Cloud Computing et sécurité : menace ou opportunité ?

Cloud Computing et sécurité : menace ou opportunité ?
RDI201 Cloud Computing et sécurité : menace ou opportunité ? 9 février 2011 Bernard Ourghanlian CTO, CSO & DPE Lead Microsoft France

Sommaire Cloud Computing et sécurité : un frein majeur à l’adoption
Sécurité dans le Cloud Généralités par le National Institute of Standard for Technology (NIST) Recommandations de la Cloud Security Alliance (CSA) L’expérience d’Intel En guise de conclusion Annexes (non traitées ici) Recommandations de la European Network and Information Security Agency (ENISA) Le Graal de la sécurité dans le Cloud : le chiffrement… « Le nuage est une promesse : la pluie une promesse tenue » Proverbe arabe

Qu’est-ce que le Cloud Computing ?

L’ensemble des disciplines, technologies et modèles commerciaux utilisés pour délivrer des capacités informatiques (logiciel, plateformes, matériel) comme un service à la demande 5 caractéristiques 3 modèles de service 4 modèles de déploiement Sources : Burton Group et NIST

5 caractéristiques clés Libre service à la demande La location prend quelques minutes € 1 Elasticité rapide Jan Fév Mar …… Déc × Jan = $ ( ) Location de n’importe quelle quantité 4 2 Large accès réseau 5 Mise en commun des ressources N’importe où / Tout terminal = Préservation des ressources Service mesuré 3 off off on Réduit les coûts Source : NIST

3 modèles de service A construire soi-même Platform as a
Exemples Office 365, Google Apps, Salesforce.com... Microsoft Azure, Force.com, Google App Engine… Microsoft Azure, EC2, hébergeurs de systèmes, fournisseurs de machines virtuelles Software as a Service (SaaS) Platform as a Service (PaaS) Infrastructure as a Service (IaaS)

4 modèles de déploiement
Private Cloud Propriété (ou location) de l’entreprise – mono-locataire Interne ou externe Community Cloud Infrastructure partagée pour une communauté spécifique (un état…) Public Cloud Infrastructure louée à n’importe quelle catégorie d’acheteur – multi-locataire L’infrastructure est généralement la propriété du fournisseur Hybrid Cloud La composition de deux ou plus formes de Clouds qui permettent la portabilité des données et des applications On ne crée pas un Hybrid Cloud juste en fédérant les identités Source : NIST

Caractéristiques communes du Cloud Computing
Le Cloud Computing tire souvent parti de : Passage massif à l’échelle Homogénéité Virtualisation Informatique résiliente Logiciel bas coût Distribution géographique Orientation service Technologies de sécurité avancées Source : NIST

L’ensemble des définitions du Cloud par le NIST
Hybrid Clouds Modèles de déploiement Community Cloud Private Cloud Public Cloud Modèles de service Software as a Service (SaaS) Platform as a Service (PaaS) Infrastructure as a Service (IaaS) Mise en commun ressources Large accès réseau Elasticité rapide Service mesuré Libre service à la demande Caractéristiques essentielles Logiciel bas coût Virtualisation Orientation Service Sécurité avancée Passage à l’échelle Informatique résiliente Homogénéité Distribution géographique Caractéristiques communes

Cloud Computing : une autre façon de présenter les choses
Votre propre Datacenter Le Datacenter de quelqu’un d’autre Utiliser (services, informations, etc.) Construire (applications, données, etc.) Héberger (logiciels, base de données, etc.)

Cloud Computing : une autre façon de présenter les choses
Catégories de Services Cloud Privé Cloud Public Software (as-a-service) Platform (as-a-service) Infrastructure (as-a-service) Dédié Cloud Hybride Types de Cloud

Qu’est-ce que le Cloud Computing ? Catégories de Service
(Chez vous) Infrastructure (as a Service) Platform (as a Service) Software (as a Service) Stockage Serveurs Réseau OS Middleware Virtualisation Données Applications Runtime Stockage Serveurs Réseau OS Middleware Virtualisation Données Applications Runtime Vous gérez Stockage Serveurs Réseau OS Middleware Virtualisation Applications Runtime Données Stockage Serveurs Réseau OS Middleware Virtualisation Applications Runtime Données Vous gérez Géré par le fournisseur Vous gérez Géré par le fournisseur Géré par le fournisseur

Cloud Computing et sécurité : un frein majeur à l’adoption

Above The Clouds

« Top 10 Obstacles and Opportunities »
Opportunity 1 Availability of Service Use Multiple Cloud Providers; Use Elasticity to Prevent DDOS 2 Data Lock-In Standardized APIs; Compatible Software to Enable Surge Computing 3 Data Confidentiality and Auditability Deploy Encryption, VLANs, Firewalls; Geographical Data Storage 4 Data Transfer Bottlenecks FedExing Disks; Data Backup/Archival; Higher Bandwidth Switches 5 Performance Unpredictability Improved VM Support; Flash Memory; Gang Scheduling VMs 6 Scalable Storage Invent Scalable Store 7 Bugs in Large Distributed Systems Invent Debugger that Relies on Dist VMs 8 Scaling quickly Auto-Scaler; Snaphots for Conservation 9 Reputation Fate Sharing Reputation Guarding Services 10 Software Licensing Pay-for-Use Licenses; Bulk Use Sales

Sécurité : un inhibiteur pour aller vers le Cloud
Source: Enterprise And SMB Hardware Survey, North America And Europe, Q3 2009, Forrester Research

Sécurité des données, intégrité des systèmes et disponibilité sont des questions clés
Source: Enterprise And SMB Hardware Survey, North America And Europe, Q3 2009, Forrester Research

Considérations générales sur la sécurité dans le Cloud

Une analyse grossière de la sécurité du Cloud
Quelques problèmes clés : Confiance, multi-location, chiffrement, conformité Les Clouds sont des systèmes massivement complexes qui peuvent se réduire à de simples primitives qui sont répliquées des milliers de fois et à des unités fonctionnelles communes La sécurité du Cloud est donc, en théorie, un problème facile à aborder En fait, il y a à la fois des avantages à l’utilisation du Cloud mais aussi des défis à relever

Les préoccupations classiques du Cloud
Mes données sont elles sûres dans le Cloud ? Qui va avoir accès aux données ? Aurai-je accès à mes données à n’importe quel moment ? Qu’arrivera-t-il si nous arrêtons notre contrat ? Puis-je être conforme aux lois et aux règlementations ? Où sont stockées mes données ? Qui gère les notifications de brèches de données personnelles (loi française en préparation) Pendant combien de temps mes données sont stockées ? Comment sont gérées les réquisitions éventuelles ?

