La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Cloud et Sécurité SEC2207 Pascal Sauliere Architecte

Présentations similaires


Présentation au sujet: "Cloud et Sécurité SEC2207 Pascal Sauliere Architecte"— Transcription de la présentation:

1

2 Cloud et Sécurité SEC2207 Pascal Sauliere Architecte
Direction Technique et Sécurité Microsoft France

3 Qu’est-ce que le cloud ?

4 Adoption du Cloud Largement associé à la virtualisation de serveurs
Piloté par la DSI Largement orienté vers les clouds privés IaaS Garder le contrôle de l’IT Maîtriser les données de l’entreprise Pas encore stratégique SaaS public : messagerie, collaboratif, finance et compta, CRM IaaS privé : usines à VM PME ≠ entreprises

5 Sécurité dans le cloud : perception
Le frein n°1 à l’adoption du cloud Perte de contrôle Mes données sont-elles sûres dans le cloud ? Qui aura accès ? Disponibilité ? Qu’arrive-t-il en cas de rupture de contrat ? Isolation / multi-location Disponibilité : dépendance du réseau

6 Sécurité dans le cloud : perception
Conformité Audit, contrôles Journalisation Données personnelles Dispersion et lois internationales Où sont stockées mes données ? Problèmes de juridiction Comment sont gérées les réquisitions ? Quid des données personnelles ? Propriété des données

7 Sécurité dans le cloud : perception
the cloud

8 Sécurité dans le cloud : avantages
Placer les données publiques dans le cloud réduit l’exposition des données internes sensibles L’homogénéité du cloud (peut) rend(re) l’audit et les tests plus simples Le cloud (peut) permet(tre) d’automatiser la gestion de la sécurité Disponibilité : redondance et récupération après désastre

9 Inventaire Classification
Quoi de nouveau ? Inventaire Classification Mesures Analyse des risques

10 Quoi de nouveau ? Confidentialité Processus Intégrité Disponibilité
Personnes Technologies Défense en profondeur Surface d’attaque Moindre privilège

11 Exemple Microsoft Global Foundation Services (GFS) Gestion de la sécurité

12 Exemple Microsoft Global Foundation Services (GFS) Plan de gestion des risques

13 Défense en profondeur

14 Qui contrôle quoi ? Informatique interne Hébergeur IaaS public
L’entreprise a le contrôle Partage du contrôle avec le fournisseur Le fournisseur de cloud a le contrôle Informatique interne Hébergeur IaaS public PaaS public SaaS public Données Données Données Données Données Applications Applications Applications Applications Applications Machine Virtuelle Machine Virtuelle Machine Virtuelle Machine Virtuelle Machine Virtuelle Serveur Serveur Serveur Serveur Serveur Stockage Stockage Stockage Stockage Stockage Réseau Réseau Réseau Réseau Réseau Burton Group : Cloud Computing Security in the Enterprise – Jul. 2009

15 Une documentation abondante

16 Les 13 domaines d’intérêt selon la CSA www.cloudsecurityalliance.org
Architecture Cadre d’architecture du cloud Computing Gouvernance Gouvernance et gestion des risques Aspects juridiques liées aux données Conformité et audit Cycle de vie de l’information Portabilité et interopérabilité

17 Les 13 domaines d’intérêt selon la CSA www.cloudsecurityalliance.org
Opérations Sécurité, continuité, reprise d’activité Opérations du datacenter Gestion des incidents, notifications, remédiation Sécurité applicative Chiffrement et gestion des clés Gestion des identités et accès Virtualisation

18 Principales menaces selon CSA/HP www.cloudsecurityalliance.org
Abus et utilisation malveillante du cloud computing Interfaces et API non sécurisés Malveillances internes Problèmes dus au partage de technologie Perte ou fuite de données Détournement de compte ou de service Profil de risque inconnu

19 Risques politiques et organisationnels Risques techniques
ENISA: Cloud Computing Risk Assessment European Network and Information Security Agency Novembre 2009 35 risques identifiés 4 catégories : Risques politiques et organisationnels Risques techniques Risques juridiques Risques non spécifiques au cloud

20 ENISA : classification des risques

21 ENISA : exemple de risque

22 Risques les plus élevés selon l’ENISA
Enfermement dans une solution Perte de gouvernance, de contrôle – impossibilité de se conformer à des exigences de sécurité Défis de la conformité Échec de l’isolation (multi-location) Ordonnance de tribunal, citation, mandat de perquisition, saisie par le gouvernement local Changement de juridictions (manque de transparence) Protection des données Réseau (congestion, utilisation non optimale…)

23 ENISA : clouds gouvernementaux Security and Resilience in Governmental Clouds (janvier 2011)

24 Quelques point techniques
PaaS, SaaS : chiffrement des accès des données gestion des clés PaaS, SaaS : gestion des identités et des accès PaaS, SaaS : sécurité applicative IaaS : automatisation, conformité et mises à jour

25 PaaS et SaaS public Gestion des identités et des accès

26 Gestion des identités et contrôle d’accès
Technologies disponibles pour Windows Azure : WIF (Windows Identity Foundation) API .NET AD FS (Active Directory Federation Services) 2.0 Fédération et SSO, WS-Trust, WS-Federation, SAML 2.0 AC (Windows Azure AppFabric Access Control service) Autorisations par règles, basées sur des claims, pour applications web et web services REST et SOAP Supporte AD FS 2.0, Live ID, Facebook, Google, Yahoo! WS-TRUST et WS-Federation Intégré avec WIF

27 Exemple : SaaS Yahoo! Google Live ID Facebook … 1 2 AD FS 2.0 3
Fournisseur d’identité "Petits structures" 1 2 3 AD FS 2.0 Client "Petits structures" Cadre de confiance 1 2 App/Services Web Clients Entreprise

28 IaaS privé Le besoin d’automatisation

29 Infrastructure as a Service
AUTOMATISATION FORTE CAPACITE A MONTER EN CHARGE ET ELASTICITE CATALOGUE DE SERVICES INFRASTRUCTURE AS A SERVICE VIRTUALISATION Libre service Accès réseau Élasticité, « scale out » Mise en commun des ressources Facturation à la demande

30 INFRASTRUCTURE as a Service
INFRASTRUCTURE ACTUELLE INFRASTRUCTURE AS A SERVICE Utilisation faible Utilisation moyenne à forte Peu ou pas d’automatisation Hautement automatisé Ratio serveurs / personnel faible Ratio serveurs / personnel élevé Déploiement statique pour les pics de charge Déploiement dynamique Physique Physique et virtuel Évolution difficile vers PaaS et cloud public Évolutif vers PaaS et cloud public Efficacité

31 Produits Microsoft pour l’Infrastructure as a Service
LIBRE-SERVICE ADMINISTRATION VIRTUALISATION IDENTITé

32 Architecture IaaS haut de gamme

33 Conclusion Il y a des avantages Risques juridiques
Importance des contrats Importance du cadre de gestion de la sécurité Risques techniques classiques Domaine jeune en pleine évolution Surveiller la littérature (CSA, NIST, ENISA, fournisseurs de cloud) Ne pas négliger les utilisateurs et le poste client

34 MSDN et TechNet : l’essentiel des ressources techniques à portée de clic
Portail administration et infrastructure pour informaticiens Portail de ressources technique pour développeurs

35


Télécharger ppt "Cloud et Sécurité SEC2207 Pascal Sauliere Architecte"

Présentations similaires


Annonces Google