HSC
Cabinet de consultants en sécurité informatique depuis 1989 - Spécialisé sur Unix, Windows, TCP/IP et Internet
Mode texte : accès au contenu de la page
Hervé Schauer Consultants
Vous êtes ici : Accueil > Ressources > Veille technologique >
Accéder au : Site HSC des formations
Télécharger le catalogue des formations
Recherche :  
English version
   Services   
o Domaines de compétences
o Conseil & Expertise
o Prestations ISO 27001
o Audit & Évaluation
o Tests d'intrusion
o Tests de vulnérabilités (TSAR)
o Analyse Forensique
o Certification ARJEL
o Formations
o E-learning
   Conférences   
o Agenda
o Interventions passées
o Tutoriels
   Ressources   
o Index thématique
o Brèves
o Présentations
o Cours
o Articles
o Outils (téléchargement)
o Veille en vulnérabilité
   Société   
o Hervé Schauer
o Equipe
o Offres d'emploi
o Références
o Historique
o Partenariats
o Associations
   Presse et
 communication
 
 
o Newsletter HSC
o Bulletin juridique HSC
o Revue de presse
o Communiqués de presse
o Publications
   Contacts   
o Coordonnées
o Requêtes particulières
o Accès à nos locaux
o Hôtels proches de nos locaux
|>|  
> Accès au contenu HTML Début du rapport  
> Description Compte-rendu du Policy 2001 Workshop du 29 au 31 janvier 2001 à Bristol (UK).  
> Contexte & Dates Rapport réalisé pour notre service de veille en actualité .
La différence entre la date de rédaction et la date d'envoi est généralement due aux corrections et relectures par les différentes personnes ayant participé à la conférence.
31 janvier 2001 - Rédaction du compte-rendu
7 février 2001 - Envoi aux abonnés de la veille en actualité
11 septembre 2001 - Publication sur le site web d'HSC  
> Auteur Hervé Schauer (Herve.Schauer@hsc.fr) 
> Langue et Nature  
> Résumé &
Table des matières
 
> Documents liés
> Droits d'auteur © 2001, Hervé Schauer Consultants, tous droits réservés.

 

Le second "Policy Workshop" s'est tenu à Bristol (UK) chez HP du 29 au 31 janvier 2001 sur l'initiative de l'équipe de Morris Sloman de l'Imperial College de Londres, pionniers de la gestion de politiques. Le premier atelier s'était tenu en novembre 1999. Ce second atelier sera très certainement reconduit, à priori à Monterrey. Il a réuni 120 participants, et il a fallu fermer les inscriptions 3 semaines avant l'atelier dû à l'affluence des demandes, l'infrastructure d'accueil n'ayant pas été prévue pour plus. Le comité de programme a reçu 43 propositions de papiers pour 16 sélectionnés, auquel s'ajoutent 6 orateurs invités.

L'objectif de cet atelier est de réunir les personnes travaillant sur la gestion de politiques (policy managment), une problématique concernant l'ensemble d'une entreprise, connexe tant au monde de la gestion de réseaux qu'à celui de la qualité de service ou encore de la sécurité.

Joseph Pato des laboratoires HP de Cambridge (USA) a ouvert cette édition en rappelant que le développement de la sécurité doit se faire parallèlement à celui des services en lignes, ceci n'étant possible que globalement par le biais de la gestion de politiques de sécurité (security policy-based managment).
Pour étayer son propos il a cité les actions de collaboration d'HP dans le domaine de la sécurité :

  • Le forum "Partnership for critical infrastructure security", en Angleterre
  • L'"Information Assurance Advisory Council"
  • Le "Partnership for Global Information Security"
  • L'IT-ISAC ("Information sharing & analysis center"), créé par 19 membres fondateurs tous fournisseurs, et annoncé le 16 janvier 2001.

La première journée a été consacrée à la sécurité. Les participants ont ainsi eu l'occasion de découvrir plusieurs langages de gestion de politique pour la sécurité dans les systèmes d'exploitation ou les applications. Nicodemos Damianou (Imperial College de Londres) a présenté Ponder, un langage puissant pour définir ce à quoi les utilisateurs doivent avoir accès, Jorge Lobo (Bell Labs) son langage PDL, et enfin Michael Hitchens (Université de Western Sidney) dont le langage "Tower" très complet permet de spécifier les autorisations des utilisateurs dans un système d'exploitation. John Derrick (Université du Kent) a formalisé la gestion de politique avec le modèle suivant :

  • permission : un certain comportement est autorisé à se produire,
  • interdiction : un certain comportement ne doit pas se produire,
  • obligation : un certain comportement est impératif

Plusieurs intervenants ont aussi rappelé que ces efforts de simplification pour définir globalement une politique de sécurité sur un ensemble de serveur et d'applications restaient éloignées des capacités techniques d'un décideur.