Qui contrôle quoi ? Informatique Hébergeur IaaS public PaaS public
L’entreprise a le contrôle Partage du contrôle avec le fournisseur Le fournisseur de service a le contrôle Informatique Hébergeur IaaS public PaaS public SaaS public Données Données Données Données Données Applications Applications Applications Applications Applications Machine Virtuelle Machine Virtuelle Machine Virtuelle Machine Virtuelle Machine Virtuelle Serveur Serveur Serveur Serveur Serveur Stockage Stockage Stockage Stockage Stockage Réseau Réseau Réseau Réseau Réseau

Sécurité dans le Cloud : une responsabilité partagée
Les questions de sécurité qui sont impliquées quand il s’agit de protéger les Clouds des menaces de l’extérieur sont semblables à celles auxquelles doivent faire face les gros Datacenters, excepté le fait que la responsabilité est partagée entre l’utilisateur du Cloud et l’opérateur du Cloud (The Jericho Forum cloud cube model) L’utilisateur du Cloud Sécurité applicative Le fournisseur du Cloud Sécurité physique Sécurité réseau, politique de sécurité sur les pare-feu externes Partagé entre l’utilisateur et le fournisseur La sécurité pour les couches intermédiaires de la pile logicielle Plus bas est le niveau d’abstraction exposé à l’utilisateur, plus il y a de responsabilité qui va avec…

sécurité dans le Cloud : la vue du NIST

NIST NIST (source Wikipedia)
Le National Institute of Standards and Technology est une agence du Département du Commerce des États-Unis Son but est de promouvoir l'économie en développant des technologies, la métrologie et des standards de concert avec l'industrie Cette agence a pris la suite en 1988 du National Bureau of Standards, fondé en 1901 avec substantiellement les mêmes missions Sources d’informations utilisées : « Guidelines on Security and Privacy in Public Cloud Computing » (SP ) Publié le 2 février 2011

NIST : l’importance du SLA
SLA non négociables Les accords non négociables sont, par de nombreuses façons, à la base des économies d’échelle que l’on peut trouver dans le Cloud Non seulement, les termes du service sont entièrement définis par le fournisseur de Cloud mais, avec certaines offres, le fournisseur peut aussi modifier les termes du contrat de manière unilatérale sans donner directement de notification au souscripteur (mis à jour d’une version en ligne) SLA négociables Assez proches des contrats traditionnels d’outsourcing Ils peuvent être utilisés pour répondre aux préoccupations des organisations concernant les politiques de sécurité et de respect de la vie privée, les procédures et les contrôles techniques, la propriété des données, les droits de sortie, l’isolation des applications en environnement de multi-location, le chiffrement et la ségrégation des données, l’efficacité des services de reporting, la conformité avec les lois et les règlements

NIST : Les bons côtés du Cloud
Spécialisation du personnel Forces de la plateforme Une plus grande uniformité et homogénéité facilitent le durcissement plate-forme et permettent une meilleure automatisation des activités de gestion de la sécurité telles que le contrôle de configuration, les tests de vulnérabilité, les audits de sécurité et l’application des correctifs de sécurité des composants de la plateforme

NIST : Les bons côtés du Cloud (suite)
Disponibilité de la plateforme L'évolutivité des installations de Cloud Computing permet une plus grande disponibilité Redondance et reprise en cas de catastrophe sont intégrées en standard dans les environnements informatiques du Cloud et la capacité des ressources disponibles à la demande peuvent être utilisés pour une meilleure résilience face à une augmentation de la demande de services ou à des attaques par déni de service ainsi que pour une récupération plus rapide lors d'incidents graves

Sauvegarde et récupération Les politiques de sauvegarde et de récupération et les procédures au sein d’un service de Cloud Computing peuvent être supérieures en qualité et en efficacité à celles de l'organisation et, si des copies sont conservées dans divers lieux géographiques, elles peuvent être plus robustes Les données maintenues dans un nuage peuvent être plus disponibles, plus rapides à restaurer et plus fiables dans de nombreuses circonstances que lorsqu’elles sont maintenues dans un centre de données traditionnel

Points de terminaison mobiles L'architecture d'une solution en nuage s'étend aussi au client qui est utilisé pour accéder à des applications hébergées dans le Cloud Les clients du Cloud peuvent être basés sur un navigateur ou sur des applications Dans la mesure où les principales ressources de calcul nécessaires sont détenues par le fournisseur de Cloud, les clients sont généralement légers, les moyens de calcul pouvant être pris en charge sur des ordinateurs portables, des netbooks, ainsi que sur des systèmes embarqués comme les téléphones intelligents, ou des assistants numériques personnels

Concentration de données Les données conservées et traitées dans le nuage peuvent présenter moins de risques pour une organisation si celle-ci dispose d’une majorité de ses collaborateurs en situation de mobilité avec des données dispersées sur des ordinateurs portables ou des supports amovibles sur le terrain, où le vol et la perte de dispositifs peuvent régulièrement se produire

NIST : Les mauvais côtés du Cloud
Complexité du système Un environnement de Cloud public est extrêmement complexe comparé à celui d'un centre de données traditionnel De nombreux composants sont utilisés, ce qui se traduit par une surface d'attaque importante La sécurité dépend non seulement de l’exactitude et l’efficacité de nombreux composants, mais également des interactions entre eux : le nombre d’interactions possibles entre les composants augmente comme le carré du nombre de composants, ce qui pousse le niveau de complexité à la hausse

NIST : Les mauvais côtés du Cloud (suite)
Partage de l’environnement entre des locataires multiples Les services de Cloud Computing publics proposés par les fournisseurs présentent une complication sous-jacente significative dans la mesure où les composants et les ressources sont généralement partagés avec d'autres abonnés qui leur sont inconnus Même si elle n’est pas unique au Cloud, la séparation logique est un problème non-trivial qui est exacerbé par l’échelle du Cloud L’accès aux données organisationnelles et aux ressources d’une organisation pourrait, par inadvertance, être exposé à d'autres abonnés à cause d’une erreur de configuration ou de logiciel

Services exposés à l’Internet Les services de Cloud Computing public sont fournis à travers l’internet, ce qui expose les interfaces administratives utilisées pour administrer les comptes en self-service ainsi que les interfaces permettant aux utilisateurs et aux applications d'accéder aux autres services disponibles Les applications et les données qui ont été déjà accessibles dans les limites de l’intranet d'une organisation, mais ont maintenant déménagé dans le nuage, doivent maintenant faire face un risque accru sur le réseau, sous la forme de menaces contre lesquelles l’organisation avait précédemment fait face au sein du périmètre de l'intranet

