019
Virtualisation complète
32
04/02/2019
la paravirtualisation
 La paravirtualisation est très proche du concept de la virtualisation complète,
dans le sens où c’est toujours un système d’exploitation complet qui s’exécute
sur le matériel émulé par une machine virtuelle.
 La para-virtualisation évite d'utiliser un système hôte complet pour faire la
virtualisation.
 Le système invité doit avoir conscience qu’il tourne dans un environnement
virtuel ce qui implique d’employer un noyau modifié.
 Les performances sont bien meilleures en para-virtualisation qu'en
virtualisation complète
 Exemples : Xen , KVM , ESX/ESXi , Hyper-V
33
04/02/2019
la paravirtualisation
34
04/02/2019
L’encapsulation:
 Extension du mode para virtualisation
 Etat intégral du serveur virtuel contenu dans un jeu de fichiers.
 Portabilité des machines virtuelles entre différentes machines hôtes car
les pilotes de matériels sont banalisés.
 Optimisation de la sauvegarde/restauration et du provisionnement.
 Mise en œuvre simplifié d’un plan de reprise d’activité.
35
04/02/2019
La virtualisation assistée par le
matériel
 Le partitionnement matériel, enfin, est la technique
historique utilisée sur les gros systèmes.
 Elle consiste à séparer les ressources matérielles au niveau de la
carte mère de la machine.
 Cette technique est surtout répandue dans les serveurs hauts de
gamme.
36
04/02/2019
le cloisonnement/ L’isolation
 L’isolation consiste à mettre en place, sur un même noyau de
système d’exploitation, une séparation forte entre différents
contextes logiciels.
 Il s'agit de la technique de virtualisation la plus « légère » qui
existe.
 Les solutions :
 Les deux principales solutions pour l’isolation Linux sont OpenVZ et LXC.
Linux-Vserver,
37
04/02/2019
le cloisonnement/ L’isolation
38
04/02/2019
Virtualisation – Les types de connexion au
réseau
 En termes de connexion au réseau, on trouve plusieurs types de
connexion au réseau, Parmi ces types de connexion au réseau, on
trouve :
Bridge
NAT
Host-Only
LAN Segment
39
04/02/2019
Le type Bridge
 Ce mode est le plus utilisé puisqu’il permet de connecter une
machine virtuelle directement sur le réseau physique sur lequel
est branchée la carte réseau physique de l’hôte.
 Si l’hôte physique dispose de plusieurs cartes réseaux, on peur
choisir de créer un pont ce qui permet une flexibilité dans la
configuration et dans la gestion de la connexion réseau
40
04/02/2019
Le type Bridge
41
04/02/2019
Le type NAT
 Ce type de connexion permet à la machine virtuelle d’accéder
au réseau de façon totalement transparente puisque c’est
l’adresse IP de la machine physique qui est utilisée grâce à la
translation d’adresse du processus NAT.
 Masquer l’adresse IP des clients qui lui sont connectés pour
sortir sur le réseau.
 La machine virtuelle utilise une adresse IP distribuée par
l’application de virtualisation via un serveur DHCP, puis elle
utilisera votre hôte physique comme passerelle pour sortir du
réseau
42
04/02/2019
Le type NAT
43
04/02/2019
Le type Host-Only
 Ce type de connexion ne permet pas de sortir vers un réseau
extérieur, ni d’accéder au réseau local par l’intermédiaire de la
carte réseau physique de la machine physique hôte.
 ce mode permet uniquement d’établir une connexion entre la
machine virtuelle et la machine physique. Cela par l’intermédiaire
de l’adaptateur virtuel de la machine virtuelle et l’adaptateur
virtuel de la machine physique qui obtiendront des adresses IP via
le serveur DHCP virtuel de l’hyperviseur.
44
04/02/2019
Le type Host-Only
45
04/02/2019
Le type LAN Segment
 Le type LAN Segment permet d’isoler des machines sur un LAN
virtuel.
 Par exemple, si un LAN virtuel « LAN-1 » est créé, toutes les
machines ayant une carte réseau en mode LAN Segment
connectée au « LAN-1 » pourront communiquer ensemble. toutes
les machines reliées à « LAN-2 » pourront communiquer
ensemble mais ne pourront pas communiquer avec les machines
virtuelles du « LAN-1 ».
46
04/02/2019
Le type LAN Segment
47
04/02/2019
Synthèse:
 Le mode Bridge et le mode NAT sont les seuls qui permettent
d’accéder au réseau physique sur lequel l’hôte physique est
connectée.
 le LAN Segment peut être utilisé pour isoler certaines machines
virtuelles dans un LAN virtuel qui auront pour passerelle une
machine virtuelle ayant deux cartes : une dans le LAN virtuel avec
les autres machines virtuelles et une en mode Bridge pour sortir
sur le réseau.
48
04/02/2019
Firewall, VPN
 Les capacités réseau de certaines solutions de virtualisation
permettent même de mettre en place des serveurs
virtuels ayant la main sur les interfaces réseau, ce qui
permet l'utilisation d'un composant virtuel pour servir de
firewall, de système de détection d'intrusions, de endpoint
VPN, totalement isolé du matériel, et donc moins sensible en
cas d'attaque.
49
04/02/2019
LE STOCKAGE
 Quelque soit la technologie utilisée, une machine virtuelle se
compose de deux éléments :
 Des ressources
 Des données
50
04/02/2019
Les trois méthodes de stockage
51
04/02/2019
52
04/02/2019
53
04/02/2019
LE DAS
 Stockage partition système
54
04/02/2019
SAN stockage (Storage Area Network)
 Un SAN, ou réseau de stockage (Storage Area Network), est un réseau sur lequel
circulent les données entre un système et son stockage.
 Stockage des données applicatif
 Les deux principaux protocoles d'accès à un SAN sont iSCSI et Fibre
Channel.
