La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Cloud et Sécurité SEC2207 Pascal Sauliere Architecte Direction Technique et Sécurité Microsoft France.

Présentations similaires


Présentation au sujet: "Cloud et Sécurité SEC2207 Pascal Sauliere Architecte Direction Technique et Sécurité Microsoft France."— Transcription de la présentation:

1

2 Cloud et Sécurité SEC2207 Pascal Sauliere Architecte Direction Technique et Sécurité Microsoft France

3 Qu’est-ce que le cloud ?

4 Adoption du Cloud • Largement associé à la virtualisation de serveurs • Piloté par la DSI • Largement orienté vers les clouds privés IaaS • Garder le contrôle de l’IT • Maîtriser les données de l’entreprise • Pas encore stratégique • SaaS public : messagerie, collaboratif, finance et compta, CRM • IaaS privé : usines à VM • PME ≠ entreprises

5 Sécurité dans le cloud : perception • Le frein n°1 à l’adoption du cloud • Perte de contrôle • Mes données sont-elles sûres dans le cloud ? • Qui aura accès ? • Disponibilité ? • Qu’arrive-t-il en cas de rupture de contrat ? • Isolation / multi-location • Disponibilité : dépendance du réseau

6 Sécurité dans le cloud : perception • Conformité • Audit, contrôles • Journalisation • Données personnelles • Dispersion et lois internationales • Où sont stockées mes données ? • Problèmes de juridiction • Comment sont gérées les réquisitions ? • Quid des données personnelles ? • Propriété des données

7 Sécurité dans le cloud : perception the cloud

8 Sécurité dans le cloud : avantages • Placer les données publiques dans le cloud réduit l’exposition des données internes sensibles • L’homogénéité du cloud (peut) rend(re) l’audit et les tests plus simples • Le cloud (peut) permet(tre) d’automatiser la gestion de la sécurité • Disponibilité : redondance et récupération après désastre

9 Quoi de nouveau ? Inventaire Classification Mesures Analyse des risques

10 Confidentialité Intégrité Disponibilité Processus Personnes Technologies Quoi de nouveau ? Défense en profondeur Surface d’attaque Moindre privilège

11 Exemple Microsoft Global Foundation Services (GFS) Gestion de la sécurité

12 Exemple Microsoft Global Foundation Services (GFS) Plan de gestion des risques

13 Défense en profondeur

14 Données Applications Machine Virtuelle Serveur Stockage Réseau Informatique interne Données Applications Machine Virtuelle Serveur Stockage Réseau Hébergeur Données Applications Machine Virtuelle Serveur Stockage Réseau IaaS public Données Applications Machine Virtuelle Serveur Stockage Réseau PaaS public Données Applications Machine Virtuelle Serveur Stockage Réseau SaaS public L’entreprise a le contrôle Partage du contrôle avec le fournisseur Le fournisseur de cloud a le contrôle Qui contrôle quoi ? Burton Group : Cloud Computing Security in the Enterprise – Jul. 2009

15 Une documentation abondante

16 Les 13 domaines d’intérêt selon la CSA I. Architecture 1. Cadre d’architecture du cloud Computing II. Gouvernance 2. Gouvernance et gestion des risques 3. Aspects juridiques liées aux données 4. Conformité et audit 5. Cycle de vie de l’information 6. Portabilité et interopérabilité

17 Les 13 domaines d’intérêt selon la CSA III. Opérations 7. Sécurité, continuité, reprise d’activité 8. Opérations du datacenter 9. Gestion des incidents, notifications, remédiation 10. Sécurité applicative 11. Chiffrement et gestion des clés 12. Gestion des identités et accès 13. Virtualisation

18 Principales menaces selon CSA/HP 1. Abus et utilisation malveillante du cloud computing 2. Interfaces et API non sécurisés 3. Malveillances internes 4. Problèmes dus au partage de technologie 5. Perte ou fuite de données 6. Détournement de compte ou de service 7. Profil de risque inconnu

19 ENISA: Cloud Computing Risk Assessment European Network and Information Security Agency Novembre risques identifiés 4 catégories : 1. Risques politiques et organisationnels 2. Risques techniques 3. Risques juridiques 4. Risques non spécifiques au cloud

20 ENISA : classification des risques

21 ENISA : exemple de risque

22 Risques les plus élevés selon l’ENISA 1. Enfermement dans une solution 2. Perte de gouvernance, de contrôle – impossibilité de se conformer à des exigences de sécurité 3. Défis de la conformité 4. Échec de l’isolation (multi-location) 5. Ordonnance de tribunal, citation, mandat de perquisition, saisie par le gouvernement local 6. Changement de juridictions (manque de transparence) 7. Protection des données 8. Réseau (congestion, utilisation non optimale…)

23 ENISA : clouds gouvernementaux Security and Resilience in Governmental Clouds (janvier 2011) resilience-in-governmental-clouds/

24 Quelques point techniques • PaaS, SaaS : chiffrement • des accès • des données • gestion des clés • PaaS, SaaS : gestion des identités et des accès • PaaS, SaaS : sécurité applicative • IaaS : automatisation, conformité et mises à jour

25 PaaS et SaaS public Gestion des identités et des accès

26 Gestion des identités et contrôle d’accès Technologies disponibles pour Windows Azure : • WIF (Windows Identity Foundation) • API.NET • AD FS (Active Directory Federation Services) 2.0 • Fédération et SSO, WS-Trust, WS-Federation, SAML 2.0 • AC (Windows Azure AppFabric Access Control service) • Autorisations par règles, basées sur des claims, pour applications web et web services REST et SOAP • Supporte AD FS 2.0, Live ID, Facebook, Google, Yahoo! • WS-TRUST et WS-Federation • Intégré avec WIF

27 Exemple : SaaS Cadre de confiance App/Services Web Clients Entreprise AD FS 2.0 Fournisseur d’identité "Petits structures" Client "Petits structures" Yahoo! Google Live ID Facebook …

28 IaaS privé Le besoin d’automatisation

29 Infrastructure as a Service VIRTUALISATION INFRASTRUCTURE AS A SERVICE Libre serviceAccès réseau Élasticité, « scale out » Mise en commun des ressources Facturation à la demande

30 INFRASTRUCTURE ACTUELLEINFRASTRUCTURE AS A SERVICE INFRASTRUCTURE as a Service Efficacité Physique Utilisation faible Ratio serveurs / personnel faible Peu ou pas d’automatisation Déploiement statique pour les pics de charge Évolution difficile vers PaaS et cloud public Physique et virtuel Utilisation moyenne à forte Ratio serveurs / personnel élevé Hautement automatisé Déploiement dynamique Évolutif vers PaaS et cloud public

31 Produits Microsoft pour l’Infrastructure as a Service ADMINISTRATION IDENTITÉ VIRTUALISATIONLIBRE-SERVICE

32 Architecture IaaS haut de gamme

33 Conclusion • Il y a des avantages • Risques juridiques • Importance des contrats • Importance du cadre de gestion de la sécurité • Risques techniques classiques • Domaine jeune en pleine évolution • Surveiller la littérature (CSA, NIST, ENISA, fournisseurs de cloud) • Ne pas négliger les utilisateurs et le poste client

34 MSDN et TechNet : l’essentiel des ressources techniques à portée de clic Portail administration et infrastructure pour informaticiens Portail de ressources technique pour développeurs

35


Télécharger ppt "Cloud et Sécurité SEC2207 Pascal Sauliere Architecte Direction Technique et Sécurité Microsoft France."

Présentations similaires


Annonces Google