Perte de contrôle Bien que les préoccupations de sécurité et de confidentialité des services au sein du Cloud Computing sont semblables à ceux des services non-Cloud traditionnels, celles-ci sont amplifiées par le fait que le patrimoine de l'organisation est maintenant accessible de l’extérieur avec un potentiel de la mauvaise gestion de ces actifs La migration vers un nuage public exige un transfert de contrôle d’éléments d'information et de briques système vers le fournisseur de Cloud qui relevaient précédemment du contrôle direct de l'organisation La perte de contrôle sur les aspects physiques et logiques du système et des données diminue la capacité des organisations à maintenir un bon niveau de conscience de la situation afin de pouvoir peser les alternatives, fixer les priorités et effectuer les changements de la sécurité et de la protection des informations personnelles afin de préserver l’intérêt de l'organisation

NIST : les principaux problèmes de sécurité et de respect de la vie privée
Gouvernance La gouvernance implique le contrôle et la surveillance sur les politiques, procédures et normes pour le développement d'applications, ainsi que la conception, la mise en œuvre, les tests et le suivi des déploiement des services Avec la large disponibilité des services en nuage, le manque de contrôle de l’organisation sur les employés du fournisseur de ces services peut être une source de problèmes Alors que le Cloud Computing simplifie l'acquisition plate-forme, il n'atténue pas la nécessité de la gouvernance ; au contraire, il a l'effet inverse, une amplification de ce besoin

NIST : Les principaux problèmes de sécurité et de respect de la vie privée (suite)
Conformité Le respect de la conformité implique le respect d’un cahier des charges établi, de normes, de règlements ou de la loi en vigueur Localisation des données Lorsque les données franchissent les frontières, le régime juridique gouvernant la sécurité, le respect de la vie privée et, d’une manière générale, les régimes réglementaires applicables peuvent être ambigus et créer toute une série de préoccupations Voir

Lois et réglements Respect des lois et des directives de la CNIL Electronic Discovery Implique l'identification, la collecte, le traitement, l'analyse et la production de documents électroniques dans la phase d’enquête en cas de litiges Les organisations ont également des obligations de préservation des documents électroniques afin de se conformer aux réquisitions lors d’enquêtes judiciaires Ceci comprend non seulement le courrier électronique, les pièces jointes et les données stockés sur un système informatique ou les supports de stockage, mais aussi toute métadonnée associée, telles que les dates de création de l’objet ou de modification

Confiance Accès par les employés ou sous-traitants du fournisseur Les données traitées ou stockées en dehors des limites d'une organisation, de ses pare-feu, et d’autres contrôles comportent un niveau de risque inhérent à l’accès potentiel par les employés ou les sous-traitants du fournisseur Propriété des données Les droits de propriété de l'organisation sur les données doivent être clairement établis dans le contrat de service pour permettre l’établissement d’une base de confiance claire

Services Composites Les services en nuage eux-mêmes peuvent être composés par composition avec d'autres services de Cloud Computing ; par exemple, un fournisseur SaaS pourrait construire ses services à partir des services d 'un nuage PaaS ou IaaS Le niveau de disponibilité du SaaS nuages dépendra donc de la disponibilité de ces services Les services de Cloud qui utilisent des fournisseurs de service tiers afin d'externaliser ou sous-traiter certains de leurs services devraient augmenter votre vigilance pour tout ce qui concerne la portée du contrôle sur le tiers, les responsabilités en cause, et les voies de recours et les recours disponibles en cas de problème La confiance est souvent non transitive, ce qui exige que les accords avec des tiers soit communiqués à l'avance en toute transparence et que les termes de ces arrangements soient maintenu tout au long du contrat de service ou soient soumis à notification du client

Visibilité La migration vers des services de Cloud Public implique l’abandon du contrôle au fournisseur de Cloud pour ce qui concerne la sécurisation des systèmes sur lesquels les données de l'organisation et les applications s’exécutent La gestion, les procédures et les contrôles techniques utilisés dans les nuages doivent être au même niveau que ceux utilisés pour les systèmes internes ou les dépasser, pour éviter de créer des lacunes dans la sécurité La transparence dans la façon dont le fournisseur de nuage fonctionne est un ingrédient essentiel permettre d’avoir une vue sur la façon dont sont assurés la sécurité du système et le respect de la vie privée Pour s'assurer que les politiques et procédures sont appliquées tout au long du cycle de vie des systèmes, les contrats de service devraient inclure des moyens pour gagner en visibilité sur les contrôles de sécurité et des processus employés par un prestataire de service en Cloud avec un suivi de leurs performances au fil du temps

Gestion des risques Avec les services de Cloud Computing, certains sous-systèmes ou le système entier sont hors du contrôle direct de l’organisation signataire du contrat de service Évaluer et gérer des risques dans des systèmes qui utilisent des services de Cloud Computing peut être un défi Dans la mesure du possible, l’organisation doit s’assurer que les contrôles de sécurité sont mis en œuvre correctement, fonctionnent comme prévu, et répondent aux exigences de sécurité de l’organisation

NIST : pour résumer Avantages Spécialisation du personnel
Forces de la plateforme Disponibilité de la plateforme Sauvegarde et récupération Points de terminaison mobiles Concentration de données Inconvénients Complexité du système Partage de l’environnement entre des locataires multiples, isolation Services exposés à l’Internet Perte de contrôle

NIST : pour résumer Avantages Spécialisation du personnel
Forces de la plateforme Disponibilité de la plateforme Sauvegarde et récupération Points de terminaison mobiles Concentration de données Inconvénients Complexité du système Partage de l’environnement entre des locataires multiples, isolation Services exposés à l’Internet Perte de contrôle Les questions à résoudre Gouvernance Conformité, localisation des données, respect des lois et réglements, electronic discovery Confiance, accès par les employés ou sous-traitants du fournisseur , propriété des données Services composites Visibilité Gestion des risques Pour les états, leur souveraineté

CLOUD SECURITY ALLIANCE

Cloud Security Alliance
Organisation globale sans but lucratif : We believe Cloud Computing has a robust future, we want to make it better “To promote the use of best practices for providing security assurance within Cloud Computing, and provide education on the uses of Cloud Computing to help secure all other forms of computing.”

