Sandrine Duflos, Brigitte Kervella et Eric Horlait prénom.nom@lip6.fr Vers une sécurité de bout en bout pour le support des applications distribuées Sandrine Duflos, Brigitte Kervella et Eric Horlait prénom.nom@lip6.fr
Plan Objectifs Contexte Affinage des politiques Architecture de sécurité Conclusion / perspectives
Objectifs Nouvelles applications Besoins en sécurité Utilisateurs non experts Architecture de sécurité Support des applications distribuées
Plan Objectifs Contexte Affinage des politiques Architecture de sécurité Conclusion / perspectives
Contexte Projet RTIPA Concept de politiques Règle : SI conditions ALORS actions Réaction et réponse aux événements Spécification à un haut niveau d’abstraction Hiérarchies de politiques
Plan Objectifs Contexte Affinage des politiques Architecture de sécurité Conclusion / perspectives
Politique de niveau service SLA Niveau application Niveau intermédiaire Demande dérivée du SLA Vérification Politique de niveau service conversion Niveau réseau Politique de niveau réseau conversion Politiques de niveau élément
PROVIDE <configurationType> of <TransportService> SLA Niveau application Niveau intermédiaire PROVIDE <configurationType> of <TransportService> for <applicationType> from|among <sourceUser|user1..*> to <DestinationUser1..* (optional) > with guarantee <qualityType> quality and <securityType> security
Base d’information de niveau intermédiaire PIB de niveau intermédiaire SLA Niveau application Niveau intermédiaire Demande dérivée du SLA Base d’information de niveau intermédiaire Vérification PIB de niveau intermédiaire IF SourceUser|users = <SourceUser|user1..*> AND DestinationUser = <DestinationUser1..* > (optional) AND ApplicationType = <applicationType> THEN PROVIDE <configurationType> of <TransportService>for <applicationType> with guarantee <qualityType> quality and <securityType> security
Base d’information de niveau intermédiaire SLA Niveau application Niveau intermédiaire Demande dérivée du SLA Base d’information de niveau intermédiaire Vérification PIB de niveau intermédiaire Politique de niveau service conversion Niveau réseau Base d’information de niveau réseau
and <Sec-prot> with <Algo> and <Mode> SLA Niveau application Niveau intermédiaire Demande dérivée du SLA Base d’information de niveau intermédiaire IF SourceIPaddress|UserIPaddresses = <SourceIPaddress|UserIPaddresses1..*> AND SourcePortNo|UserportNo = < SourcePortNo|UserportNo > AND DestinationIPAddress= < DestinationIPAddress1..(optional) > AND DestinationPortNo = < destinationPortNo (optional) > THEN CONNECT with <direction> and <connectionType> from|among <sourceIPAddress!..*> at <SourcePortNo|UserPortNo> to <destinationIPAddress!..*(optional)> at <destinationPortNo (optional)> with <PhBtype> and <Sec-prot> with <Algo> and <Mode> Vérification PIB de niveau intermédiaire Politique de niveau service conversion Niveau réseau Base d’information de niveau réseau
Base d’information de niveau intermédiaire SLA Niveau application Niveau intermédiaire Demande dérivée du SLA Base d’information de niveau intermédiaire Vérification PIB de niveau intermédiaire Politique de niveau service conversion Niveau réseau PIB de niveau réseau Base d’information de niveau réseau Politique de niveau réseau conversion
and <Sec-prot> with <Algo> and <Mode> SLA Niveau application Niveau intermédiaire Demande dérivée du SLA Base d’information de niveau intermédiaire Vérification PIB de niveau intermédiaire Politique de niveau service conversion IF SourceIPaddress|UserIPaddresses = < SourceIPaddress|UserIPaddresses1..*> AND SourcePortNo|UserportNo = < SourcePortNo|UserportNo > AND DestinationIPAddress= < DestinationIPAddress1..(optional) > AND DestinationPortNo = <destinationPortNo (optional)> THEN SET at <interface|Ipaddress> With <PhBtype> and <Sec-prot> with <Algo> and <Mode> Niveau réseau PIB de niveau réseau Base d’information de niveau réseau Politique de niveau réseau conversion
Base d’information de niveau intermédiaire SLA Niveau application Niveau intermédiaire Demande dérivée du SLA Base d’information de niveau intermédiaire Vérification PIB de niveau intermédiaire Politique de niveau service conversion Niveau réseau PIB de niveau réseau Base d’information de niveau réseau Politique de niveau réseau conversion Politiques de niveau élément
Plan Objectifs Contexte Affinage des politiques Architecture de sécurité Conclusion / perspectives
Architecture liée à la sécurité Architecture liée aux politiques application intermédiaire Domaine Domaine réseau PDP Flux PEP
Architecture liée à la sécurité Architecture liée aux politiques application User IB Authentification Rôle IB intermédiaire Délégation Contrôle d’Accès Domaine Domaine réseau PDP Flux PEP
Architecture liée à la sécurité Architecture liée aux politiques application User SLA IB Authentification Rôle Politique Conversion IB Demande de niveau transport intermédiaire Conversion Délégation Politique de niveau service PIB Contrôle d’Accès Conversion Domaine IB Politique de niveau réseau PIB réseau Ecoute Décision Conversion Sécurité des Communications COPS PDP Politique de niveau élément Distribution Flux PEP
Architecture liée à la sécurité Architecture liée aux politiques application User Non-Répudiation SLA IB Authentification Rôle Conversion Politique IB Demande de niveau transport intermédiaire Conversion Délégation Politique de niveau service PIB Contrôle d’Accès Conversion Domaine IB Politique de niveau réseau Non-Répudiation PIB réseau Ecoute Décision Conversion Sécurité des Communications COPS PDP Politique de niveau élément Distribution Flux PEP
Plan Objectifs Contexte Affinage des politiques Architecture de sécurité Conclusion / perspectives
Conclusion / perspectives Architecture pour la gestion de la sécurité par les politiques Affinage correct des politiques ? Feedback ? Communications inter-domaines ? Utilisation des agents ?
Questions ?