Clusif cloud-2010-securite

Cycle de conférences sur Cloud Computing et Virtualisation

Cloud Computing et Sécurité

Pascal Sauliere, Architecte, Microsoft France

214/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris


CLUSIF >

Qu’est-ce que le Cloud Computing ?� NIST

� Berkeley

Sécurité dans le Cloud� Généralités

� Cloud Security Alliance (CSA)

� European Network and Information Security Agency (ENISA)

Agenda



CLUSIF >

QU’EST-CE QUE LE CLOUD COMPUTING ?



CLUSIF >

5ème génération d’architecture

Mainframe

Client-Server

Web

SOA

Cloud

1980199020002010

1970



CLUSIF >

Deux références utiles :

The NIST Definition of Cloud Computing (oct. 2009)

Above the Clouds: A Berkeley View of Cloud Computing (fév. 2009)

Qu’est-ce que leCloud Computing ?

http://geekandpoke.typepad.com/



CLUSIF >

5 caractéristiques

3 modèles de service

4 modèles de déploiement

Qu’est-ce que le Cloud Computing ?

L’ensemble des disciplines, technologies et modèles commerciaux utilisés pour délivrer des capacités

informatiques (logiciel, plateformes, matériel) comme un service à la demande

L’ensemble des disciplines, technologies et modèles commerciaux utilisés pour délivrer des capacités

informatiques (logiciel, plateformes, matériel) comme un service à la demande



CLUSIF >

Libre service à la demande

Accès réseau, clients variés

Mise en commun des ressources (pooling)

« Élasticité » rapide

Service mesuré et facturation à l’usage

5 Caractéristiques



CLUSIF >

3 modèles de service

Infrastructureas a Service (IaaS)

Platform as aService (PaaS)

Softwareas a Service

(SaaS)

Exemples

BPOS, Google Apps, Salesforce.com...

Microsoft Azure, Force.com, Google App Engine…

Microsoft Azure, EC2, hébergeurs de systèmes, fournisseurs de machines virtuelles

A construire soi-même



CLUSIF >

Private Cloud � Propriété (ou location) de l’entreprise

� Interne ou externe

� Par certains côtés, une évolution du travail du Jericho Forum

Community Cloud� Infrastructure partagée pour une communauté spécifique (un état…)

� Interne ou externe

Public Cloud� Infrastructure louée à n’importe quelle catégorie d’acheteur

� L’infrastructure est la propriété du fournisseur

Hybrid Cloud� La composition de deux ou plus formes de Clouds qui permettent la

portabilité des données et des applications

� On ne crée pas un Hybrid Cloud juste en fédérant les identités

4 modèles de déploiement



CLUSIF >

Résumé de la vue du NIST



CLUSIF >

Le Continuum du Cloud Computing

BENEFICE DU CHOIX



CLUSIF >

Largement associé à la virtualisation (92%), principalement de serveurs (88%)

Projet qui doit être piloté par la DSI (67%)

Largement orienté vers les clouds privés (71%)

Stratégique pour seulement 24 % des entreprises

SaaS : Messagerie (54%), Finance et compta (26%), CRM

Adoption du Cloud en France

Enquête : Pierre Audoin Consultants pour EMC, Vmware, Intelhttp://www.itrmanager.com/articles/103242/1re-enquete-cloud-computing-france-br-virtualisation-serveurs-cloud-prive.html



CLUSIF >

Adoption du Cloud en France




CLUSIF >

Cloud privé en tête




CLUSIF >

Freins à l’adoption




CLUSIF >

CONSIDÉRATIONS GÉNÉRALES SUR LA SÉCURITÉ



CLUSIF >

DonnéesDonnées

ApplicationsApplications

Machine VirtuelleMachine Virtuelle

ServeurServeur

StockageStockage

RéseauRéseau

InformatiqueInformatique

DonnéesDonnées



ServeurServeur

StockageStockage

RéseauRéseau

HébergeurHébergeur

DonnéesDonnées



ServeurServeur

StockageStockage

RéseauRéseau

IaaS publicIaaS public

DonnéesDonnées



ServeurServeur

StockageStockage

RéseauRéseau

PaaS publicPaaS public

DonnéesDonnées



ServeurServeur

StockageStockage

RéseauRéseau

SaaS publicSaaS public

L’entreprise a le contrôleL’entreprise a le contrôle

Partage du contrôle avec le fournisseurPartage du contrôle avec le fournisseur

Le fournisseur de service a le contrôleLe fournisseur de service a le contrôleQui contrôle quoi ?

Burton Group : Cloud Computing Security in the Enterprise – Jul. 2009



CLUSIF >

Mes données sont elles sûres dans le Cloud ?� Qui va avoir accès aux données ?

� Aurai-je accès à mes données à n’importe quel moment ?

� Qu’arrivera-t-il si nous arrêtons notre contrat?

Puis-je être conforme aux lois et aux règlementations ?� Où sont stockées mes données ?

� Qui gère les notifications de brèches de données personnelles ?

� Pendant combien de temps mes données sont stockées ?

� Comment sont gérées les réquisitions éventuelles ?