55
04/02/2019
SAN stockage (Storage Area Network)
 iSCSI est un protocole d'accès disque fonctionnant sur un réseau
Ethernet, il permet d'implémenter un réseau de stockage en
profitant de la connectique et des équipements de commutation
standards.
 Fibre Channel Basé sur des fibres optiques il assure une latence
et un débit bien meilleurs que iSCSI, à un prix bien sûr plus élevé.
Son principe d'utilisation est le même qu'un SAN iSCSI.
56
04/02/2019
stockage en réseau le NAS
 NAS et NFS
 Un NAS, ou stockage réseau (Network-Attached Storage) est
simplement un serveur fournissant leurs fichiers à d'autres
serveurs par le réseau.
 NFS est le standard universel pour l'accès aux fichiers sur un
réseau, c'est le protocole le plus utilisé dans les NAS.
57
04/02/2019
Les bénéfices de la virtualisation
 Les bénéfices dégagés par l’utilisation des technologies de
virtualisation sont multiples, nous décrirons ici les
principaux:
 La consolidation
 Réduction du TCO (Total Cost of Ownership)
 Continuité d’activité
 Optimisation de la qualité de service
58
04/02/2019
Consolidation :
 La virtualisation permet au service informatique d’optimiser
l’utilisation de ses ressources physiques en utilisant le principe des
machines virtuelles.
59
04/02/2019
Réduction du TCO (Total Cost of
Ownership) :
 Les dépenses en matériel informatique sont une problématique en
entreprise. En effet si un matériel est amorti sur 5 ans, une fois
amorti, le serveur arrive en fin de vie et à besoin d’être remplacé.
 Ce cycle de vie est considérablement réduit par la recherche et le
développement conduisant à une innovation rapide dans le secteur
informatique.
60
04/02/2019
Continuité d’activité :
 Au travers des fonctionnalités introduites par la virtualisation, il
est possible d’améliorer la continuité d’activité en améliorant
considérablement la tolérance de panne, la haute disponibilité.
61
04/02/2019
Optimisation de la qualité de service :
 Déployer un serveur opérationnel est une tâche lourde dans une
architecture classique, impliquant de nombreux acteurs et
demandant beaucoup de temps.
 La virtualisation met en place des processus facilitant cette
opération et le déploiement de nouvelles machines virtuelles ne
nécessite plus que quelques minutes.
62
04/02/2019
Travaux pratiques
63
04/02/2019
Cloud computing
64
04/02/2019
Introduction au cloud
 Le Cloud Computing ou l'informatique dans les nuages, est un concept qui
consiste à déporter sur des serveurs distants de stockage et de
traitement informatique traditionnellement localisés sur des serveurs locaux
ou sur des postes utilisateurs.
 Il propose des services informatiques à la demande, accessible de n'importe
où, n'importe quand et par n'importe qui, grâce à un système
d'identification, via un ordinateur et une connexion Internet.
 Cloud n'est pas un ensemble de technologies mais un modèle de fourniture,
de gestion et de consommation de services et de ressources
informatiques .
65
04/02/2019
Histoire
 Techniquement, l’idée du Cloud Computing est loin d'être nouvelle. C’est une
continuité des innovations électroniques et informatiques datant de
plusieurs siècles, elles se rapprochent de ce que promet aujourd’hui ce nouveau
concept Cloud telles que la virtualisation et la distribution.
66
04/02/2019
Modèle de référence du Cloud Computing
 Le modèle de référence présente les différentes caractéristiques, les
formes de déploiements et les modèles de services du Cloud
Computing.
 Caractéristiques du Cloud Computing:
Ressources disponibles en libre-service et à la demande.
Élastique et automatique – approvisionnement rapide.
Le paiement à l’usage.
Accessible via un réseau étendu.
Ressources mutualisées.
67
04/02/2019
Ressources disponibles en libre-service et à la
demande.
 Cette première caractéristique du Cloud Computing marque un grand
changement par rapport aux modèles précédents.
 Les clients peuvent disposer des ressources informatiques (serveurs,
réseaux, applications, …etc.) sans forcément passer par un vendeur, un
simple clic à travers une interface déclenche la mise à disposition de la
demande.
 La caractéristique « à la demande » signifie que les clients peuvent modifier
leurs demandes à la hausse comme à la baisse, en fonction de leurs besoins.
 Il n’est alors plus nécessaire d’immobiliser des infrastructures ou des
ressources informatiques non utilisées .
68
04/02/2019
Accessible via un réseau étendu.
 Les ressources informatiques sont accessibles via un réseau en utilisant
plusieurs types d’appareils tels que les PC, les tablettes, les
Smartphones, …etc.
 Cette caractéristique est rendue possible grâce à la technologie de la
virtualisation.
 Le contrôle des ressources informatiques peut être effectué de
n’importe quelle localisation à la seule condition d’avoir un réseau
pour y accéder.
69
04/02/2019
Ressources mutualisées.
 La mutualisation des ressources est la force du Cloud Computing.
 Un fournisseur mutualise les ressources informatiques pour répondre aux




70
besoins de plusieurs clients.
On utilise également le terme de « ressources multi-tenantes », c’est-à-dire
qu’elles peuvent accueillir plusieurs utilisateurs.
Les ressources informatiques sont attribuées en fonction de la demande.
La répartition des données implique la réflexion sur leur reconstitution afin
que leurs propriétaires puissent les utiliser.
L’aspect multi tenant implique l’utilisation d’une technologie standard par
tous les utilisateurs .
04/02/2019
Élastique et automatique – approvisionnement
rapide.
 Le critère d’élasticité du Cloud Computing est lié à la caractéristique «
à la demande ».
 Les ressources informatiques peuvent être approvisionnées et libérées
avec un minimum de temps.
 On accorde donc au client ce qu’il en a besoin en donnant ainsi
l’impression d’avoir accès à une ressource illimitée.
 En plus du critère « élastique », il s’ajoute la question du « temps » de
la mise à disposition des ressources.
