Cloud et Sécurité SEC2207 Pascal Sauliere Architecte Direction Technique et Sécurité Microsoft France

Qu’est-ce que le cloud ?

Adoption du Cloud Largement associé à la virtualisation de serveurs Piloté par la DSI Largement orienté vers les clouds privés IaaS Garder le contrôle de l’IT Maîtriser les données de l’entreprise Pas encore stratégique SaaS public : messagerie, collaboratif, finance et compta, CRM IaaS privé : usines à VM PME ≠ entreprises

Sécurité dans le cloud : perception Le frein n°1 à l’adoption du cloud Perte de contrôle Mes données sont-elles sûres dans le cloud ? Qui aura accès ? Disponibilité ? Qu’arrive-t-il en cas de rupture de contrat ? Isolation / multi-location Disponibilité : dépendance du réseau

Sécurité dans le cloud : perception Conformité Audit, contrôles Journalisation Données personnelles Dispersion et lois internationales Où sont stockées mes données ? Problèmes de juridiction Comment sont gérées les réquisitions ? Quid des données personnelles ? Propriété des données

Sécurité dans le cloud : perception the cloud

Sécurité dans le cloud : avantages Placer les données publiques dans le cloud réduit l’exposition des données internes sensibles L’homogénéité du cloud (peut) rend(re) l’audit et les tests plus simples Le cloud (peut) permet(tre) d’automatiser la gestion de la sécurité Disponibilité : redondance et récupération après désastre

Inventaire Classification Quoi de nouveau ? Inventaire Classification Mesures Analyse des risques

Quoi de nouveau ? Confidentialité Processus Intégrité Disponibilité Personnes Technologies Défense en profondeur Surface d’attaque Moindre privilège

Exemple Microsoft Global Foundation Services (GFS) Gestion de la sécurité http://www.globalfoundationservices.com/security/

Exemple Microsoft Global Foundation Services (GFS) Plan de gestion des risques http://www.globalfoundationservices.com/security/

Défense en profondeur http://www.cloudsecurityalliance.org/guidance.html

Qui contrôle quoi ? Informatique interne Hébergeur IaaS public L’entreprise a le contrôle Partage du contrôle avec le fournisseur Le fournisseur de cloud a le contrôle Informatique interne Hébergeur IaaS public PaaS public SaaS public Données Données Données Données Données Applications Applications Applications Applications Applications Machine Virtuelle Machine Virtuelle Machine Virtuelle Machine Virtuelle Machine Virtuelle Serveur Serveur Serveur Serveur Serveur Stockage Stockage Stockage Stockage Stockage Réseau Réseau Réseau Réseau Réseau Burton Group : Cloud Computing Security in the Enterprise – Jul. 2009

Une documentation abondante

Les 13 domaines d’intérêt selon la CSA www.cloudsecurityalliance.org Architecture Cadre d’architecture du cloud Computing Gouvernance Gouvernance et gestion des risques Aspects juridiques liées aux données Conformité et audit Cycle de vie de l’information Portabilité et interopérabilité http://www.cloudsecurityalliance.org/guidance.html

Les 13 domaines d’intérêt selon la CSA www.cloudsecurityalliance.org Opérations Sécurité, continuité, reprise d’activité Opérations du datacenter Gestion des incidents, notifications, remédiation Sécurité applicative Chiffrement et gestion des clés Gestion des identités et accès Virtualisation http://www.cloudsecurityalliance.org/guidance.html

Principales menaces selon CSA/HP www.cloudsecurityalliance.org Abus et utilisation malveillante du cloud computing Interfaces et API non sécurisés Malveillances internes Problèmes dus au partage de technologie Perte ou fuite de données Détournement de compte ou de service Profil de risque inconnu http://www.cloudsecurityalliance.org/topthreats.html

Risques politiques et organisationnels Risques techniques ENISA: Cloud Computing Risk Assessment European Network and Information Security Agency Novembre 2009 35 risques identifiés 4 catégories : Risques politiques et organisationnels Risques techniques Risques juridiques Risques non spécifiques au cloud http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment

ENISA : classification des risques

ENISA : exemple de risque

Risques les plus élevés selon l’ENISA Enfermement dans une solution Perte de gouvernance, de contrôle – impossibilité de se conformer à des exigences de sécurité Défis de la conformité Échec de l’isolation (multi-location) Ordonnance de tribunal, citation, mandat de perquisition, saisie par le gouvernement local Changement de juridictions (manque de transparence) Protection des données Réseau (congestion, utilisation non optimale…) http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment

ENISA : clouds gouvernementaux Security and Resilience in Governmental Clouds (janvier 2011) http://www.enisa.europa.eu/act/rm/emerging-and-future-risk/deliverables/security-and-resilience-in-governmental-clouds/

Quelques point techniques PaaS, SaaS : chiffrement des accès des données gestion des clés PaaS, SaaS : gestion des identités et des accès PaaS, SaaS : sécurité applicative IaaS : automatisation, conformité et mises à jour

PaaS et SaaS public Gestion des identités et des accès

Gestion des identités et contrôle d’accès Technologies disponibles pour Windows Azure : WIF (Windows Identity Foundation) API .NET AD FS (Active Directory Federation Services) 2.0 Fédération et SSO, WS-Trust, WS-Federation, SAML 2.0 AC (Windows Azure AppFabric Access Control service) Autorisations par règles, basées sur des claims, pour applications web et web services REST et SOAP Supporte AD FS 2.0, Live ID, Facebook, Google, Yahoo! WS-TRUST et WS-Federation Intégré avec WIF

Exemple : SaaS Yahoo! Google Live ID Facebook … 1 2 AD FS 2.0 3 Fournisseur d’identité "Petits structures" 1 2 3 AD FS 2.0 Client "Petits structures" Cadre de confiance 1 2 App/Services Web Clients Entreprise

IaaS privé Le besoin d’automatisation

Infrastructure as a Service AUTOMATISATION FORTE CAPACITE A MONTER EN CHARGE ET ELASTICITE CATALOGUE DE SERVICES INFRASTRUCTURE AS A SERVICE VIRTUALISATION Libre service Accès réseau Élasticité, « scale out » Mise en commun des ressources Facturation à la demande

INFRASTRUCTURE as a Service INFRASTRUCTURE ACTUELLE INFRASTRUCTURE AS A SERVICE Utilisation faible Utilisation moyenne à forte Peu ou pas d’automatisation Hautement automatisé Ratio serveurs / personnel faible Ratio serveurs / personnel élevé Déploiement statique pour les pics de charge Déploiement dynamique Physique Physique et virtuel Évolution difficile vers PaaS et cloud public Évolutif vers PaaS et cloud public Efficacité

Produits Microsoft pour l’Infrastructure as a Service LIBRE-SERVICE ADMINISTRATION VIRTUALISATION IDENTITé

Architecture IaaS haut de gamme

Conclusion Il y a des avantages Risques juridiques Importance des contrats Importance du cadre de gestion de la sécurité Risques techniques classiques Domaine jeune en pleine évolution Surveiller la littérature (CSA, NIST, ENISA, fournisseurs de cloud) Ne pas négliger les utilisateurs et le poste client

MSDN et TechNet : l’essentiel des ressources techniques à portée de clic Portail administration et infrastructure pour informaticiens Portail de ressources technique pour développeurs http://technet.com http://msdn.com