Upload
oxalide
View
2.752
Download
6
Tags:
Embed Size (px)
DESCRIPTION
Citation preview
Cycle de conférences sur Cloud Computing et Virtualisation
Cloud Computing et Sécurité
Pascal Sauliere, Architecte, Microsoft France
214/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Cloud Computing et Sécurité
CLUSIF >
Qu’est-ce que le Cloud Computing ?� NIST
� Berkeley
Sécurité dans le Cloud� Généralités
� Cloud Security Alliance (CSA)
� European Network and Information Security Agency (ENISA)
Agenda
314/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Cloud Computing et Sécurité
CLUSIF >
QU’EST-CE QUE LE CLOUD COMPUTING ?
414/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Cloud Computing et Sécurité
CLUSIF >
5ème génération d’architecture
Mainframe
Client-Server
Web
SOA
Cloud
1980199020002010
1970
514/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Cloud Computing et Sécurité
CLUSIF >
Deux références utiles :
The NIST Definition of Cloud Computing (oct. 2009)
Above the Clouds: A Berkeley View of Cloud Computing (fév. 2009)
Qu’est-ce que leCloud Computing ?
http://geekandpoke.typepad.com/
614/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Cloud Computing et Sécurité
CLUSIF >
5 caractéristiques
3 modèles de service
4 modèles de déploiement
Qu’est-ce que le Cloud Computing ?
L’ensemble des disciplines, technologies et modèles commerciaux utilisés pour délivrer des capacités
informatiques (logiciel, plateformes, matériel) comme un service à la demande
L’ensemble des disciplines, technologies et modèles commerciaux utilisés pour délivrer des capacités
informatiques (logiciel, plateformes, matériel) comme un service à la demande
714/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Cloud Computing et Sécurité
CLUSIF >
Libre service à la demande
Accès réseau, clients variés
Mise en commun des ressources (pooling)
« Élasticité » rapide
Service mesuré et facturation à l’usage
5 Caractéristiques
814/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Cloud Computing et Sécurité
CLUSIF >
3 modèles de service
Infrastructureas a Service (IaaS)
Platform as aService (PaaS)
Softwareas a Service
(SaaS)
Exemples
BPOS, Google Apps, Salesforce.com...
Microsoft Azure, Force.com, Google App Engine…
Microsoft Azure, EC2, hébergeurs de systèmes, fournisseurs de machines virtuelles
A construire soi-même
914/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Cloud Computing et Sécurité
CLUSIF >
Private Cloud � Propriété (ou location) de l’entreprise
� Interne ou externe
� Par certains côtés, une évolution du travail du Jericho Forum
Community Cloud� Infrastructure partagée pour une communauté spécifique (un état…)
� Interne ou externe
Public Cloud� Infrastructure louée à n’importe quelle catégorie d’acheteur
� L’infrastructure est la propriété du fournisseur
Hybrid Cloud� La composition de deux ou plus formes de Clouds qui permettent la
portabilité des données et des applications
� On ne crée pas un Hybrid Cloud juste en fédérant les identités
4 modèles de déploiement
1014/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Cloud Computing et Sécurité
CLUSIF >
Résumé de la vue du NIST
1114/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Cloud Computing et Sécurité
CLUSIF >
Le Continuum du Cloud Computing
BENEFICE DU CHOIX
1214/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Cloud Computing et Sécurité
CLUSIF >
Largement associé à la virtualisation (92%), principalement de serveurs (88%)
Projet qui doit être piloté par la DSI (67%)
Largement orienté vers les clouds privés (71%)
Stratégique pour seulement 24 % des entreprises
SaaS : Messagerie (54%), Finance et compta (26%), CRM
Adoption du Cloud en France
Enquête : Pierre Audoin Consultants pour EMC, Vmware, Intelhttp://www.itrmanager.com/articles/103242/1re-enquete-cloud-computing-france-br-virtualisation-serveurs-cloud-prive.html
1314/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Cloud Computing et Sécurité
CLUSIF >
Adoption du Cloud en France
Enquête : Pierre Audoin Consultants pour EMC, Vmware, Intelhttp://www.itrmanager.com/articles/103242/1re-enquete-cloud-computing-france-br-virtualisation-serveurs-cloud-prive.html
1414/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Cloud Computing et Sécurité
CLUSIF >
Cloud privé en tête
Enquête : Pierre Audoin Consultants pour EMC, Vmware, Intelhttp://www.itrmanager.com/articles/103242/1re-enquete-cloud-computing-france-br-virtualisation-serveurs-cloud-prive.html
1514/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Cloud Computing et Sécurité