71
04/02/2019
Le paiement à l’usage.
 Dans le cadre des services Cloud Computing du type public, les clients
paient uniquement les ressources informatiques qui ont été utilisées.
 Des outils de contrôles ont été développés pour permettre le suivi de la
consommation des utilisateurs.
 Les clients peuvent également fixer un taux d’usage ou un montant
maximum à ne pas dépasser .
72
04/02/2019
Formes de déploiement du Cloud Computing
 Nous distinguons quatre formes de Cloud Computing : le Cloud
publique également le premier apparu, le Cloud privé, le Cloud hybride
(qui est la combinaison des deux premiers) et le Cloud communautaire.
Cloud publique
 Cloud privé
 Cloud hybride
 Cloud communautaire

73
04/02/2019
Cloud publique
 Le principe est d'héberger des applications, en général des applications
Web, sur un environnement partagé avec un nombre illimité
d'utilisateurs.
 La mise en place de ce type de Cloud est gérée par les entreprises
tierces (Amazon, Google,… etc.), il est accessible selon le modèle payé
à la consommation .
 Ce modèle est caractérisé par:
o Demande des investissements lourds pour le fournisseur de
services;
o Il offre un maximum de flexibilité;
o Il n'est pas sécurisé.
74
04/02/2019
Cloud privé
 C’est un environnement déployé au sein d'une entreprise. Elle doit gérer
toute seule son infrastructure. Dans ce cas, l’implémentation d’un Cloud
privé est la transformation de l'infrastructure interne en utilisant
des technologies telles que la virtualisation pour délivrer plus
simplement et rapidement des services à la demande.
 L'avantage de ce type par rapport au Cloud publique réside dans l'aspect
de la sécurité et la protection des données. En effet, l'ensemble du
matériel est conservé au sein de l’entreprise. De ce fait, les ressources sont
détenues et contrôlées par son propre département informatique.
Eucalyptus, OpenNebula et OpenStack sont des exemples de solution pour
la mise en place du Cloud privé.
 Ce modèle est :
o Coûteux pour le client;
o Dédié et sécurisé;
o Moins flexible par rapport au Cloud public.
75
04/02/2019
Cloud hybride
 En général, on entend par Cloud hybride la cohabitation et la
communication entre un Cloud privé et un Cloud publique dans une
organisation partageant des données et des applications; par exemple, un
Cloud dédié pour les données et un autre pour les applications.
 Ce modèle :
o Permet d'allier les avantages des deux modèles de déploiement;
o Permet la gestion de deux Cloud.
76
04/02/2019
Cloud communautaire
 En anglais " Cloud Community" est un ensemble d’infrastructures, qui
permet à plusieurs clients ou organisations de partager les déférentes
ressources. Ces ressources sont généralement spécifiques à des
organisations. Ce type de Cloud peut être géré par ces organisations
elles-mêmes ou par des fournisseurs externes.
 Il permet aussi à un groupe d’utilisateurs de créer leur propre Cloud
avec des caractéristiques de Cloud privé tels que la sécurité, les
ressources dédiées et le coût réduit.
77
04/02/2019
Modèles de services
 Selon l’institut National (Standards and Technology), il existe trois
catégories principales de services qui peuvent être offertes en Cloud
Computing :
 IaaS,
 PaaS
 SaaS.
 Ces couches du Cloud Computing fournissent un service complet à
l’utilisateur.
78
04/02/2019
Modèle Software as a Service: SaaS
 La couche du SaaS est celle applicative en mettant à disposition des
applications complètes fournies à la demande.
 On y trouve différents types d'application allant du CRM à la gestion des
ressources humaines, comptabilité, outils collaboratifs, messagerie et
d'autres applications métiers .
 Il n’y a donc aucun pré requis sur le poste client si ce n'est pas d'avoir un
accès réseau en Cloud (en général Internet). Le déploiement, la
maintenance, la supervision du bon fonctionnement de l'application et la
sauvegarde des données sont alors la responsabilité du fournisseur de
services.
79
04/02/2019
80
04/02/2019
Modèle Platform as a service :PaaS
 La plate-forme comme un service est la plate-forme d’exécution, de





81
déploiement et de développement des applications.
Le PaaS met la disposition des environnements prêts à l’emploi,
fonctionnels et performants. On distingue deux types de PaaS ; Celui
qui fournit une plate-forme intégrant le système d'exploitation de la
couche middleware (OS)et l’autre applicative qui fournit au client des
services.
La plate-forme se gère et s'adapte elle-même pour fournir un niveau de
service attendu.
Parmi les solutions PaaS les plus connus, nous citons Windows Azure de
Microsoft, AppEngine de Google, Force.com de Sales force.
Chaque PaaS propose des modèles de développement différents.
Google AppEngine se limite à Java et Python alors que Windows Azure
travaille avec les langages Net, Python, PHP, Ruby et Java.
04/02/2019
82
04/02/2019
Modèle IaaS – Infrastructure as a
service
 Le modèle de service IaaS met à disposition des clients des ressources
informatiques matérielles telles que les serveurs, les réseaux et le
stockage sous forme de services accessibles en utilisant un navigateur.
Pour ce faire, le fournisseur s’occupe de toute la partie infrastructure
physique et du lieu d’hébergement des infrastructures pour en faire un
centre de données. Les fournisseurs se chargent également des logiciels
nécessaires pour donner à ces infrastructures physiques les propriétés
des infrastructures Cloud Computing afin de pouvoir fournir
l’infrastructure en tant que service (IaaS).
83
04/02/2019
 Les utilisateurs d’IaaS ont une plus grande marge d’action. Ils ont à leur
disposition une infrastructure qui peut accueillir des architectures
applicatives complètes. Les utilisateurs peuvent développer des PaaS et
des SaaS sur l’IaaS. Les utilisateurs d’IaaS ont plus de liberté sur l’IaaS.
