Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CerberHost par NBS System : le Cerbère qui protège contre l’enfer du Cloud !

octobre 2012 par Marc Jacob

NBS System, société française fondée en 1999 et spécialisée d’une part dans l’hébergement et l’infogérance de serveurs et la sécurité informatique d’autre part, annonce le lancement de CerberHost, une offre de cloud privé de très haute sécurité. On pourrait dire que Cerberhost est un cerbère qui protège contre l’enfer du Cloud.

Philippe Humeau, directeur de NBS System

« Le Cloud et la sécurité : c’est un marronnier ! » s’est exclamé Philippe Humeau, directeur de NBS System, en débutant son intervention pour le lancement de CerberHost son offre de Cloud Ultra sécurisé. Selon lui, en moyenne le Cloud est très mal sécurisé. Ainsi, plusieurs sites ont été piratés depuis plusieurs années. Zappos, Sony, RSA, LinkedIn, MySQL, Orange, le Figaro et récemment la Française Des Jeux, mais aussi les sites gouvernementaux dans 5 pays diont la France. Rien qu’au premier semestre 2012 : 40 Millions de login/pass ont été perdus. Les Webhacks sont derrière 54% des intrusions ainsi TJX a perdu 45 Millions de cartes bleues sur une injection SQL ! Selon Philippe Humeau lors des tests d’intrusion la plupart des sites sont perméables très facilement : « si les actes de malveillances internes existent, ils ne sont plus majoritaire. Il y a énormément d’attaques externes malveillantes du fait des défauts de sécurité. Hervé Schauer confirme ces problèmes en expliquant que souvent se sont des stagiaires qui opèrent la gestion des changements…

Selon les données fournies par Philippe Humeau, le taux de réussite lors des pentest est inquiétant. Ainsi, en moyenne, un site de retail est en risque 328 jours par an, 98% des données volées le sont par des externes et dans 94% des cas, cela impliquait des compromissions de serveurs. Enfin, 75% des cyber-attacks sont faites au niveau web.

Ainsi, pour NBS il y a un réel besoin de sécurisation des sites. La grande majorité des attaques se fait en seconde et en minute pour le reste les délais peuvent se compter en mois…

Des offres de Cloud trop souvent peu sécurisées

Philippe Humeau a dressé un rapide panorama des offres existantes :
- Cas N°1 : Rien n’est fait
- Cas N°2 : Certificat SSL et sauvegardes
- Cas N°3 : Mise à jour, sauvegardes, antivirus, Https
- Cas N°4 : Firewalling, IDS, Rproxy

C’est pour cela que NBS System a créé CerberHost. Cette offre devrait permettre de sécuriser environ 54% des entreprises qui se font pirater par leur site et couvrir 61% du marché Web (LAMP) tout en gardant la flexibilité d’une approche Web.

Cette offre, qui résulte de deux ans de R&D, regroupe

• Des processus Humains
• De l’infrastructure physique (redondante)
• Des logiciels existants (Netfilter, fail2ban, Pax/Grsec, inodemon, etc.) • Des logiciels créés sur mesures pour combler les lacunes.

CerberHost permet en fait d’industrialiser une offre de Cloud Sécurisée. Cette offre repose sur des serveurs HP et des outils Netapp.

La philosophie de cette nouvelle offre repose sur l’intégration des best practices, l’intégration des éléments existants, la création des éléments nécessaires, l’assemblage, la validation, audit, certification (27001 / PCI) et enfin l’industrialisation des processus. De plus cette offre est agnostique du code de développement, de l’équipe exploitante, du framework et des failles existantes ou non.

CerberHost repose sur des hommes tout le personnel est disponible en 24/7. Il a été formé par NBS System avec un Back Groud Check. Les sites webs sont protégés par Naxsi qui propose 2 bans de mots de passes, du patch management. La base de données est testée régulièrement. La couche applicative est protégée par ZEND server, mais aussi par un DNSSec, une protection contre les DDoS est prévue pour le début de l’année 2013.

CeberHost est hébergé via Nerim dans deux datacenters ISO 9001 et est redondé dans le nouveau Data Center d’Iliad DC3. Il bénéficie d’une Double fibre Interlan (chemins différenciés), de 2 liens télécom indépendants par site, d’un doublement de tous les éléménts actifs et d’une double alimentation par éléments.

Thibault Koechlin, Responsable du Pôle Sécurité et Emile Heitore, Responsable du Pôle Hébergement NBS System

Cette solution repose sur :

- Un Firewall : Netfilter (IPSET, Tarpit)
- Un Système de réputation d’IP
- Un Reverse Proxy & Waf : NginX + NAXSI + Reqlimit
- Un DNSSec
- Un Firewalling interVLAN
- Un anti-DDOS : Abor Networks en tête (1T 2013)Naxsi ne repose pas sur les signatures et filtres les GET et les POST.

Les protections locales (serveur) sont assurées par plusieurs outils : Mysql Interceptor, InodeMon, ExecveKiller, GRSEC, PAX, Fail2Ban, Zend Server et l’anti-virus Kaspersky. Par ailleurs, NBS System fera tester régulièrement CerberHost par deux spécialistes du test d’intrusion HSC et Edelweb. Le système anti-DDoS sera une option payante, dans le cas où le client ne prendrait pas cette option, le flux de DDOS serait « Blackholing ». Un archivage des données sera conservé durant un an avec en plus des informations sur le trafic complet, des logs centralisés et consultables en ligne et bientôt sur les mobiles.

Coût de la solution VPS CerberHost
•VPS1 (1 core, 2 Go de RAM, 1 Mbps de BP,10 Go disque) : 275 €
•VPS2 (2 cores, 4 Go, 2 Mbps BP, 10 Go) : 375 € •VPS4 (4 cores, 8 Go, 4 Mbps BP, 40 Go) : 520 €
•VPS8 (8 cores,16 Go, 8 Mbps BP, 50 Go) : 800 €
•Lame (hardware) dédiée (12 cores) : 1 200 €
•Lame (hardware) dédiée (24 cores) : 1 500 €
(tarif mensuel)

Le challenge Xmas sera lancé mis décembre

NBS System est suffisamment sûre de son offre et va ainsi lancer un challenge le « Xmas Challenge » qui sera doté d’un prix de 5 000 € et un article sur le blog de NBS System au premier testeur qui pourra récupèrer un fichier dans le compte root ou une table de base de données, sur enregistrement (le firewall sera relaché pour les IP des testeurs). Par contre, il ne s’agira de provoquer un DDoS. La durée du challenge est d’une durée de 3 mois, de mi-décembre à mi-mars. Philippe Humeau a confirmé que le système ne sera pas plus renforcé qu’un autre CerberHost. Le règlement sera publié courant décembre 2012.

Evolutions CerberHost

décembre 2012 - Challenge
- T1 2013 - Surveillance des Hash MD5 des fichiers
- T1 2013 - Two factor authentication
- T1 2013 - Anti DDOS
- T1 2013 - Fin des Audits (HSC & Edelweb) T1 2013Console sur mobile
- T2 2013 - LIWY : surveillance de (IRC/FB/Twitter/…)
- T3 2013- CerberHost pour les plateformes Java

Hervé Schauer, HSC et Nicolas Pellegrin, Vente Privée

En conclusion Hervé Schauer, fondateur d’HSC a tenu à soutenir cette solution en précisant que les tests d’intrusion seront réalisés sur la durée, cela montre la confiance de NBS System dans sa plateforme.




Voir les articles précédents

    

Voir les articles suivants