Journée Sécurité Grille

jeudi 18 oct. 2007, 09:00 → 18:00 Europe/Paris

CC-IN2P3

Réunion des sites participant aux projets grille LCG/EGEE pour aborder des questions de Sécurité et les réponses à apporter.

1 La sécurité et le project EGEE

- Les documents, - les structures mises en place par EGEE, incluant le feedback sur le "security" training day qui s'est tenue à EGEE'07 en collaboration avec ISSEG --urls, main recommendations--

Orateur: M. Rémi MOLLON (CERN)

Slides

• A1-20071001-egee07-intro_grid_secu-mollon.pdf
• A2-Kelsey3oct07.pdf
• A3-20071018-liens_securite.pdf

2 Les conséquences sur le quotidien des sites français de la grille

Zoom sur la procedure "site policy"

Orateur: M. Rémi MOLLON (CERN)

Paper B1-GridSiteOperationsPolicy-v1.4.pdf B2-EGEE_Incident_Response_Procedure.pdf

3 Q'est-ce qu'un contact sécurité pour la fédération française

Exposé de ce que la fédération doit faire dans ce rôle, de ce que l'on fait actuellement de façon effective - ou non - , de ce qu'il faudrait/faudra faire pour EGEE-III.

Orateur: M. Rolf Rumler (CNRS/IN2P3)

Slides EGEE-SA1-FR-JS-20071018-rr.pdf EGEE-SA1-FR-JS-20071018-rr.ppt

10:30 break

4 Le retour sur la journée sécurité IN2P3

Orateur: M. Jean-Michel BARBET (IN2P3/CNRS)

Slides JMBarbet_cr-secuin2p3-oct07.pdf

5 La sécurité dans un site hors-contexte IN2P3 : CGG

On pose le problème de la gestion de la sécurité de la grille française en tenant compte de sites, qui sortent donc complètement de l'organisation IN2P3/CNRS et passent de surcroît par un opérateur. Les aspects de sécurité interne, mais aussi de la relation avec le fournisseur d'accès utilisé, seront abordés: Y a-t-il une infrastructure "sécurité" qui permette de diffuser les incidents sécurité, les mesures prises ou à prendre, etc. Cette présentation incluera les informations nécessaires sur les uses-cases de l'après-midi : quelle est la stratégie réseau adoptée -- réseau dédié, ouverture de ports..-- ainsi que la stratégie sécurité pour l'accès à la salle machine. L'une des autres questions qui fait débat est que se passe-t-il sur un site durant les périodes de vacances, y a-t-il toujours une permanence sécurité ? quel est le mode de fonctionnement choisi des opérations en périodes de vacances?

Orateur: M. Jean-Bernard FAVREAU (CGGVeritas)

Slides JBFavreau_Atelier_Securite.ppt

6 Contact sécurité pour la fédération Française pour EGEE-III

Synthèse du profil de poste et débat.

Orateur: M. Rolf Rumler (CNRS/IN2P3)

Slides EGEE-SA1-FR-JS-20071018-osct-dc.pdf EGEE-SA1-FR-JS-20071018-osct-dc.ppt

12:30 lunch break

7 use-case #1 : les nouveaux sites grille, leurs réseaux et la sécurité

Bernard Boutherin présente les enjeux, menaces et vulnérabilités et la gestion des incidents. Benoît Delaunay présentera les bonnes pratiques (cloisonnement, MAJ systèmes, authentification). Eric Fede présentera l'impact du cloisonnement dans le cas du LAPP.

Orateurs: M. Benoit Delaunay (CCIN2P3), M. Bernard Boutherin (LPSC), M. Eric Fede (CNRS/LAPP)

Présentation généraliste de la sécurité informatique à l'IN2P3 en deux phases - Enjeux, menaces et vulnérabilité - Bonnes pratiques

Federation organisation

8 use-case #2 : les outils sécurité disponibles à travers le projet

Orateur: M. Rémi MOLLON (CERN)

Slides C1-test_monitor_grid_EGEE07.pdf C2-Wartel13092007.pdf

15:30 break

9 use-case # 3 : les outils de déploiement de grille et la sécurité

Orateur: M. Michel Jouvin (IN2P3/CNRS)

Slides Quattor.pdf

10 use-case # 4 : les procédures de sécurité en cours vs. les opérations des projets grille

Orateur: Mme Frédérique Chollet (LAPP-IN2P3)

more information intro.htm

Michel Jouvin : Il faut distinguer les questions de sécurité du disfonctionnement éventuel des sites La règle qui devrait etre appliquée: Dès qu'une machine a un comportement anormal, elle est totalement isolée dans un délai beaucoup plus court que 72h. Pb fonctionnels : sites se comprtant comme des trous noirs. Eric Fede : Quel est le délai de réaction du support opérationnel et les responsables sécurité pour la grille EGEE ? Hélène Cordier : Le COD fonctionne tout le temps pd les heures de bureau sauf jours fériés. Pierre Girard envisage plutot une organisation régionale. A terme, le but d'EGEE est de se reposer sur les organisations régionales. Aujourd'hui, on repose sur l'organisation IN2P3. EF : Comment le réseau des sites IN2P3 va etre informé d'une pb grille ? Le CCIN2P3 s'engage car une organisation est en place pour assurer la sécurité du Centre. Avoir la meme chose au niveau national nécessite une coordination entre les différents partenaires. Pierre Girard : Concernant les suspicions de trous noirs, le CC a les manettes pour sortir via un down time les sites ce qui va filtrer le site au niveau du Top BDII. Il serait peut etre utile de définir un niveau de sécurité minimum ou 'Best effort'. JM Barbet : Le site de Nantes dispose d'un système d'alarmes avec appel sur un portable + responsable sécurité chargé de la surveillance du site. La surveillance par mail 1 x par jour est-ce suffisant ? Par crainte des pbs de climatisation, certains sites ont arreté les machines grille, l'an passé. La MAJ des CAs, CRLs peut poser un problème dans ces périodes. Coté UREC, les machines GRID-FR sont sécurisées. Des interventions de proximité pendant les périodes de fermeture peuvent etre nécessaires et engager la sécurité des personnes. La sécurité repose sur l'infrastructure IN2P3 ok pour LCG, mais pose pb à terme dans le cadre EGEE. Action : quantifier le best effort minimun par site (Pierre Girard).