 Ces offres s’adressent aux services informatiques puisque l’utilisation
des services d’infrastructure Cloud nécessite des compétences en
architecture ou en administration des systèmes d’information. Nous
donnons quelques exemples de services disponibles pour les utilisateurs
Iaas .
84
04/02/2019
85
04/02/2019
 La limite entre IaaS et PaaS est mince. La fourniture d’un PaaS nécessite
une infrastructure qui est multi-tenante et élastique, donc toute la
caractéristique nécessaire à la fourniture d’un IaaS.
 Afin de pouvoir accueillir les couches logicielles, le fournisseur
d’infrastructures doit mettre en place une plateforme permettant de «
brancher » les solutions à l’image des prises électriques pour brancher
les appareils électroniques. Cette plateforme ne doit pas forcément être
un PaaS. Même si, elle n’est pas fournie en tant que service aux
utilisateurs finaux, elle doit être élastique et automatique ce qui répond
finalement aux caractéristiques du Cloud Computing.
 L’Infrastructure fournie en tant que service (IaaS) du type public est sans
doute le modèle de service qui apporte la plus grande rupture dans les
Business Models des fournisseurs de ressources informatiques, des
équipementiers et de l’industrie de l’informatique en général
86
04/02/2019
 Avec les services Cloud Computing, les utilisateurs peuvent directement avoir
accès aux ressources informatiques en utilisant un navigateur, surtout dans le
cas des services d’infrastructures Cloud, rendant le matériel (serveur physique)
virtuel, élastique et automatique.
 En résume, le Cloud Computing présente des modèles de services, de
déploiements ainsi que des caractéristiques spécifiques. Roschke et all ont
proposé en 2011un modèle qui interprète les caractéristiques principales du
Cloud Computing .
 Avant de procéder au concept de la sécurité Cloud, il est primordial de faire
une étude comparative de quelques solutions Iaas pour bien choisir la solution
sur laquelle on va appliquer notre approche de sécurité.
87
04/02/2019
88
04/02/2019
Etude comparative de quelques
solutions Iaas :
 Notre choix d’environnement de travail était l’Iaas, car il fournit
des capacités de calcul et de stockage ainsi une connectivité
réseau. Les serveurs, les systèmes de stockage, les commutateurs,
les routeurs et autres équipements sont mis à disposition pour
gérer une charge de travail demandée par les applications.
Concrètement, cela se caractérise par une infrastructure physique
souvent mise à disposition par un fournisseur de services. Cette
infrastructure fournit une solution de virtualisation permettant la
création de Datacenter virtuel. L'infrastructure comme un service
ou IaaS permet de disposer d'une infrastructure à la demande
pouvant héberger et exécuter des applications, des services ou
encore stocker des données.
 Les solutions Iaas les plus utilisées sont OpenStack, Eucalyptus et
OpenNebula.
89
04/02/2019
OpenStack
 OpenStack est un système d’exploitation de Cloud capable
de contrôler de grand volume de calcul, de stockage et de
ressources réseau à travers un Datacenter virtuel. Le tout est
géré par un tableau de bord offrant aux administrateurs le
contrôle des utilisateurs et des ressources à disposition par le
biais d’une interface web.OpenStack est un projet initié par
Rackspace et la Nasa conçu pour gérer des plateformes à
grande échelles et à faible coût. OpenStack est un système
d’exploitation Open Source lancé officiellement en Mars
2010. C’est une architecture comparable à Amazon Web
Servies.
90
04/02/2019
Eucalyptus
 Eucalyptus
est un outil permettant de construire des
infrastructures de Cloud Computing sur la base de serveurs en
cluster. C’est un projet qui fut initié en 2008 au sein de
l’Université de Californie à Santa Barbara. La société commerciale
‘Eucalyptus Systems’ fut ensuite créée en 2009 pour porter l’offre
de services et proposer également une version « Entreprise » sous
licence propriétaire.
 Eucalyptus permet de construire des solutions de Cloud privé
(hébergé sur le réseau de l’entreprise) et de Cloud hybride
(mixant des ressources locales et les services en ligne de la
plateforme d’Amazon AWS). Les moteurs de virtualisation
supportés sont Xen, KVM pour la version open source, la version
Entreprise apportant le support des solutions de virtualisation de
Vmware.
91
04/02/2019
OpenNebula
 OpenNebula est un projet Open Source de Cloud
Computing de type IaaS. Le projet a été lancé en 2005, la
première version stable est sortie en 2008. Le projet est sous
licence Apache 2.1. Il a pour but la gestion des machines
virtuelles à grande échelle sur des infrastructures distribuées
ou des clusters, il supporte plusieurs technologies
d'hyperviseur : Xen, KVM et VMware. OpenNebula permet
aussi de combiner les infrastructures locales et publiques ce
qui permet une grande modularité aux environnements
hébergés. Il est intégré dans Debian Sid, UbuntuNatty et
OpenSuse .
92
04/02/2019
Eucalyptus
OpenStack
OpenNebula
Sécurité
Bien, chaque contrôleur est Très bien, authentification Neutre, prévu pour des utilisateurs de
authentifié par clé SSH et fichiers utilisateur par clé, utilisation confiance (besoin d'accès au frontend
de permission pour authentifier des Euca2ools.
pour l'administration via libvirt ou les
toutes les transactions.
commandes one*)
Hyperviseur
Stockage
Xen, KVM
Xen, KVM
Xen, KVM, VMware
Très
bien
:
un Bien : juste l'essentiel, espace Neutre : par défaut, copie des machines
contrôleurprincipal walrus et de stockage partagé.
virtuelles par SSH, gestion d'un
descontrôleurs de stockage sur
répertoire partagé via NFS et possibilité
d'utiliser une solution complémentaire
chaque nœud.
comme un système de fichiers distribué
.
Orientation
Installation
Cloud public et privé
Cloud public et privé
Problématique, dépend
de Facile, installation automatisée
l'environnement
réseau et et documentée.
matériel,
difficulté
en
environnement hétérogène.