CLUSIF >
Freins à l’adoption
Enquête : Pierre Audoin Consultants pour EMC, Vmware, Intelhttp://www.itrmanager.com/articles/103242/1re-enquete-cloud-computing-france-br-virtualisation-serveurs-cloud-prive.html
1614/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Cloud Computing et Sécurité
CLUSIF >
CONSIDÉRATIONS GÉNÉRALES SUR LA SÉCURITÉ
1714/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Cloud Computing et Sécurité
CLUSIF >
DonnéesDonnées
ApplicationsApplications
Machine VirtuelleMachine Virtuelle
ServeurServeur
StockageStockage
RéseauRéseau
InformatiqueInformatique
DonnéesDonnées
ApplicationsApplications
Machine VirtuelleMachine Virtuelle
ServeurServeur
StockageStockage
RéseauRéseau
HébergeurHébergeur
DonnéesDonnées
ApplicationsApplications
Machine VirtuelleMachine Virtuelle
ServeurServeur
StockageStockage
RéseauRéseau
IaaS publicIaaS public
DonnéesDonnées
ApplicationsApplications
Machine VirtuelleMachine Virtuelle
ServeurServeur
StockageStockage
RéseauRéseau
PaaS publicPaaS public
DonnéesDonnées
ApplicationsApplications
Machine VirtuelleMachine Virtuelle
ServeurServeur
StockageStockage
RéseauRéseau
SaaS publicSaaS public
L’entreprise a le contrôleL’entreprise a le contrôle
Partage du contrôle avec le fournisseurPartage du contrôle avec le fournisseur
Le fournisseur de service a le contrôleLe fournisseur de service a le contrôleQui contrôle quoi ?
Burton Group : Cloud Computing Security in the Enterprise – Jul. 2009
1814/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Cloud Computing et Sécurité
CLUSIF >
Mes données sont elles sûres dans le Cloud ?� Qui va avoir accès aux données ?
� Aurai-je accès à mes données à n’importe quel moment ?
� Qu’arrivera-t-il si nous arrêtons notre contrat?
Puis-je être conforme aux lois et aux règlementations ?� Où sont stockées mes données ?
� Qui gère les notifications de brèches de données personnelles ?
� Pendant combien de temps mes données sont stockées ?
� Comment sont gérées les réquisitions éventuelles ?
Les préoccupations classiques du Cloud
1914/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Cloud Computing et Sécurité
CLUSIF >
Faire passer des données publiques ou non sensibles vers un Cloud externe réduit l’exposition des données internes sensibles
L’homogénéité du Cloud simplifie l’audit et les tests de sécurité
Les Clouds permettent une gestion automatisée de la sécurité
Disponibilité : redondance, récupération en cas de désastre
Les avantages généraux en termes de sécurité
2014/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Cloud Computing et Sécurité
CLUSIF >
Dispersion des données et lois internationales relatives au respect de la vie privée� Directive Européenne de protection des données et programme
U.S. Safe Harbor
� Exposition des données aux gouvernements étrangers ; obéissance à une ordonnance du tribunal, citation et mandat de perquisition
� Problèmes de rétention des données
Besoin de gestion de l’isolation
Multi-location
Défis de la journalisation
Problèmes de propriété de données
Garanties de qualité de service
Défis sécurité du Cloud (1/2)
2114/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Cloud Computing et Sécurité
CLUSIF >
Dépendance d’hyperviseurs sécurisés
Attraction des hackers (cible intéressante)
Sécurité des OS virtuels dans le Cloud
Possibilité d’interruptions massives de service
Besoins de chiffrement pour la sécurité dans le Cloud � Chiffrement de l’accès à l’interface de contrôle d’accès aux ressources
du Cloud
� Chiffrement des accès administratifs aux instances d’OS
� Chiffrement de l’accès aux applications
� Chiffrement des données stockées des applications
Sécurité Public Cloud versus sécurité Internal Cloud
Manque de dispositif public de contrôle de version des versions du SaaS
Défis sécurité du Cloud (2/2)
2214/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Cloud Computing et Sécurité
CLUSIF >
Problèmes lors du déplacement de données sensibles ou relatives à la vie privée vers le Cloud� Evaluation de l’impact en termes de respect de la vie privée
Utilisation de SLA pour obtenir la sécurité du Cloud� Suggestion de critères requis pour les SLA du Cloud
� Problèmes avec les analyses forensic dans le Cloud
Plan de contingence et récupération en cas de désastre pour des implémentations Cloud
Gestion de la conformité� FISMA
� HIPAA
� SOX
� PCI
� Audits SAS 70
Quelques problèmes complémentaires
2314/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Cloud Computing et Sécurité