Felix Wu dans le cadre d'une étude pour Nortel a essayé de démontrer l'existence de conflits dans une politique de sécurité de VPN IPsec, en prenant des exemples tels que le besoin de détection d'intrusion là où un tunnel IPsec passe, ou le recouvrement de tunnels. En discutant avec lui après son exposé, il a admis que son propos revenait à dire que lorsque que l'on spécifie dans sa politique de sécurité qu'un PC doit pouvoir avoir accès à un serveur WWW, mais qu'il n'existe aucun lien dans l'infrastructure de réseau pour permettre ce dialogue, il y a un conflit de politique.

John Ioannidis d'ATT a contre-carré depuis la salle les nombreuses présentations insistant sur les conflits de politique, un sujet intéressant d'un point de vue recherche mais inutile dans un monde réel où selon lui il faut faire des systèmes qui évitent les conflits et/ou qui s'en accommodent. Les vrais conflits de politique sont au niveau de l'entreprise elle-même. Dans un domaine (au sens réseau comme un domaine de sécurité) il ne devrait pas y avoir de conflit, et entre domaines un protocole de signalisation peut collecter les politiques pour rechercher les conflits mais cela étant difficile à effectuer de manière sécurisée.

Le lendemain, John Strassner de Cisco a rappelé les besoins fondamentaux de la gestion de politique dans les réseaux, avec l'exemple d'un réseau bancaire qui doit faire face à un crash boursier, et en conséquence changer rapidement et globalement sa configuration. Le PCIM (Policy Core Information Model) défini au DMTF et reprit à l'IETF défini des classes et des entités permettant de structurer sa politique réseau. Le PCIM est défini en ULM et l'abstraction des règles/conditions/actions n'est pas intuitive.

Rick Roeling d'HP a dressé sa vision du marché et démontré que la gestion de politiques était pleinement justifiée sur un plan commercial. De très nombreux fournisseurs de service qui recherchent des outils de gestion d'approvisionnement ou fourniture de leurs services réseau (network provisionning), et divers facteurs soutiennent la demande tels que le manque de ressources humaines compétentes, le développement des services électroniques, de l'infogérance, et le besoin d'abstraction inhérent à la gestion d'un grand réseau hétérogène. Rick Roeling a cité Cisco, HP, IP Highway, Nortel, Novell, Orchestream, et Solsoft comme acteurs de la gestion de politiques avec des logiciels commerciaux. Il a précisé sous différents angles que la base de la gestion de politique est le contrôle d'accès, et c'est commercialement la gestion de politiques pour la sécurité qui est la première demande des clients HP-OpenView.

Une demi-journée a été ensuite été consacrée la gestion de politique dans le cadre de la qualité de service. Mark Bearden d'Avaya a proposé l'ajout de la notion de but (PolicyGoal) en plus des règles (PolicyRules) qui sont la base dans PCIM. Ian Marshall de British Telecom a proposé un modèle permettant de tenir une très grande échelle dans une architecture de gestion de politiques. Son modèle utilise des agents sous la forme de proxylets java et d'XML. Steve Nowack de Sun est intervenu au nom du SNIA et a montré comment faire de la gestion de politique pour la gestion des espaces de stockage.

La dernière journée est revenue à la sécurité, puis au futur de la gestion de politiques. Matt Blaze d'ATT a insisté sur la gestion de la confiance au travers de son langage KeyNote, qui lui semble indispensable pour faire de la gestion de politiques de sécurité. Les transparents sont disponibles sur www.crypto.com.
Virgil Gligor de l'Université du Maryland, qui travaille pour le DoD, a proposé un système de gestion de politiques de sécurité pour gérer le contrôle d'accès dans W2K. Bien qu'il ait insisté sur le fait qu'un tel système devait être simple, ce qu'il a présenté est très compliqué.

Ce workshop était très orienté sécurité, alors qu'à l'IETF la gestion de politique est orientée qualité de service : PCIM est réalisé par des spécialistes de la QoS. Cependant PCIM apparaît le plus avancé des travaux de normalisation, et il pourrait servir à d'autres domaines hors des réseaux. Parmi les points à noter, je relève que plusieurs orateurs ont insistés sur le fait que l'approvisionnement du contrôle d'accès dans les réseaux (network access control provisionning) était la brique de base réclamée par les fournisseurs, et que réseaux d'entreprises et de fournisseurs de services avaient tendance à ne devenir qu'un tellement ils devenaient imbriqués.

Note : les supports de la conférence ne sont pas disponibles sous forme électronique.

Références :

  • Web du Policy 2001 Workshop
  • Associations de fournisseurs DMTF : Distributed Management Task Force (anciennement Desktop Managment Task Force)
  • SNIA : Storage Networking Industry Association
  • IETF : Internet Engineering Task Force
  • PCIM : Policy Core Information Model
Dernière modification le 7 novembre 2007 à 15:25:03 CET - webmaster@hsc.fr
Mentions légales - Informations sur ce serveur - © 1989-2013 Hervé Schauer Consultants