Documentat-ion Correcte, complète mais pas Excellente, site bien fourni et
facile d'accès avec à la fois un
toujours à jour.
wiki contenant l'essentiel et
une documentation officielle
disponible et très détaillée.
Simplicité
93
Mitigé, lorsque l'on reste dans un
cadre d'utilisation classique, la
solution est simple à mettre en
œuvre, en revanche, sur une
architecture
complexe,
le
déploiement devient un cassetête.
Cloud privé
Manuelle, installation facile sur les
distributions supportées (dont Debian et
Ubuntu).
Complète, documentations, références de
tous les fichiers de configuration,
exemples.
Manque d'aide sur un environnement
complexe.
Bonne, en effet, grâce à la Moyenne, les fonctions de base sont
documentation et les scripts simples à utiliser, le passage à un
d'installation
fortement environnement complexe l'est moins.
commentés, tout se passe bien
en suivant le pas-à-pas du wiki.
04/02/2019
La mise en place
d’une solution Cloud
94
04/02/2019
La sécurité du Cloud
computing
95
04/02/2019
Plan
 III.
La sécurité dans le Cloud Computing
 1.
 2.
 3.
 4.
 5.
 6.
 7.
 8.
 9.
96
Paradigme sécuritaire (CIA)
Modes d’attaque dans le Cloud Computing
Menaces Liées aux applications web et APIs
Déni de Service “DoS & DDoS”
Vol d’identité “Account hijacking”
Vulnérabilités de la technologie partagée
Injection de Malware
Attaque interne
Conclusion
04/02/2019
La sécurité dans le Cloud Computing
 La sécurité, qui correspond au terme anglais « security », est définie
comme la capacité du système informatique à résister à des agressions
externes physiques ou logiques.
l’Information Technology Security Evaluation Criteria
(ITSEC), la sécurité est la combinaison de trois propriétés : la
confidentialité, l’intégrité et la Disponibilité de l’information.
 Selon
97
04/02/2019
La sécurité dans le Cloud Computing
 En effet la sécurité possède ses propres termes, nous rappelons les
définitions de ces terminologies avant de détailler chaque propriété qui
la compose:
98
Vulnérabilité
Attaque
Intrusion
Menace
Risque
Incident
04/02/2019
 Vulnérabilité : faute créée durant le développement du système, ou
durant l’opération, pouvant être exploitée afin de créer une intrusion.
 Attaque : faute d’interaction malveillante, à travers laquelle un
attaquant cherche à délibérer, violer une ou plusieurs propriétés de
sécurité. Il s’agit d’une tentative d’intrusion.
 Intrusion : faute malveillante externe résultant d’une attaque qui a
réussi à exploiter une vulnérabilité.
99
04/02/2019
100

Menace : possibilités et probabilités d’attaque contre la sécurité. Une
menace est définie par le processus d’attaque, par la cible et par le
résultat (conséquences de la réussite d’une attaque).

Risque : résultat de la combinaison de menaces et de vulnérabilités.

Incident : évènement qui ne fait pas partie des opérations standards
d’un service et qui provoque ou peut provoquer une interruption de
service ou altérer sa qualité.
04/02/2019
Confidentialité
Intégrité
Disponibilité
101
04/02/2019
1.1 La Confidentialité
 La confidentialité
est le fait d'assurer que seules les personnes
autorisées ont l’accès à l’information.
 Lorsqu’il s’agit du Cloud Computing les enjeux de la confidentialité
sont bien plus importants puisque les « Datacenter » qui hébergent
les données de consommateurs n’appartiennent pas nécessairement à
l’entreprise cliente.
La pratique de chiffrement offre une solution pour assurer une bonne
confidentialité des données, ainsi la création des tunnels VPN entre les
deux entités augmente la garantie de la protection des informations.
102
04/02/2019
1.2 L’ Intégrité
 L'intégrité est le fait que l'information ne subisse pas de modification
non autorisée, qu'elle soit accidentelle ou bien volontaire.
 Le NIST (National Institute of Standards and Technology) définit
l’intégrité comme la propriété selon laquelle les données n’ont pas été
altérées de manière non autorisé pendant leur phase de stockage,
traitement ou transit, elle représente le deuxième facteur critique pour
une entreprise derrière la disponibilité.
 Avec l’apparition du Cloud Computing le nombre de points d’attaques
s’augmente, en plus le consommateur de service cloud ne possède plus
ses données en interne de l’entreprise, dans ce contexte, il doit avoir
l’assurance que ses données demeurent toujours intègres.
103
04/02/2019
1.3 La Disponibilité
 La disponibilité est la propriété d’une information d’être accessible lorsqu’un
utilisateur autorisé en a besoin.
 En cas de l’informatique en nuage, on parle de la haute disponibilité, elle
consiste à détecter les points de défaillance de système et à les réduire par la
mise en place de technique de redondance et/ou de réplication. Certes que les
pourcentages de disponibilité représentent un moteur de la concurrence
puisque chaque fournisseur du cloud exhibe ses taux dans le contrat « Service
Level Agreement » sans prendre la peine de s’attarder sur les autres
paradigmes sécuritaire à savoir la confidentialité et l’intégrité. Cependant des
attaques par DDoS contreviennent directement à la disponibilité des services.
NB: Un haut niveau de disponibilité ne s’obtient pas uniquement par le biais
de l’informatique, il est possible de faire appel à des équipements de secours
comme les circuits électriques, les systèmes de climatisation ou les groupes
électrogènes pour assurer la continuité du service.
104
04/02/2019
2. Les Modes d’attaque dans le Cloud
Computing

Un scénario Cloud Computing peut être modélisé en utilisant
trois différents classes de participants :
 les utilisateurs de service
 les instances de service (ou services)
 le fournisseur du Cloud.