Cloud Security Alliance (CSA)
Le CSA est rapidement devenu une force majeure de l’industrie et un défenseur des consommateurs et des utilisateurs Microsoft est sponsor de la Cloud Security Alliance Le papier initialement publié par la CSA consiste en un ensemble de positions et de réflexions d’experts de l’industrie Annoncé lors de RSA San Francisco en avril 2009 Security Guidance for Critical Areas of Focus in Cloud Computing V2.1 Disponible depuis le 17 décembre 2009 en

13 domaines d’intérêt selon CSA
Section I. Cloud Architecture Domain 1: Cloud Computing Architectural Framework Section II. Governing in the Cloud Domain 2: Governance and Enterprise Risk Management Domain 3: Legal and Electronic Discovery Domain 4: Compliance and Audit Domain 5: Information Lifecycle Management Domain 6: Portability and Interoperability Section III. Operating in the Cloud Domain 7: Traditional Security, Business Continuity, and Disaster Recovery Domain 8: Data Center Operations Domain 9: Incident Response, Notification, and Remediation Domain 10: Application Security Domain 11: Encryption and Key Management Domain 12: Identity and Access Management Domain 13: Virtualization

Governance et gestion des risques
Une partie des économies réalisées par le passage au Cloud Computing doit être investi en un examen minutieux du fournisseur Transparence du fournisseur du Cloud Viabilité financière du fournisseur du Cloud

Légal et juridique Prévoir tout à la fois une fin normale et une fin imprévue de la relation avec votre fournisseur de Cloud et un retour de votre patrimoine informatique (clause de réversibilité) Trouver les conflits entre les lois auxquelles le fournisseur de Cloud doit se soumettre et celles qui gouvernent le client du Cloud (éventuellement vous) Acquérir une compréhension claire du rôle du fournisseur du Cloud et de ses réponses à des demandes légales d’information (réquisitions)

Conformité et Audit Classifier les données et les systèmes pour comprendre les besoins en matière de conformité Maintenir un droit d’audit à la demande Demander une certification complète et uniforme de l’ensemble de la solution (SAS 70 II, ISO 2700x)

Gestion du cycle de vie de l’information
Comprendre la ségrégation logique de l’information et les contrôles de protection qui sont implémentés L’assurance concernant la rétention des données est facile à obtenir, celle concernant la destruction des données peut être plus difficile à obtenir Comprendre les processus de retrait du stockage de masse utilisés par le fournisseur de Cloud Recouvrer le véritable coût d’une brèche : pénalités versus transfert de risque Le fournisseur de Cloud peut-il supporter un archivage à long terme, les données seront-elles disponibles dans plusieurs années ?

Portabilite et interoperabilité
Comprendre et implémenter des couches d’abstraction Pour une solution de type Platform as a Service (PaaS), il est nécessaire de suivre des principes architecturaux afin de minimiser les risques de se retrouver prisonnier du fournisseur Couplage lâche Orientation service et principes SOA Comprendre quels sont les compétiteurs de vos fournisseurs de Cloud et quelles sont leurs capacités pour vous assister en cas de besoin de migration Préconiser les standards ouverts

Traditionnel, BCM/DR La principale crainte est celle de la menace interne Les fournisseurs de Cloud doivent adopter comme niveau de référence les exigences les plus rigoureuses de chacun des clients Il est essentiel de compartimenter les fonctions et les rôles et de limiter la connaissance des clients Inspecter les plans de récupération en cas de désastre et de continuité du fournisseur de Cloud

Opérations Datacenter
Connaitre les autres clients du fournisseur de Cloud afin d’évaluer leur impact éventuel sur vous Comprendre comment se passe le partage de ressources au sein de l’environnement de votre fournisseur de Cloud afin de comprendre son impact pendant les fluctuations de votre business Pour les environnement de type IaaS et PaaS, les politiques et les procédures de patch management du fournisseur peuvent avoir un impact significatif L’architecture du fournisseur de Cloud peut avoir recours à des méthodes nouvelles ou non encore éprouvées de basculement

Réponse sur incident Toute donnée classifiée comme privée au sens de la réglementation en termes de perte de données (réglementation européenne, non encore retranscrite dans le droit français mais une proposition de loi est en cours) doit toujours être chiffrée afin de réduire les conséquences d’un tel incident Le fournisseur de Cloud doit fournir un cadre de journalisation au niveau applicatif afin de permettre l’isolation d’un incident donné à un client spécifique Les fournisseurs de Cloud et les clients doivent définir un cadre de collaboration pour la réponse sur incident

Sécurité des applications
Pour IaaS, il est nécessaire d’utiliser des images virtuelles dignes de confiance Appliquer les meilleures pratiques disponibles pour renforcer les systèmes hôtes et les machines virtuelles en DMZ La sécurisation des communications entre les machines hôtes doit être la règle ; il ne peut y avoir aucun présupposé sur l’existence d’un canal sécurisé entre les machines hôtes Comprendre comment les acteurs malfaisants vont très probablement adapter leurs techniques aux plateformes du Cloud, grâce notamment à une augmentation des tests en boîte noire

Chiffrement et gestion de clés
Dans une perspective de gestion des risques, les données non chiffrées existant dans le Cloud pourraient être considérées comme « perdues » par le client Utiliser le chiffrement pour séparer la détention des données de leur utilisation Isoler la gestion des clés du fournisseur de Cloud hébergeant les données, afin de créer une chaine de séparation Stipuler le standard de chiffrement dans le contrat

Identité et gestion d’accès
Il est nécessaire d’avoir une architecture et une stratégie robustes et fédérées de gestion d’identité au sein de l’organisation Insister sur le support des standards permettant la fédération : principalement SAML, WS-Federation et Liberty ID-FF Considérer la mise en place d’un Single Sign-on (SSO) pour les applications internes et tirer partie de cette architecture pour les applications dans le Cloud Pour cela une approche fondée sur les revendications d’identité est très intéressante Utiliser des fournisseurs de services de type « Identity as a Service » dans le Cloud peut vous fournir des moyens intéressant pour abstraire et gérer des complexités telles que des versions différentes de SAML, etc.

