HSC
Network Security Consulting Agency Since 1989 - Specialized in Unix, Windows, TCP/IP and Internet
Text mode: access to the page content
Hervé Schauer Consultants
You are here: Home > Resources > Techno-Watch >
Go to: HSC Trainings
Télécharger le catalogue des formations
Search:  
Version française
   Services   
o Skills & Expertise
o Consulting
o ISO 27001 services
o Audit & Assessment
o Penetration tests
o Vunerability assessment (TSAR)
o Forensics
o ARJEL
o Training courses
o E-learning
   Conferences   
o Agenda
o Past events
o Tutorials
   Resources   
o Thematic index
o Tips
o Lectures
o Courses
o Articles
o Tools (download)
o Vulnerability watch
   Company   
o Hervé Schauer
o Team
o Job opportunities
o Credentials
o History
o Partnerships
o Associations
   Press and
 communication
 
 
o HSC Newsletter
o Bulletin juridique HSC
o Press review
o Press releases
o Publications
   Contacts   
o How to reach us
o Specific inquiries
o Directions to our office
o Hotels near our office
|>|  
> Access to the content HTML Beginning of the report  
> Description Report on the Policy 2001 Workshop of 29-31 January 2001 in Bristol (UK).  
> Context & Dates Report made for our news monitoring service .
The difference between the report writing and publishing dates are generally due to corrections and proofreading by the different people who took part in the conference.
31 January 2001 - Report writing
7 February 2001 - Sending to the news monitoring service subscribers
11 September 2001 - Publication on HSC's web site  
> Author Hervé Schauer (Herve.Schauer@hsc.fr) 
> Type  
> Abstract &
Table of content
 
> Related documents
> Copyright © 2001, Hervé Schauer Consultants, all rights reserved.

 

Le second "Policy Workshop" s'est tenu à Bristol (UK) chez HP du 29 au 31 janvier 2001 sur l'initiative de l'équipe de Morris Sloman de l'Imperial College de Londres, pionniers de la gestion de politiques. Le premier atelier s'était tenu en novembre 1999. Ce second atelier sera très certainement reconduit, à priori à Monterrey. Il a réuni 120 participants, et il a fallu fermer les inscriptions 3 semaines avant l'atelier dû à l'affluence des demandes, l'infrastructure d'accueil n'ayant pas été prévue pour plus. Le comité de programme a reçu 43 propositions de papiers pour 16 sélectionnés, auquel s'ajoutent 6 orateurs invités.

L'objectif de cet atelier est de réunir les personnes travaillant sur la gestion de politiques (policy managment), une problématique concernant l'ensemble d'une entreprise, connexe tant au monde de la gestion de réseaux qu'à celui de la qualité de service ou encore de la sécurité.

Joseph Pato des laboratoires HP de Cambridge (USA) a ouvert cette édition en rappelant que le développement de la sécurité doit se faire parallèlement à celui des services en lignes, ceci n'étant possible que globalement par le biais de la gestion de politiques de sécurité (security policy-based managment).
Pour étayer son propos il a cité les actions de collaboration d'HP dans le domaine de la sécurité :

  • Le forum "Partnership for critical infrastructure security", en Angleterre
  • L'"Information Assurance Advisory Council"
  • Le "Partnership for Global Information Security"
  • L'IT-ISAC ("Information sharing & analysis center"), créé par 19 membres fondateurs tous fournisseurs, et annoncé le 16 janvier 2001.

La première journée a été consacrée à la sécurité. Les participants ont ainsi eu l'occasion de découvrir plusieurs langages de gestion de politique pour la sécurité dans les systèmes d'exploitation ou les applications. Nicodemos Damianou (Imperial College de Londres) a présenté Ponder, un langage puissant pour définir ce à quoi les utilisateurs doivent avoir accès, Jorge Lobo (Bell Labs) son langage PDL, et enfin Michael Hitchens (Université de Western Sidney) dont le langage "Tower" très complet permet de spécifier les autorisations des utilisateurs dans un système d'exploitation. John Derrick (Université du Kent) a formalisé la gestion de politique avec le modèle suivant :

  • permission : un certain comportement est autorisé à se produire,
  • interdiction : un certain comportement ne doit pas se produire,
  • obligation : un certain comportement est impératif

Plusieurs intervenants ont aussi rappelé que ces efforts de simplification pour définir globalement une politique de sécurité sur un ensemble de serveur et d'applications restaient éloignées des capacités techniques d'un décideur.