105
04/02/2019
Les surfaces d’attaque dans le Cloud
Computing
les conditions normales d'interaction des acteurs du cloud.
Un attaquant potentiel dispose de plusieurs points d'attaque
106
04/02/2019
2.1 Attaques entre le client et le
service :
 Ce que nous appelons, l'interaction entre un client et le service, n'est
autre que l'interaction traditionnelle exprimée par l'architecture
Client/Serveur.
 Des attaques de type interception peuvent avoir lieu (par exemple :
l’homme au milieu), elles permettraient à un agresseur de subtiliser
un certificat utilisé entre le client et son service pour déchiffrer le
contenu échangé tout en usurpant l'identité du service en nuage.
107
04/02/2019
2.2 Attaques entre le client et le
Cloud :
 Dans l'entreprise cliente, la gestion et la surveillance des services sont
effectués au moyen du protocole HTTPS et d'un navigateur internet.
 Des attaques de type interruption, fabrication et modification
peuvent avoir lieu.
108
04/02/2019
 Exemples:
 L'utilisation de chevaux de Troie, permettrait à un attaquant d'avoir
un accès interne à l'entreprise. Grâce à cette ouverture, il pourrait
falsifier des factures, demander l'acquisition de ressources
supplémentaires au centre de données pour orchestrer d'autres
attaques (par ex. une attaque DDoS sur une deuxième entreprise,
etc.)
 Modifier des données du service utilisé tout en faussant leur
surveillance pour que l'attaque passe inaperçue à la fois pour les
administrateurs et les utilisateurs légitimes du service.
 Un attaquant ayant un accès en interne de l'entreprise, pourrait
demander des ressources illimitées au cloud (attaque sur l'élasticité).
Il en résulterait une facture astronomique pour l'entreprise cliente
puisque le mode de facturation de l'utilisation des services en nuage
est de type paiement à l'utilisation
109
04/02/2019
2.3 Attaques entre le service et le
cloud :
 Au niveau du centre de données, des attaques de type interruption,
interception et modification sont possibles.
 Par exemple:
 Un attaquant qui exploite une faille dans un hyperviseur peut
supprimer des machines virtuelles (VM), s'approprier les données
hébergées et la clé de chiffrement, télécharger cette VM en vue d'une
utilisation ultérieure, etc.
 Par ailleurs, un initié interne avec du pouvoir (un salarié du
fournisseur de cloud avec un accès aux ressources) qui possèdent des
droits d'administration pourrait supprimer une machine virtuelle
par erreur et conduire le service à être interrompu.
110
04/02/2019
3. Menaces Liées aux applications web et APIs
 Les providers exposent un ensemble des APIs que les clients utilisent pour
gérer et interagir avec les services cloud. Le provisionnement, la gestion,
l’orchestration et la supervision sont toutes effectués par ces interfaces.
Donc la sécurité et la disponibilité de services cloud dépendent de la
sécurité de ces interfaces .
 Le recours à des APIs faibles exposent les organisations à une variété des
problèmes sécuritaires lié à la confidentialité, l’intégrité, la disponibilité.
 Les différents utilisateurs peuvent accéder aux mêmes applications et
éventuellement en même temps, en effet les applications Cloud héritent les
mêmes vulnérabilités des applications traditionnelles, mais les solutions
traditionnelles ne sont pas suffisantes pour l’environnement cloud, et donc la
sécurité des APIs influences sur la sécurité des services et données des
utilisateurs.
111
04/02/2019
 Dans ce cadre, la communauté publique dite OWASP « Open Web
Application Security Project », a défini les TOP 10 OWASP pour sensibiliser
les développeurs, concepteurs, architectes, décideurs, et les fournisseurs des
services Cloud (SaaS) aux conséquences des faiblesses les plus importantes
inhérentes à la sécurité des applications web :
 A1: 2017-Injection
 A2: authentification brisée en 2017
 A3: exposition aux données sensibles en 2017
 A4: Entités externes 2017-XML (XXE)
 A5: Contrôle d'accès brisé en 2017
 A6: 2017 - Mauvaise configuration de la sécurité
 A7: 2017 - Script intersite (XSS)
 A8: 2017 - Désérialisation non sécurisée
 A9: 2017-Utilisation de composants avec des vulnérabilités connues
 A10: Enregistrement et surveillance insuffisants en 2017
112
04/02/2019
113
04/02/2019
114
04/02/2019
4. Déni de Service “DoS & DDoS”
 Les attaques par déni de service sont des attaques destinées à empêcher les
utilisateurs d'un service Cloud d'être en mesure d'accéder à leurs données ou
leurs applications.
 En forçant les victimes de services Cloud de consommer des
quantités excessives de ressources systèmes, tel que CPU, ou
mémoire.
 Les attaquants provoquent un ralentissement du système et laisse les utilisateurs
légitimes confus et en colère de savoir pourquoi le service ne répond pas.
 Si le déni de service est effectué en utilisant le Botnet (un réseau des machines
compromis), il est appelé attaque par Déni de service distribué DDoS
(Distributed Denial-of-Service)
115
04/02/2019
scénario d'attaque par DDoS
116
04/02/2019
5. Vol d’identité “Account hijacking”
 Cette attaque est très ancienne, elle est exploitée par les techniques
d’hameçonnage, et les vulnérabilités Logiciels.
 Principe: Si un attaquant prend l’accès aux informations
d’identification de la victime, il peut espionner ses activités,
transactions et manipulation des données.
 Les attaquants peuvent souvent accéder à des zones critiques de
services Cloud, ce qui leur permettre de compromettre
confidentialité, l’intégrité la disponibilité de ces services.
117
la
04/02/2019
 Les techniques d’hameçonnages peuvent être appliquées par:
 l’ingénierie
sociale qui vise à accéder à des informations
confidentielles ou à certains actifs par l'utilisation de la force de
persuasion et l'exploitation de la naïveté des utilisateurs.
 le « Network Sniffing » qui sert à superviser et intercepter tout
trafique qui circule entre les deux entités du Cloud Computing.