Virtualisation Les systèmes d’exploitation virtualisés doivent être complémentés par des solutions de sécurité La sécurité par défaut des configurations doit être assurée en suivant ou en dépassant les règles de base fixées par les meilleures pratiques de l’industrie Il est nécessaire de disposer d’une surveillance granulaire du trafic entre les MV La provisionnement, l’accès administrateur et le contrôle des systèmes d’exploitation virtualisés est absolument crucial

CSA : Metrics Working Group
Les métriques de sécurité spécifiques au Cloud sont, soit non existantes, soit au début de leur définition Puisque ces métriques sont spécifiques et que le Cloud est toujours en évolution, le groupe de travail du CSA en charge de la définition de ces métriques a établi un cycle de revues et de révisions Publication des métriques dans un format ouvert permettant les commentaires et l’historique des révisions 3 des 13 domaines définis par le CSA Encryption & Key Management Governance & Enterprise Risk Management Application Security Plus d’information en

CSA : Control Matrix Matrice d’évaluation des risques associés à un fournisseur de Cloud Alignée sur les 13 domaines visés par le CSA Définie en relation étroite avec HITRUST CSF, ISO 27001/27002, ISACA COBIT, PCI et NIST

Intel et la sécurité du Cloud : retour d’expérience Stephan Hilby, Responsable Stratégie Serveur Intel France

Intel IT en chiffres 6,300 employés IT 56 sites
80,100 employés Intel sites, 62 pays Data Centers ~100,000 serveurs; 458,694 m² >110,000 périphériques >90K PCs (80%+ mobile), >20K smartphones date

Les Datacenters chez Intel
Design Conception & Design D Office Bureautique O Manufacturing Usines & assemblage M Enterprise E-biz + supply chain E 70% des servers chez Intel se retrouvent dans D. 30% des servers chez Intel se retrouvent dans O, M, et E Le Cloud va aider à accompagner cette forte croissance 1, 2 Source: Intel IT internal data. September EDA MIPS (Electronic Design Automation - Meaningful Indicator of Performance per System) is a weighted performance measure date

Vision du Cloud Fédéré Données et services en continu et dans la durée , avec un cloud sécurisé Automatisé Allocation automatique des ressouces pour gérer les services et optimiser la consommation Adapté accès sécurisé et expérience optimum au travers de tous les moyens possibles PC Ordinateur portable Netbooks Machines personnelles Smart phones Télévisions Embarqué

Roadmap & Stratégie Cloud
Transition Internal: Intel Network Build/Grow Enterprise Private Cloud Futur Actuellement Hosting Platforms External: Internet Office/Ent D’une architecture Cloud entièrement privée à une architecture Cloud hybride IaaS Caching SaaS Job Search Benefits/Stocks Sales Back & Restore Client Image/VM Storage Manageability CRM Productivity Collaboration Legacy Environments Internal Clients Evaluate Hybrid Clouds. Federated IaaS External Clients Design Grid SaaS - software as a service, IaaS - infrastructure as a service, CRM - customer relationship management, VM - virtual machine date

4 axes principaux Objectifs & Stratégies de l’architecture Cloud chez Intel IT
Efficacité Accélérer la virtualisation pour favoriser un environnement multi-domaine Déployer de nouveaux serveurs pour améliorer l’efficacité énergétique Favoriser une plus grande utilisation via des pools de ressources Quantifier les services tels que l’utilisation, la santé & la capacité des VM Agilité Améliorer le temps de provisionnement (joursheures) avec un service à la demande Automatiser les workflows pour faciliter flexibilité & agilité Rationaliser les processus métiers via un portail de services à la demande Utilisation opportuniste de Clouds publics le cas échéant Securité Capitaliser sur les technologies de sécurité existantes & déjà mises en place Protéger l’IP d’Intel IP, les données & les processus business Fournir des accès sécurisés à des périphériques & utilisateurs authentifiés Disponibilité Haute disponibilité & résilience accrue pour tous les services IT Architecture de PRA efficace pour les applications critiques Adoption de technologies de pointe en matière de haute disponibilité pour les applications métiers les plus critiques date

La Sécurité doit évoluer avec le Cloud
De nouveaux impératifs requièrent de nouvelles approches en matière de Sécurité Nouveaux périphériques, nouveaux usages, nouvelles menaces, nouvelles infrastructures (Cloud Computing) Périmètre étendu aux personnes & aux données Périmètre étendu à la mobilité Protections traditionnelles Demain Intel IT a adopté un nouveau modèle de Sécurité prenant en compte les personnes, les périphériques, les données & les emplacements Aujourd’hui Hier Une évolution complète et mise en place par étapes date

Intel AES-NI : Protection par chiffrement
2 Chiffrement des informations & données 1 Transactions sécurisées en interne & externe (fournisseurs…) 1 Transactions sécurisées sur Internet &Intranet 2 Chiffrement des informations & données stockées sur disque Intranet Internet 3 La plupart des applications métiers propose des options pour sécuriser les informations et protéger la confidentialité Name: J.Doe SS#  Chiffrement au niveau applicatif permettant automatisation & granularité 3 AES-NI permet un usage étendu du chiffrement pour mieux protéger les informations vitales & confidentielles d’Intel 70

Intel TXT : Protection par validation
Besoin critique en environnements virtualisés & Cloud Supporte la migration de VM entre plateformes certifiées Safer VMM Launch Ensures of Only Trusted Software is Run HW Hypervisor OS App Trust Level: Measured Unknown Intel® TXT VM1 … VMn Trustable Pools Migration Within Your Resource Pools HW Hypervisor OS App VM1a VM2a VM1b VM2b VM3a VM3b Green designates Intel® TXT enabled TXT apporte un niveau de Sécurité & de protection supplémentaire pour les environnements virtualisés 71 71

Un Cloud qui s’adapte aux périphériques qui s’y connectent
Vers une Sécurité adaptée en fonction des usages & des utilisateurs Smart TVs Handhelds Desktops Embedded Laptops Netbooks Personal Devices Tablets IVI La Sécurité d’un Cloud au niveau d’un Datacenter passera aussi par celle des périphériques qui s’y connecteront

Open Data Center Alliance (ODCA)
Une initiative orientée « usages » du Cloud Computing Groupes de travail Utilisateurs Modèles d’usage Feuille de route technique & technologique Standards & Interopérabilité Adopteur & Contributeur

Conclusion Le Cloud apporte son lot de nouveaux bénéfices mais aussi de nouvelles menaces La Sécurité fait partie des tous premiers éléments à prendre en compte pour une intégration du Cloud dans son infrastructure existante Il faut considérer la Sécurité tant au niveau technologique que gouvernance L’apparition du Cloud dans les entreprises va favoriser une remise à plat des politiques et des techniques de Sécurité La Sécurité est à considérer de bout en bout, du Datacenter au Poste Client, du service proposé à l’utilisateur final

Our mindset is to provision services, not servers”
Voyage vers le Cloud Une approche & implémentation pragmatique “We’re making changes to support the legacy application environment while implementing a new secure, agile, efficient, service-oriented environment. Our mindset is to provision services, not servers” Das Kamhout (Cloud Solution Architect, Intel IT ) date

Retrouvez-nous sur le Stand P5 !
MERCI ! Retrouvez-nous sur le Stand P5 !

