Sites Inria

Logiciel

Jean-Michel Prima - 12/09/2017

Automatiser la reconfiguration des sondes de détection d'intrusion pour le cloud

Nuages dans le ciel © Inria / Photo J. Wallace

Les sondes anti-intrusion aident à superviser la sécurité sur les clouds . Mais pour que ces dispositifs fonctionnent parfaitement, il faut les adapter scrupuleusement en fonction des services hébergés. Cette opération demeure manuelle. Problème : les machines virtuelles se réagencent continuellement sur les serveurs. Difficile donc pour les opérateurs d'effectuer sans cesse les modifications nécessaires. D'où la nécessité d'automatiser ce processus. Ce qui est justement la vocation de SAIDS, un outil développé par l'équipe de recherche Myriads au centre Inria Rennes – Bretagne Atlantique.

De nos jours, beaucoup d'entreprises et d'organisations font héberger les services de leur système d'information dans des clouds proposant une infrastructure en tant que service (IaaS). Elles gèrent directement ces services qui sont exécutés dans des machines virtuelles sur des serveurs. En revanche, elles n'ont pas d'accès à l'infrastructure physique. Seul l'opérateur de cloud gère le serveur. C'est donc à ce dernier qu'incombe la responsabilité d'assurer la sécurité des services hébergés pour le compte de ses clients. Parmi ses attributions, il doit en particulier adapter les sondes de détection d'intrusion pour protéger les machines virtuelles en fonction des services qui s'y trouvent. Et c'est là où le bât blesse.

Face à la nature très dynamique des machines virtuelles, l'opérateur se trouve bien en peine de continuer à adapter les sondes de détection. Autrement dit, une machine virtuelle qui bénéficiait au départ de la meilleure protection pour certains services peut avoir été déplacée vers un serveur dont la sonde n'est pas idéalement configurée pour les services en question. « Il faut donc automatiser l'adaptation de ces sondes, conclut Christine Morin , responsable de l'équipe de recherche Myriads . Et tel est précisément l'objectif de SAIDS, un système qui adapte dynamiquement les sondes de détection d'intrusion. »

S'intéressant pour l'instant aux sondes dites de détection d’intrusion réseau, SAIDS supervise leur adaptation en fonction des événements sur le cloud . « Quand il faut consolider des machines virtuelles, par exemple pour économiser de l'énergie, améliorer la performance ou assurer de la maintenance serveur, certaines machines virtuelles sont déplacées. Elles ne sont donc plus alors surveillées par la sonde initiale. SAIDS va automatiquement adapter les sondes de départ et d'arrivée en fonction des services hébergés. Chose que l'on ne peut pas faire à la main. Un être humain ne va pouvoir suivre les très nombreux événements qui jalonnent le cycle de vie de ces machines virtuelles pour tenter d'adapter toutes les sondes au fur et à mesure. En l'absence de SAIDS, après une migration par exemple, beaucoup d'attaques ne seraient pas détectées parce que les sondes de détection d’intrusion n'ont pas été correctement reconfigurées. »
Il existe deux types de sondes de détection d'intrusion réseau : celles fondées sur les signatures des attaques connues et celles fondées sur les comportements. « Pour l'instant, nous avons prototypé pour les premières. Nous avons mené nos expériences avec trois types de sondes open source : Bro, Suricata et Snort. Le but, ici, était de montrer la généricité de notre approche. Pour la gestion des machines virtuelles, nous avons choisi OpenStack, un outil de gestion des clouds IaaS très répandu. »  Tout le travail évoqué jusqu'ici fait l'objet d'une thèse de doctorat qui devrait être soutenue en juillet par Anna Giannakou .

Un indicateur de performance pour la qualité de détection

À noter au passage qu'une telle métrique pourrait fort bien aussi servir un jour d'indicateur de performance ICP aux opérateurs de cloud et à leurs clients désirant se mettre d'accord sur une qualité de détection stipulée explicitement dans le contrat de service (SLA). Cette deuxième thématique fait l'objet d'une thèse de doctorat préparée actuellement par Amir Teshome Wonjiga .

Cyberdéfense

Les deux thèses autour desquelles s'articulent ces travaux sont respectivement financées par DGA-MI et le PEC, le Pôle d'excellence cyber créé par le ministère de la Défense et la région Bretagne. « Elles sont toutes les deux coencadrées par Louis Rilling , un ingénieur de DGA-MI qui fait partie de notre équipe en tant que collaborateur externe et qui nous apporte son expertise dans le domaine de la sécurité. »

Mots-clés : SAIDS INRIA Rennes - Bretagne Atlantique Cloud Logiciel MYRIADS

Haut de page

Suivez Inria tout au long de son 50e anniversaire et au-delà !