118
04/02/2019
6. Vulnérabilités de la technologie partagée
 Les fournisseurs de services Cloud offrent leurs services d’une manière
évolutive en partageant les infrastructures, les plates-formes et les
applications.
 En effet, la virtualisation représente l'une des pierres fondatrices du
concept de cloud computing, selon La technologie seule, avec les
services cloud computing et les modèles de déploiements introduisent
des risques de sécurité spécifique et des vulnérabilités par rapport aux
infrastructures traditionnelles
119
04/02/2019
Partage des images VM « VM image
sharing »
 Une image VM est utilisée pour instancier une machine virtuelle. Un
utilisateur peut créer son propre image ou il peut utiliser une image
partagée dans le dépôt (repository), puisque les utilisateurs sont autorisés à
télécharger et uploader des images VM.
 Partage d’une image VM est une pratique courante et peut évoluer comme
une sérieuse menace si elle est utilisée d’une façon malveillante.
 Un utilisateur malveillant peut uploader une image qui contient un
malware (ex : backdoor), une machine instancié par cette image infectée
deviendra la source de l’introduction d’un malware dans le système cloud
computing.
 Par ailleurs une machine virtuelle infectée peut être utilisé pour superviser
les activités et les données des autres utilisateurs en résultant la
violation de la confidentialité, également si l’image VM est pas
correctement nettoyé peut exposer des informations confidentielles des
utilisateurs.
120
04/02/2019
Isolation des machines virtuelles « VM
isolation »
 Les machines virtuelles qui fonctionnent
sur les mêmes ressources
physiques doivent être isolées les uns des autres. Bien que la présence
de l’isolation logique entre les VMs, l’accès aux mêmes ressources
physiques peut conduire à la violation des données et d’attaque crossVM.
 L’isolation est non seulement sur les périphériques de stockage mais la
mémoire, les périphériques informatiques doivent aussi être isolés
entres les différents VMs.
121
04/02/2019
Migration des machines virtuelles « VM
migration »
 La migration des VMs consiste à transférer une VM à une autre
machine, selon un certain nombre de raisons, telles que l’équilibrage de
charge, la tolérance aux pannes ou la maintenance.
 Durant la phase de la migration le contenu de la VM est exposé sur le
réseau, la chose qui présente une préoccupation sur l’intégrité et la
confidentialité des données. Outre les données, le code de la VM
devient également vulnérable à des attaques durant la migration, le
processus de migration peut être compromis par un attaquant afin de
transférer la machine vers un serveur compromis ou sous le contrôle
d’un hyperviseur compromis.
 En bref la migration des données est une phase cruciale et doit être
réalisé de façon sécurisé.
122
04/02/2019
Vulnérabilités d’hyperviseur (Hypervisor issues)
 Le module clé de la virtualisation est l’hyperviseur, la gestion des VMs
et l’isolement se sont sous la responsabilité de ce dernier. Un
hyperviseur compromis peut mettre tous les VMs sous le contrôle de
l’attaquant.
 Les métadonnées des VMs tenu par le VMM peuvent être aussi
exposées à l’attaquant si ce dernier prend le contrôle. Il y a beaucoup
de bugs signalés et qui permettant à un attaquant de prendre le contrôle,
ou dépasser les restrictions de la sécurité.
123
04/02/2019
Attaque interne
 N'importe quel employé qui figure sur la liste du personnel d'une
entreprise est un attaquant potentiel : un administrateur ayant accès à
des ressources critiques, un partenaire commercial ayant accès à ces
mêmes ressources, etc.
 Deux types principaux d’attaquant interne pouvant exister dans le
Cloud:
 Employé du fournisseur de Cloud (administrateur pouvant cibler par
exemple une organisation cliente ou son employeur).
 Employé de l’organisation qu’utilise le Cloud (pouvant cibler par
exemple les données du Cloud ou les données externes de son
employeur).
124
04/02/2019
 Les quatre niveaux d’administrateurs considérés sont:
 Administrateurs de l’hébergement.
 Administrateurs des machines virtuelles.
 Administrateurs système.
 Administrateurs d’applications.
125
04/02/2019
126
04/02/2019
Synthèse
Cloud
Layer
Security issues
-
SaaS
-
-
Data breaches
Account/service
Hijacking
APIs
Attacks Type
Impact
-
Social engineering
Cryptanalysis attack
Attack on signature
-
Medium
-
Low
-
Attack on credential
XSS attack
DNS attack
-
High
-
Medium
-
Attack on API keys
Wrapping Attack
-
High
High
Menaces liées à l'infrastructure Cloud
127
04/02/2019
Synthèse
Cloud
Layer
PaaS
&
IaaS
128
Security issues
Attacks Type
-
Denial of Service
-
Flooding
-
Insider Attack
-
Network Sniffing
ARP/MAC spoofing
-
Cross-guest VM
Guest jumping
Hyperjacking
Sniffing on virtual
switch
-
Script /code
-
Shared Technology
-
Malware injection
Menaces liées à l'infrastructure Cloud
Impact
-
High
-
Medium
-
High
-
High
04/02/2019
Conclusion
Quelques point techniques de sécurité Cloud
 PaaS, SaaS : chiffrement
 des accès
 des données
 gestion des clés
 PaaS, SaaS : gestion des identités et des accès
 PaaS, SaaS : sécurité applicative
 IaaS : automatisation, conformité et mises à jour
129
04/02/2019
Mise en place de la sécurité
d’open-stack par l’utilisation d’IDS
et de honeypot
130
04/02/2019
Utilisation des différents types IDS
dans le Cloud
 Avant d’intégrer notre IDS dans l’OpenStack, nous présentons un tableau
récapitulatif d’utilisation des différents types IDS dans les environnements
Cloud .