En guise de Conclusion…

Opportunités du Cloud Computing
Mis en place correctement et à moyen terme, le Cloud Computing peut améliorer la disponibilité De bons services de sécurité managés sont disponibles Les Private et Community Clouds peuvent permettre la collaboration sécurisée avec des partenaires externes Les offres de Platform-as-a-Service (PaaS) peuvent embarquer une sécurité préventive au sein du cycle de vie du développement logiciel La virtualisation applicative, la virtualisation des postes de travail et la fédération d’identité sont des services Cloud transformationnels qui ont des impacts positifs en termes de sécurité

Pourtant, en première analyse, on se dit qu’il beaucoup de problèmes potentiels…
Le fournisseur du Cloud qui dépose son bilan Le fournisseur qui n’atteint par ses engagements en termes de niveaux de services Le fournisseur qui a une piètre planification de son PCA Les Datacenters qui sont situés dans des pays ayant des lois inamicales L’existence d’une clientèle captive grâce à la technologie ou aux formats de données La mise en commun des actifs informatiques avec ceux d’autres clients et même des concurrents Les erreurs commises par la sécurité informatique interne du fournisseur avec des conséquences potentiellement beaucoup plus importantes Et bien d’autres encore !!! 79

Quelques idées de solutions
Le Cloud Computing est juste un autre modèle de fourniture de service (spécialement pour le SaaS) Les mêmes préoccupations ou des préoccupations semblables ont été levées auparavant quand on parlait d’outsourcing ou de service bureau… Les solutions sont essentiellement les mêmes également La question de multi-territorialité reste quand même un point délicat Les clés pour une utilisation réussie (et conforme à la réglementation) du Cloud sont notamment La sélection réfléchie du fournisseur de service La négociation des contrats et des niveaux de services Des audits réguliers des fournisseurs de service ISO/IEC 27001:2005 SAS No.70 Type 1 et Type 2

Sécurité du Cloud Computing : quelques recommandations
« Faire attention à la marche » : les entreprises ne doivent probablement pas, en général, utiliser des Public Clouds pour des applications à risque élevé (c’est-à-dire sensibles) Ne pas hésiter au sein de la RSSI à souscrire une police d’assurance pour la RSSI Quand c’est nécessaire, obtenir une acceptation par écrit des risques de la part des patrons des métiers concernés et négocier toutes les assurances possibles auprès des fournisseurs impliqués Mettre en place des points de contrôle au sein des processus appropriés afin de disposer de la visibilité et du contrôle nécessaire par rapport aux initiatives Cloud des métiers

Sécurité du Cloud Computing : quelques recommandations (suite)
Construire des Clouds internes ; parcourir à son rythme les étapes en direction du Public Cloud sur des applications de risque faible ou moyen Développer des architectures hybrides orientées service Considérer des Private (Community) Clouds en partenariat avec d’autres industries verticales avec lesquelles on a des affinités Insister pour bénéficier de la plus grande transparence des fournisseurs autour de la sécurité du Cloud, pour disposer de meilleurs critères d’évaluation et d’un meilleur écosystème pour les audits réalisés par des tiers et pour la mise en place de standards de l’industrie pour améliorer l’interopérabilité et la sécurité

Trois éléments essentiels à considérer
Transparence du fournisseur de services Cloud Processus et procédures Politiques Conformité Pouvez-vous héberger vos données dans le Cloud ? De quoi avez-vous besoin pour remplir vos obligations de conformité ? Analyse des risques / Gestion des risques

Transparence dans les processus
Demander de la documentation Comprendre comment le fournisseur effectue sa gestion de la sécurité et quel est son cadre de contrôle : sécurité et conformité Comme est effectué le provisionnement des comptes et quels sont les mécanismes d’authentification utilisés ? Quels sont les fournisseurs tiers impliqués ? Quels sont les pratiques de développement et de test ?

Transparence dans les politiques
Localisation géographique des données Politique de rétention des données et destruction des données Respect de la vie privée Architecture, patch, test et déploiement de nouvelles versions (SaaS et PaaS) Vulnérabilités et violations de données

Transparence Demandez à voir des audits réalisés par des tiers et des attestations Comprendre exactement ce que vérifie la certification/l’attestation ISO 27001 SAS 70 Type I et Type II Comprendre ce qui est couvert et ce qui n’est pas couvert La couverture de la plateforme n’implique pas la couverture des applications

Conformité Pouvez-vous légalement placer vos donner dans le Cloud?
Propriété intellectuelles et secrets de fabrication Données sensibles Localisation des données Clauses contractuelles SLA Données, possession des données agrégées et des métadonnées Types spéciaux de données Est-ce que le fournisseur de services Cloud vous fournit la documentation dont vous avez besoin pour votre conformité ?

En guise de conclusion…
Le Cloud Computing représente une force économique et technique qui transforme l’informatique en profondeur mais les entreprises sont préoccupées par leur sécurité Le Cloud Computing crée de nouvelles opportunités Le Cloud Computing nécessite de repenser (mais pas de réinventer) les programmes et les architectures de sécurité La notion de périmètre de sécurité du SI doit cependant être remise à plat Les questions de la gestion du cycle des identités et de la classification/protection des informations deviennent centrales

En guise de conclusion…
Dans la mesure où les entreprises tirent partie des Clouds publics ou privés, elles doivent se placer elles-mêmes dans une posture où elles mettent davantage en exergue le transfert du risque, la dissuasion, la surveillance, le feedback et l’audit qu’elles ne le faisaient avec les contrôles préventifs

Conclusion Avantages certains Risques juridiques significatifs
Risques techniques classiques Importance des contrats Surveiller les travaux des organismes CSA, NIST, ENISA CSA Control Matrix (CM)

CCloud Je ne vois pas de nuage...

Débat

Votre potentiel, notre passion TM
4/2/2017 8:28 AM Votre potentiel, notre passion TM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

ENISA Information Cloud Survey: Assurance Risk SME Framework
ENISA : European Network and Information Security Agency Cloud Risk Assessment Information Assurance Framework Survey: SME perspective on Cloud

ENISA: Cloud Computing Risk Assessment
35 risques identifiés Risques politiques et organisationnels Risques techniques Risques juridiques Risques non spécifiques au Cloud

Risques les plus élevés selon l’ENISA
Enfermement dans une solution Perte de gouvernance, de contrôle – impossibilité de se conformer à des exigences de sécurité Défis de la conformité Échec de l’isolation (multi-location) Ordonnance de tribunal, citation, mandat de perquisition, saisie par le gouvernement local Changement de juridictions (manque de transparence) Protection des données Réseau (congestion, utilisation non optimale…)

Quelques scénarios étudiés par l’ENISA
La gestion des identités dans le Cloud La gestion des données dans le Cloud et leur sécurité