Felix Wu dans le cadre d'une étude pour Nortel a essayé de démontrer l'existence de conflits dans une politique de sécurité de VPN IPsec, en prenant des exemples tels que le besoin de détection d'intrusion là où un tunnel IPsec passe, ou le recouvrement de tunnels. En discutant avec lui après son exposé, il a admis que son propos revenait à dire que lorsque que l'on spécifie dans sa politique de sécurité qu'un PC doit pouvoir avoir accès à un serveur WWW, mais qu'il n'existe aucun lien dans l'infrastructure de réseau pour permettre ce dialogue, il y a un conflit de politique.

John Ioannidis d'ATT a contre-carré depuis la salle les nombreuses présentations insistant sur les conflits de politique, un sujet intéressant d'un point de vue recherche mais inutile dans un monde réel où selon lui il faut faire des systèmes qui évitent les conflits et/ou qui s'en accommodent. Les vrais conflits de politique sont au niveau de l'entreprise elle-même. Dans un domaine (au sens réseau comme un domaine de sécurité) il ne devrait pas y avoir de conflit, et entre domaines un protocole de signalisation peut collecter les politiques pour rechercher les conflits mais cela étant difficile à effectuer de manière sécurisée.

Le lendemain, John Strassner de Cisco a rappelé les besoins fondamentaux de la gestion de politique dans les réseaux, avec l'exemple d'un réseau bancaire qui doit faire face à un crash boursier, et en conséquence changer rapidement et globalement sa configuration. Le PCIM (Policy Core Information Model) défini au DMTF et reprit à l'IETF défini des classes et des entités permettant de structurer sa politique réseau. Le PCIM est défini en ULM et l'abstraction des règles/conditions/actions n'est pas intuitive.

Rick Roeling d'HP a dressé sa vision du marché et démontré que la gestion de politiques était pleinement justifiée sur un plan commercial. De très nombreux fournisseurs de service qui recherchent des outils de gestion d'approvisionnement ou fourniture de leurs services réseau (network provisionning), et divers facteurs soutiennent la demande tels que le manque de ressources humaines compétentes, le développement des services électroniques, de l'infogérance, et le besoin d'abstraction inhérent à la gestion d'un grand réseau hétérogène. Rick Roeling a cité Cisco, HP, IP Highway, Nortel, Novell, Orchestream, et Solsoft comme acteurs de la gestion de politiques avec des logiciels commerciaux. Il a précisé sous différents angles que la base de la gestion de politique est le contrôle d'accès, et c'est commercialement la gestion de politiques pour la sécurité qui est la première demande des clients HP-OpenView.

Une demi-journée a été ensuite été consacrée la gestion de politique dans le cadre de la qualité de service. Mark Bearden d'Avaya a proposé l'ajout de la notion de but (PolicyGoal) en plus des règles (PolicyRules) qui sont la base dans PCIM. Ian Marshall de British Telecom a proposé un modèle permettant de tenir une très grande échelle dans une architecture de gestion de politiques. Son modèle utilise des agents sous la forme de proxylets java et d'XML. Steve Nowack de Sun est intervenu au nom du SNIA et a montré comment faire de la gestion de politique pour la gestion des espaces de stockage.

La dernière journée est revenue à la sécurité, puis au futur de la gestion de politiques. Matt Blaze d'ATT a insisté sur la gestion de la confiance au travers de son langage KeyNote, qui lui semble indispensable pour faire de la gestion de politiques de sécurité. Les transparents sont disponibles sur www.crypto.com.
Virgil Gligor de l'Université du Maryland, qui travaille pour le DoD, a proposé un système de gestion de politiques de sécurité pour gérer le contrôle d'accès dans W2K. Bien qu'il ait insisté sur le fait qu'un tel système devait être simple, ce qu'il a présenté est très compliqué.

Ce workshop était très orienté sécurité, alors qu'à l'IETF la gestion de politique est orientée qualité de service : PCIM est réalisé par des spécialistes de la QoS. Cependant PCIM apparaît le plus avancé des travaux de normalisation, et il pourrait servir à d'autres domaines hors des réseaux. Parmi les points à noter, je relève que plusieurs orateurs ont insistés sur le fait que l'approvisionnement du contrôle d'accès dans les réseaux (network access control provisionning) était la brique de base réclamée par les fournisseurs, et que réseaux d'entreprises et de fournisseurs de services avaient tendance à ne devenir qu'un tellement ils devenaient imbriqués.

Note : les supports de la conférence ne sont pas disponibles sous forme électronique.

Références :

  • Web du Policy 2001 Workshop
  • Associations de fournisseurs DMTF : Distributed Management Task Force (anciennement Desktop Managment Task Force)
  • SNIA : Storage Networking Industry Association
  • IETF : Internet Engineering Task Force
  • PCIM : Policy Core Information Model
Last modified on 7 November 2007 at 15:25:03 CET - webmaster@hsc.fr
Mentions légales - Information on this server - © 1989-2013 Hervé Schauer Consultants