Les préoccupations classiques du Cloud



CLUSIF >

Faire passer des données publiques ou non sensibles vers un Cloud externe réduit l’exposition des données internes sensibles

L’homogénéité du Cloud simplifie l’audit et les tests de sécurité

Les Clouds permettent une gestion automatisée de la sécurité

Disponibilité : redondance, récupération en cas de désastre

Les avantages généraux en termes de sécurité



CLUSIF >

Dispersion des données et lois internationales relatives au respect de la vie privée� Directive Européenne de protection des données et programme

U.S. Safe Harbor

� Exposition des données aux gouvernements étrangers ; obéissance à une ordonnance du tribunal, citation et mandat de perquisition

� Problèmes de rétention des données

Besoin de gestion de l’isolation

Multi-location

Défis de la journalisation

Problèmes de propriété de données

Garanties de qualité de service

Défis sécurité du Cloud (1/2)



CLUSIF >

Dépendance d’hyperviseurs sécurisés

Attraction des hackers (cible intéressante)

Sécurité des OS virtuels dans le Cloud

Possibilité d’interruptions massives de service

Besoins de chiffrement pour la sécurité dans le Cloud � Chiffrement de l’accès à l’interface de contrôle d’accès aux ressources

du Cloud

� Chiffrement des accès administratifs aux instances d’OS

� Chiffrement de l’accès aux applications

� Chiffrement des données stockées des applications

Sécurité Public Cloud versus sécurité Internal Cloud

Manque de dispositif public de contrôle de version des versions du SaaS

Défis sécurité du Cloud (2/2)



CLUSIF >

Problèmes lors du déplacement de données sensibles ou relatives à la vie privée vers le Cloud� Evaluation de l’impact en termes de respect de la vie privée

Utilisation de SLA pour obtenir la sécurité du Cloud� Suggestion de critères requis pour les SLA du Cloud

� Problèmes avec les analyses forensic dans le Cloud

Plan de contingence et récupération en cas de désastre pour des implémentations Cloud

Gestion de la conformité� FISMA

� HIPAA

� SOX

� PCI

� Audits SAS 70

Quelques problèmes complémentaires



CLUSIF >

Dispersion des données, stockage à l’étranger

Conformité

Multi-location, isolation

Perte de contrôle

Exposition aux risques

Protection des données

Pour résumer



CLUSIF >

http://cloudsecurityalliance.org/

Conseils de sécurité pour les principaux points d’intérêt du cloud computing

Principales menaces sur le cloud computing (avec HP)

Cloud Security Alliance



CLUSIF >

13 domaines d’intérêt selon CSA

Section I. Cloud ArchitectureDomain 1: Cloud Computing Architectural Framework

Section II. Governing in the CloudDomain 2: Governance and Enterprise Risk ManagementDomain 3: Legal and Electronic DiscoveryDomain 4: Compliance and AuditDomain 5: Information Lifecycle ManagementDomain 6: Portability and Interoperability

Section III. Operating in the CloudDomain 7: Traditional Security, Business Continuity, and Disaster RecoveryDomain 8: Data Center OperationsDomain 9: Incident Response, Notification, and RemediationDomain 10: Application SecurityDomain 11: Encryption and Key ManagementDomain 12: Identity and Access ManagementDomain 13: Virtualization



CLUSIF >

Abus et utilisation malveillante du cloud computing

Interfaces et API non sécurisés

Malveillances internes

Problèmes dus au partage de technologie

Perte ou fuite de données

Détournement de compte ou de service

Profil de risque inconnu

Principales menaces selon CSA/HP



CLUSIF >

European Network and Information Security Agency

35 risques identifiés

Risques politiques et organisationnels

Risques techniques

Risques juridiques

Risques non spécifiques au cloud

ENISA: Cloud Computing RiskAssessment



CLUSIF >

Enfermement dans une solution

Perte de gouvernance, de contrôle – impossibilité de se conformer à des exigences de sécurité

Défis de la conformité

Échec de l’isolation (multi-location)

Ordonnance de tribunal, citation, mandat de perquisition, saisie par le gouvernement local

Changement de juridictions (manque de transparence)

Protection des données

Réseau (congestion, utilisation non optimale…)

Risques les plus élevés selon l’ENISA



CLUSIF >

Dans certains cas (IaaS), les risques de la virtualisation s’appliquent pleinement :

Isolation

Gestion des mises à jour

Réseau

Multi-location

Cloud ≠ Virtualisation, mais…



CLUSIF >

Fournisseurs : IDS, systèmes d’analyse comportementale réseau, avertissement de DDoS

Chiffrement des données en transit à tous les niveaux

Chiffrement au niveau du stockage

Défi de la gestion des clés…

Contrôle d’accès

Gestion d’identité, fédération d’identité, « identity clouds », SAML

Sécurité applicative

Implications techniques sur l’architecture



CLUSIF >

Avantages certains

Risques juridiques importants

Importance des contrats (enfermement, juridiction…)

Risques techniques classiques

Surveiller les travaux de CSA, NIST, ENISA� CSA Control Matrix (CM)

Conclusion



CLUSIF >

Berkeley: http://berkeleyclouds.blogspot.com/

NIST: http://csrc.nist.gov/groups/SNS/cloud-computing/

ENISA: http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment

CSA: http://cloudsecurityalliance.org/

Références



CLUSIF >

http://www.microsoft.com/france/securite/guides-conseils/cloud.aspx

http://asert.arbornetworks.com/2010/04/why-hackers-love-the-cloud/

http://www.itrmanager.com/articles/103242/1re-enquete-cloud-computing-france-br-virtualisation-serveurs-cloud-prive.html

http://cloudsecurity.org/

http://cloudaudit.org/

http://www.forrester.com/cloudprivacyheatmap

http://www.trusted-cloud.com/

Références



CLUSIF >

http://www.microsoft.com/cloud

http://www.microsoft.com/windowsazure

http://www.microsoft.com/bpos

http://www.microsoft.com/privatecloud

Offres Microsoft

Documents

Clusif cloud-2010-securite