 Il existe principalement quatre types d'IDS utilisés dans le Cloud:
 Système fondé sur une détection d'intrusion Hôte (HIDS).
 Système basé sur une détection d'intrusion Réseau (NIDS).
 Système de détection d'intrusion basé sur l’hyperviseur.
 Système de détection d'intrusion distribué (DIDS).
131
04/02/2019
Types
Positionnement dans Le déploiement et
l'autorité de
Cloud
surveillance
*Identifier les appels système
*Besoin d'installer sur chaque machine *Sur chaque ordinateur *Sur les utilisateurs Cloud.
ou les événements réseau.
(VM, hyperviseur ou à la machine
virtuel, hyperviseur ou *Le Hypervisor:
*Aucun matériel supplémentaire hôte).
système hôte.
fournisseur de Cloud.
*Il ne peut surveiller les attaques que
n'est nécessaire.
sur l'hôte où il est déployé.
Caractéristiques / forces
Limites / défis
NIDS
*Il identifie les
Intrusions en surveillant le trafic
réseau.
*Une Nécessité de le placer
uniquement sur le ou réseau sousjacent.
*Il peut surveiller plusieurs
systèmes à la fois.
*Il est difficile de détecter les
intrusions de trafic crypté.
*Il aide seulement pour détecter
les intrusions extérieures.
*Il est Difficile de détecter les
intrusions réseau dans le réseau
virtuel.
IDS basé
s sur
l'hyperviseur
*Il permet à l'utilisateur de
*Nouveau et difficile à comprendre.
surveiller et d'analyser les
machines virtuelles, entre
l'hyperviseur et VM et au sein de
l'hyperviseur basé sue le réseau
virtuel.
DIDS
*il utilise les
caractéristiques des deux NIDS et
HIDS, et hérite ainsi des
avantages de chacun d'eux.
HIDS
132
*Dans un réseau externe *Fournisseur de Cloud.
ou en réseau virtuel.
*En hyperviseur.
*Serveur central peut être surchargé *Dans un réseau
et difficile à gérer dans DIDS
externe, sur l'hôte, sur
centralisés.
l'hyperviseur ou sur VM.
*Une communication et coût de calcul
*Fournisseur de Cloud.
*machines virtuelles: les
utilisateurs Cloud.
*Pour 04/02/2019
les autres cas:
fournisseur de Cloud.
Implémentation d’IDS dans la solution
Iaas OpenStack
 Les administrateurs déploient souvent OpenStack Compute en
utilisant l'un des multiples hyperviseurs pris en charge dans un
environnement virtualisé. KVM et XenServer sont des choix
populaires pour la technologie d'hyperviseur et recommandés
pour la plupart des cas d'utilisation.
133
04/02/2019
 La figure illustre l’interconnexion entre le nœud réseau et le
nœud compute dans l’hyperviseur d’OpenStack.
134
04/02/2019
 C’est




135
une présentation graphique de notre IDS-AM-Clust dans
l’environnement OpenStack.
+ Le nœud réseau présente un système évolutif et s’appuie sur l'API de
gestion des réseaux et des adresses IP. Comme d'autres aspects du système
d'exploitation de Cloud, il peut être utilisé par les administrateurs et les
utilisateurs pour augmenter la valeur des Datacenters existants.
+
Le
nœud
de
calcul
exécute
l’hyperviseur
qui
fonctionne comme machines virtuelles ou instances. Ce nœud gère
également le plugin de réseau et un agent qui connecte les réseaux virtuels
à des instances, il fournit aussi un pare-feu pour les services portés par le
nœud de réseau.
+ IDS proposé : c’est un IDS réseau à base d’agents mobile qui ont pour
but de détecter les connexions anormales et les intrusions collectées dans le
réseau grâce à la connectivité, la mobilité et la communication offertes par
ces agents, il dispose d’un agent de détection comportementale qui utilise
un nouvel algorithme de clustering Clust-density pour détecter les
connexions anormales et aussi d’étudier les comportements des pirates.
Notre IDS est placé dans le nœud réseau par « integration bridge »‘br-int’
qui présente une connectivité de notre IDS par son environnement Cloud
réseau. L’interconnexion entre notre IDS et le nœud de calcul est faite par
un tunnel ou ‘br-int’.Cette connexion offre une communication réelle entre
notre IDS, le pare-feu et les instances qui présentent les machines virtuelles
04/02/2019
de notre environnement de test.
136
04/02/2019
 Cette
architecture dispose de trois nœuds principaux
d’OpenStack (Networking, contrôle, calcul).Le nœud de
contrôle exécute le service d'identité, Image Service, parties de
gestion de calcul et de stockage, la mise en réseau du plugin et le
tableau de bord. Il comprend également des services de soutien
comme une base de données SQL, un message file d'attente et un
protocole de gestion de temps (Network Time Protocol NTP).
 C’est une architecture qui illustre l’emplacement réel de nos
outils de sécurité dans les nœuds adéquats à chaque outil, la fusion
du honeypot et IDS dans le nœud réseau nous permet de coupler
les avantages de ces équipements dans notre infrastructure, par la
suite la liaison de ces deux équipements par le pare-feu qui se
trouve dans le nœud de calcul, nous permet d’avoir un autre type
de connectivité avec les équipements fixes tels que les machines
virtuelles ou les instances. Ces liaisons sont effectuées grâce à brtun qui connecte les nœuds et br-int qui connecte les
composants d’un nœud.
 Eventuellement, ces nœuds peuvent contenir une seconde
interface réseau sur un réseau de stockage séparé pour améliorer
la performance des services de stockage.
137
04/02/2019
 The end
138
04/02/2019
Related documents
Le plan de formation est un outil qui aide l
Le plan de formation est un outil qui aide l
Manuels-2nd
Manuels-2nd
231-modele-cv-etudiant
231-modele-cv-etudiant
Dauvrin WESP2119 01.04.19.
Dauvrin WESP2119 01.04.19.
Download
advertisement