Provisionnement et dé-provisionnement
Plusieurs fournisseurs de solutions Cloud La synchronisation avec l’annuaire de l’entreprise ne passe pas à l’échelle La connexion à l’entreprise risque de créer un point unique de défaillance Le dé-provisionnement des identités est encore moins capable de passer à l’échelle puisque les retards temporels constituent autant de fenêtres d’opportunité pour les attaquants

Vers la fédération d’identité
La fédération d’identité est la seule solution qui soit capable de passer à l’échelle vers le Cloud Les fournisseurs d’identités fédérées peuvent aussi gérer la distribution de clés Les applications d’identités fédérées elles-mêmes (à l’exception du stockage des clés) peuvent s’exécuter en utilisant l’infrastructure du Cloud Une fourniture d’identités basée dans le Cloud donne plus de résilience à l’ensemble du système

Le Cloud comme plateforme d’attaque anonyme
Une vérification approximative d’identité rend les plateformes Cloud vulnérables pour être utilisées comme plateformes d’attaque. Et ceci affecte alors tous les utilisateurs Craquage de mot de passe Attaque en déni de service distribué Cassage de « Captcha » Blocage de liste d’adresses IP pour d’autres utilisateurs … C’est la raison pour laquelle la gestion d’identité est un sujet particulièrement important dans le Cloud

Gestion des clés et sécurité des données
La gestion des clés est (actuellement) de la responsabilité du Client du fournisseur de Cloud Le provisionnement des clés et leur stockage sont habituellement réalisés en dehors du Cloud Le chiffrement de données dans le Cloud de telle façon que le fournisseur de Cloud ne puisse les lire est TRES difficile !

Stockage des données et traitement sans garantie de sécurité
3 alternatives possibles : Essayer de chiffrer toutes les opérations afin de les rendre inaccessibles depuis un environnement Cloud présupposé indigne de confiance – TRES Difficile à mettre en œuvre Utiliser une zone sécurisée avec des garanties de sécurité fournies par le fournisseur de Cloud Faire complètement confiance au fournisseur de Cloud (éventuellement en utilisant des certificats tiers)

Gestion des clés Le stockage des clés et le provisionnement sont pratiquement impossible avec les technologies actuelles Les HSM ne passent pas à l’échelle du Cloud PKCS#10,11 ne parlent pas au Cloud La révocation est encore plus compliquée... On a besoin de nouvelles fonctionnalités de chiffrement et de nouveaux standards et solutions de gestion de clés adaptés au paradigme du Cloud

LE GRAAL DE LA SECURITE DANS LE CLOUD : LE CHIFFREMENT…

Stockage de données dans le Cloud
Bien que les bénéfices d’utiliser une infrastructure de Cloud public soient clairs, celle-ci introduit de nouveaux risques en matière de sécurité et de vie privée (perçus ou réels) Il semble que les principaux obstacles à l’adoption du stockage (et du Cloud Computing en général) dans le Cloud soient reliées à la confidentialité et à l’intégrité des données Bien que, jusqu’à présent, les consommateurs aient été prêts à sacrifier leur vie privée pour bénéficier de services logiciels (Webmail, calendriers, photos et images,…), il n’est pas absolument certain qu’il en ira de même des entreprises et des états Cette crainte peut être attribuée à plusieurs facteurs qui vont du besoin de protéger des données sensibles aux obligations réglementaires de protéger la confidentialité et l’intégrité des données Informations personnelles, enregistrements médicaux ou financiers En fait, bien que le stockage dans le Cloud ait un énorme potentiel, tant que les questions de la confidentialité et de l’intégrité n’auront pas été adressées, de nombreux clients potentiels resteront hésitants à sauter le pas vers le Cloud

Chiffrer des données dans le Cloud
Chiffrer des données dans le Cloud pose de nombreux défis : Echanger les clés Permettre la collaboration

Stockage de données dans le Cloud
Le Graal : Stocker ses données dans le Cloud en les chiffrant… tout en gardant les clés Pour cela, il faut mettre en œuvre une solution de Chiffrement homomorphe

Chiffrement homomorphe
Un chiffrement est homomorphe si : a partir de Enc(a) et Enc(b), il est possible de calculer Enc(f (a; b)) ou f peut être, par exemple : + ´ Å et sans que la clé privée soit utilisée Idéalement, on voudrait que f = NAND, ou que f = {+, ´} Appelé chiffrement doublement homomorphe Permet d’effectuer n’importe quel calcul sur du texte chiffré sans pour autant le déchiffrer !

Histoire du chiffrement homomorphe
1978 : Ronald Rivest, Leonard Adleman et Adi Shamir, du MIT, publient l'algorithme de chiffrement et de signature RSA. La version basique du chiffrement RSA est homomorphe pour la multiplication, mais ne satisfait pas de bonnes notions de sécurité 1978 : Ronald Rivest, Leonard Adleman et Michael Dertouzos évoquent pour la première fois le concept de chiffrement homomorphe 1982 : Leonard Adleman publie la première cryptanalyse à base de réseaux. 1982 : Shafi Goldwasser et Silvio Micali proposent le premier schéma de chiffrement à « sécurité prouvée » (il atteint de bonnes notions de sécurité) : il est homomorphe pour l'addition, mais ne peut chiffrer qu'un seul bit 1996 : Jeffrey Hoffstein, Jill Pipher et Joseph Silverman inventent le cryptosystème NTRU, à base de réseaux 1999 : Pascal Paillier propose un système de chiffrement efficace à « sécurité prouvée » qui est homomorphe pour l'addition 2005 : Dan Boneh, Eu-Jin Goh et Kobi Nissim inventent un système de chiffrement homomorphe à « sécurité prouvée », avec lequel on peut effectuer un nombre illimité d'additions mais une seule multiplication 2009 : Craig Gentry, d'IBM, propose un système de chiffrement « complètement homomorphe »

Chiffrement homomorphe
La question a été formulée il y a une trentaine d'années, peu après l’invention de RSA, l'algorithme à clé publique le plus répandu à ce jour pour signer ou chiffrer des documents Ron Rivest, Leonard Adleman (les R et A du RSA) et Michael Dertouzos ont montré l'intérêt de trouver des systèmes de chiffrement pour lesquels on peut effectuer des opérations sur des données chiffrées sans connaître la clé secrète, donc sans déchiffrer Lorsqu'on déchiffre le résultat de l'opération, c'est bien le même que si on avait mené les calculs sur les données brutes : par exemple, si on chiffre séparément deux nombres a et b en a' et b' , n'importe qui peut alors obtenir un chiffrement de a + b à partir uniquement des chiffrés a' et b' , sans déchiffrer ni a' ni b' On connait déjà des systèmes de chiffrement homomorphes, mais ils ne sont que partiels, ne permettant de faire qu'un seul type d'opération : soit des additions, soit des multiplications : un système de chiffrement « complètement homomorphe », comme celui proposé par Gentry, permet lui de faire les deux