CLUSIF >
Dispersion des données, stockage à l’étranger
Conformité
Multi-location, isolation
Perte de contrôle
Exposition aux risques
Protection des données
Pour résumer
2414/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Cloud Computing et Sécurité
CLUSIF >
http://cloudsecurityalliance.org/
Conseils de sécurité pour les principaux points d’intérêt du cloud computing
Principales menaces sur le cloud computing (avec HP)
Cloud Security Alliance
2514/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Cloud Computing et Sécurité
CLUSIF >
13 domaines d’intérêt selon CSA
Section I. Cloud ArchitectureDomain 1: Cloud Computing Architectural Framework
Section II. Governing in the CloudDomain 2: Governance and Enterprise Risk ManagementDomain 3: Legal and Electronic DiscoveryDomain 4: Compliance and AuditDomain 5: Information Lifecycle ManagementDomain 6: Portability and Interoperability
Section III. Operating in the CloudDomain 7: Traditional Security, Business Continuity, and Disaster RecoveryDomain 8: Data Center OperationsDomain 9: Incident Response, Notification, and RemediationDomain 10: Application SecurityDomain 11: Encryption and Key ManagementDomain 12: Identity and Access ManagementDomain 13: Virtualization
2614/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Cloud Computing et Sécurité
CLUSIF >
Abus et utilisation malveillante du cloud computing
Interfaces et API non sécurisés
Malveillances internes
Problèmes dus au partage de technologie
Perte ou fuite de données
Détournement de compte ou de service
Profil de risque inconnu
Principales menaces selon CSA/HP
2714/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Cloud Computing et Sécurité
CLUSIF >
European Network and Information Security Agency
35 risques identifiés
Risques politiques et organisationnels
Risques techniques
Risques juridiques
Risques non spécifiques au cloud
ENISA: Cloud Computing RiskAssessment
2814/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Cloud Computing et Sécurité
CLUSIF >
Enfermement dans une solution
Perte de gouvernance, de contrôle – impossibilité de se conformer à des exigences de sécurité
Défis de la conformité
Échec de l’isolation (multi-location)
Ordonnance de tribunal, citation, mandat de perquisition, saisie par le gouvernement local
Changement de juridictions (manque de transparence)
Protection des données
Réseau (congestion, utilisation non optimale…)
Risques les plus élevés selon l’ENISA
2914/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Cloud Computing et Sécurité
CLUSIF >
Dans certains cas (IaaS), les risques de la virtualisation s’appliquent pleinement :
Isolation
Gestion des mises à jour
Réseau
Multi-location
Cloud ≠ Virtualisation, mais…
3014/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Cloud Computing et Sécurité
CLUSIF >
Fournisseurs : IDS, systèmes d’analyse comportementale réseau, avertissement de DDoS
Chiffrement des données en transit à tous les niveaux
Chiffrement au niveau du stockage
Défi de la gestion des clés…
Contrôle d’accès
Gestion d’identité, fédération d’identité, « identity clouds », SAML
Sécurité applicative
Implications techniques sur l’architecture
3114/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Cloud Computing et Sécurité
CLUSIF >
Avantages certains
Risques juridiques importants
Importance des contrats (enfermement, juridiction…)
Risques techniques classiques
Surveiller les travaux de CSA, NIST, ENISA� CSA Control Matrix (CM)
Conclusion
3214/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Cloud Computing et Sécurité
CLUSIF >
Berkeley: http://berkeleyclouds.blogspot.com/
NIST: http://csrc.nist.gov/groups/SNS/cloud-computing/
ENISA: http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment
CSA: http://cloudsecurityalliance.org/
Références
3314/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Cloud Computing et Sécurité
CLUSIF >
http://www.microsoft.com/france/securite/guides-conseils/cloud.aspx
http://asert.arbornetworks.com/2010/04/why-hackers-love-the-cloud/
http://www.itrmanager.com/articles/103242/1re-enquete-cloud-computing-france-br-virtualisation-serveurs-cloud-prive.html
http://cloudsecurity.org/
http://cloudaudit.org/
http://www.forrester.com/cloudprivacyheatmap
http://www.trusted-cloud.com/
Références
3414/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Cloud Computing et Sécurité
CLUSIF >
http://www.microsoft.com/cloud
http://www.microsoft.com/windowsazure
http://www.microsoft.com/bpos
http://www.microsoft.com/privatecloud
Offres Microsoft