Moon : un framework pour la gestion des autorisations — Thomas Duval
Date : 05 June 2020 à 12:30 — 15 min.
La sécurité informatique se base sur de nombreux concepts dont le triptyque identification, authentification et autorisation. Nous présentons un projet dont l'objectif est de faciliter l'administration du dernier élément du précédent triptyque : l'autorisation. Le projet Moon est, au départ, un composant OpenStack permettant d'outre-passer les politiques de sécurité en matière d'autorisation d'OpenStack. OpenStack se repose sur chaque composant (nova, glance, neutron, ...) pour gérer la partie autorisation. La plateforme Moon permet de centraliser et de simplifier cette gestion. Depuis le début du projet, nous avons aussi développé un connecteur pour OpenDaylight et nous sommes en train de travailler sur son intégration de la gestion des droits de la plateforme Kubernetes.
Le cœur de la plateforme Moon est un meta-modèle de politique de sécurité qui nous permet de définir un grand nombre de politiques de sécurité, non seulement RBAC (Role-Based-Access-Control) mais aussi MLS (Multi Level Security) et plus généralement ABAC (Attribute Based Access Control). Ces modèles peuvent être paramétrés selon les besoins de la plateforme cible.
Ce moteur a été expérimenté dans le cadre d'une preuve de concept avec Orange France. Il a permis de rendre dynamique la gestion des droits d'accès d'un Iaas supportant une fonction réseau virtualisée sensible.