Application du chiffrement homomorphe
Une application du chiffrement homomorphe pour l'addition est le vote électronique : chaque vote est chiffré mais seule la « somme » est déchiffrée Avec un chiffrement « complètement homomorphe », on pourrait faire bien plus, comme appliquer un filtre anti-spam (ou faire de la recherche par mot clé) sur des courriers électroniques chiffrés Plus généralement, on pourrait sous-traiter des calculs à des machines distantes – d’où l’intérêt majeur pour ce qui concerne le Cloud Computing – sur des données confidentielles

Ce problème reste hélas insoluble
La dernière découverte de Gentry d’IBM est malheureusement inutilisable : Gentry’s scheme is completely impractical. It uses something called an ideal lattice as the basis for the encryption scheme, and both the size of the ciphertext and the complexity of the encryption and decryption operations grow enormously with the number of operations you need to perform on the ciphertext -- and that number needs to be fixed in advance. And converting a computer program, even a simple one, into a Boolean circuit requires an enormous number of operations. These aren't impracticalities that can be solved with some clever optimization techniques and a few turns of Moore's Law; this is an inherent limitation in the algorithm. In one article, Gentry estimates that performing a Google search with encrypted keywords -- a perfectly reasonable simple application of this algorithm -- would increase the amount of computing time by about a trillion. Moore’s law calculates that it would be 40 years before that homomorphic search would be as efficient as a search today, and I think he’s being optimistic with even this most simple of examples. Source:

Références Berkeley : http://berkeleyclouds.blogspot.com/
NIST : ENISA : Cloud Security Alliance JERICHO Forum Shared Assessments

Références

Les avantages généraux en termes de sécurité
Faire passer des données publiques ou non sensibles vers un Cloud externe réduit l’exposition des données internes sensibles L’homogénéité du Cloud simplifie l’audit et les tests de sécurité Les Clouds permettent une gestion automatisée de la sécurité Redondance / Récupération en cas de désastre

Les défis généraux en termes de sécurité
Le modèle de sécurité du fournisseur à qui on fait confiance L’incapacité potentielle du client final à répondre à des conclusions d’audit Les difficultés pour obtenir le support à des fins d’investigation La responsabilité indirecte de l’administrateur Les implémentations qui ne peuvent être examinées La perte de contrôle physique

Un modèle de référence du Cloud
Gouvernance Votre Application Tests, Surveillance, Diagnostics et Vérification Vues architecturales Votre Problème Cycle de vie (Naissance, Croissance, Défaillance, Récupération, Mort) Métadonnées Catégories, Capacités, Configuration et Dépendances Le problème du fournisseur Infrastructure et Logistique Gestion d’éléments (Responsabilité partagée) Gestion de ressource Surveillance de base Infrastructure Software et Hardware

Software as a Service Application Serveur d’application Middleware
Base de données Système d’exploitation Hyperviseur CPU Réseau Stockage VOS DONNEES Sauvegarde Datacenter (énergie, refroidissement, sécurité physique) Votre Problème Leur Problème

Platform as a Service Votre Application Serveur d’application
Middleware Base de données Système d’exploitation Hyperviseur CPU Réseau Stockage Sauvegarde Datacenter (énergie, refroidissement, sécurité physique) Votre problème Leur problème

Votre Serveur d’application Votre système d’exploitation
Infrastructure as a Service Votre Application Votre Serveur d’application Votre Middleware Votre Base de données Votre système d’exploitation Hyperviseur CPU Réseau Stockage Sauvegarde Datacenter (énergie, refroidissement, sécurité physique) Votre problème Leur problème

Avantages sécurité du Cloud (1/2)
Fragmentation et dispersion des données Equipe sécurité dédiée Plus gros investissement dans l’infrastructure de sécurité Tolérance à la panne et fiabilité Meilleure résilience Protection de l’hyperviseur contre les attaques réseau Réduction possible des activités de certification et d’accréditation (accès à des Cloud pré-accrédités)

Avantages sécurité du Cloud (2/2)
Simplification de l’analyse de conformité Données détenues par un tiers Solutions bas coût pour la récupération en cas de désastre et le stockage des données Contrôle sécurité à la demande Détection en temps réel des tentatives de violation de système Reprise rapide des services en cas de problème Possibilité avancées de « pot de miel »

Défis sécurité du Cloud (1/2)
Dispersion des données et lois internationales relatives au respect de la vie privée Directive Européenne de protection des données et programme U.S. Safe Harbor Exposition des données aux gouvernements étrangers ; obéissance à une ordonnance du tribunal, citation et mandat de perquisition Problèmes de rétention des données Besoin de gestion de l’isolation Multi-location Défis de la journalisation Problèmes de propriété de données Garanties de qualité de service

Défis sécurité du Cloud (2/2)
Dépendance d’hyperviseurs sécurisés Attraction des hackers (cible intéressante) Sécurité des OS virtuels dans le Cloud Possibilité d’interruptions massives de service Besoins de chiffrement pour la sécurité dans le Cloud Chiffrement de l’accès à l’interface de contrôle d’accès aux ressources du Cloud Chiffrement des accès administratifs aux instances d’OS Chiffrement de l’accès aux applications Chiffrement des données stockées des applications Sécurité Public Cloud versus sécurité Internal Cloud Manque de dispositif public de contrôle de version des versions du SaaS

MSDN et TechNet : l’essentiel des ressources techniques à portée de clic
Portail administration et infrastructure pour informaticiens Portail de ressources technique pour développeurs

Pour plus d’informations
Vous avez une question technique ? Vous avez un projet et souhaitez échanger sur place avec des experts techniques ? Vous souhaitez aller plus loin sur le sujet et participer à une session sur une thématique de votre choix au Campus de Microsoft France suite à l’événement ? Rendez-vous au Pôle Information & Projets Lounge des Décideurs Informatique (salle 252B)

Cloud Computing et sécurité : menace ou opportunité ?

Présentations similaires

Présentation au sujet: "Cloud Computing et sécurité : menace ou opportunité ?"— Transcription de la présentation:

Présentations similaires

Notre projet

Feed-back

Entrer

S'autoriser via un réseau social:

Cloud Computing et sécurité : menace ou opportunité ?

Présentations similaires

Présentation au sujet: "Cloud Computing et sécurité : menace ou opportunité ?"— Transcription de la présentation:

Présentations similaires

Notre projet

Feed-back