cloud computing security
DESCRIPTION
In the Cloud Era, how can entreprises mitigate cloud security challengesTRANSCRIPT
Cloud Computing et les Nouveaux Défis Sécuritaires
Ing. Dir Mohamed Wassel Belhadj CISSP, Enterprise Architect, ICT & Infrastructure Expert
Agenda
Cloud Economics
Cloud Computing Concepts
Les nouveaux Challenges Sécuritaires du Cloud
Les avantages sécuritaires du Cloud
La Démarche sécurisée vers le Cloud
La Culture Cloud
Q&A
Cost of Traditional Data Centers
11.8 million servers in data centers
Servers are used at only 15% of their capacity
800 billion dollars spent yearly on purchasing and maintaining enterprise software
80% of enterprise software expenditure is on installation and maintenance of software
Data centers typically consume up to 100 times more per square foot than a typical office building
Average power consumption per server quadrupled from 2001 to 2006.
Number of servers doubled from 2001 to 2006
3
Energy Conservation and Data
Centers
Standard 9000 square foot costs $21.3 million to build with $1
million in electricity costs/year
Data centers consume 6% worldwide Electricity in 2000 and 1% in
2005
Green technologies can reduce energy costs by 50%
IT produces 2% of global carbon dioxide emissions
“If you move your data centre to a cloud provider, it will cost a
tenth of the cost.” – Brian Gammage, Gartner Fellow
4
Charactéristiques du Cloud
• On-demand self-service
• Ubiquitous network access
• Resource pooling
• Location independence
• Rapid elasticity
• Measured service
Modèles de Services
• Cloud Software as a Service (SaaS)—Use provider’s
applications over a network.
• Cloud Platform as a Service (PaaS)—Deploy customer
created applications to a cloud.
• Cloud Infrastructure as a Service (IaaS)—Rent
processing, storage, network capacity, and other
fundamental computing resources.
Modèles de Déploiement
• Private cloud—Enterprise owned or leased
• Community cloud—Shared infrastructure for specific
community
• Public cloud—Sold to the public, mega-scale
infrastructure
• Hybrid cloud—Composition of two or more clouds
Cloud Architectures Les Ingrédients
Utility
Computing Autonomic
Computing
Grid
Computing SOA
Software /
Apps
Infrastructure
+ Broadband
Cloud Architectures Jericho Cloud Cube
• Point out that not everything is best implemented in
clouds; it may be best to operate some business
functions using a traditional non-cloud approach.
• Explain the different cloud formations that the Jericho
Forum has identified.
• Describe key characteristics, benefits and risks of each
cloud formation.
• Provide a framework for exploring in more detail the
nature of different cloud formations and the issues that
need answering to make them safe and secure places
to work in.
Cloud Architectures Jericho Cloud Cube
The Jericho Cloud Cube Model describes the model for cloud computing as
having four “dimensions”:
• Internal (I)/External (E) — Defines the physical location of the data. If it is
within your own physical boundary then it is Internal, if it is not within your
own physical boundary then it is External.
• Proprietary (P)/Open (O) — Proprietary means that the organization
providing the service is keeping the means of provision under their
ownership.
• Clouds that are Open are using technology that is not proprietary, meaning
that there are likely to be more suppliers.
• Perimeterized (Per)/De-perimeterized (D-p) Architectures — Inside your
traditional IT perimeter or outside it? De-Perimeterization has always
related to the gradual failure/removal/shrinking/collapse of the traditional
silo-based IT perimeter.
• Insourced/Outsourced — Outsourced: the service is provided by a third
party Insourced: the service is provided by your own staff under your
control.
Cloud Architectures Jericho Cloud Cube
Nouveaux Challenges Sécurité
Les Risques Spécifiques du Cloud
Les Risques Spécifiques du Cloud
Protection des données en transit
Sécurité des données sur site
Maintenir la conformité
Assurer la protection des données privées
Disponibilité et restauration des données
Les Challenges Sécuritaires du Cloud Privacy Issues
Cloud Forensics / Incident Response (tools, organisation)
Cloud Sourcing Perimeter: how to select data/process/system to
migrate
Centrally Managing Identity and Access (Federation)
Data Encryption (at-rest, in-flight), Key Management
Knowledge / Architecture / Asset Management including Cloud
Procurement Management all along cloud standardisation (non
proprietary implementation of cloud / Cloud Portability: how to make
sure?)
How to define efficient Roll-Back at no charge
Cloud security issues may drive and define how we adopt and deploy
cloud computing solutions
Les Avantages de la Sécurité dans le
Cloud Les Fournisseur de Cloud peuvent déployer les meilleures solution
sécuritaires du marché et recruter les meilleures ressources et experts.
Les grands fournisseurs de Cloud ont souvent les moyens de détecter
et de se défendre contre des risques et des vulnérabilités d’une
manière plus rapide et plus efficace que de petites institutions
individuelles.
Les infrastructures offertes par les fournisseurs du Cloud permettent
une meilleure résilience et disponibilité du service du à leur scalabilité
et leur modularité (virtualisation) Meilleure défence contre les attack
DOS.
Les entreprises peuvent économiser leur budget de Sécurité ICT en
transférant quelques responsabilités sécuritaires vers le Cloud.
Les entreprises gagnent plus de disponibilité de leurs services à
travers la haute disponibilité dispercée des plateformes Cloud.
Aller vers le Cloud
La Démarche Sécurisée vers le Cloud Etude Financière de la démarche vers le Cloud (TCO,
ROI, Risk Analysis, etc) By-In
Injecter la démarche dans la stratégie entreprise
Disposer d’une méthodologie de Sourcing (avec mesure
des KPIs)
Définir le scope et les métriques (SLA) de la “Cloudisation”
(Jericho Cube)
Définir des critaires de sélection des fournisseurs /
partenaires Cloud
Négocier un Bon Contrat (SLA, KPI, Roll-Back)
Réorganiser les équipes en conséquence (Procurement,
Controle, Architecture, Audit, SMO) COBIT
La Démarche Sécurisée vers le Cloud Diffuser la culture Cloud (risque de Boycotting, sabotage,
désintéressement)
Politiques de Sécurité révisées
Processus (ITIL), Standards , Baselines révisés
Démarche par étapes (POC)
Assurer une démarche d’Architecture et de Knowledge
Management parallèle
Contrôler , Communiquer, Apprécier..
Politique Sécurité du Cloud
Senior Management Statement of
Policy
General Organizational Policies
Functional Policies
Mandatory Standards
Recommended Guidelines
Detailed Procedures
Baselines
La Culture Cloud Client:
Gèrer les SLA et le Procurement Culture SMO
Gérer le Knowledge Management
Sécurité Physique versus Cyber versus Cloud (pas uniquement la sécurité
périmétrique)
Fournisseur:
Cryptage des données sur site ou en transit
Certifications et Audits (ISO 27000, SAS 70, etc)
Rôle des MSSP
Gouvernement / Marché / Règlementations
Modèle qui s’apprête bien au e-Gov
Institution de cadre juridique pour la fourniture et la consommation des services cloud
Institution de cadre juridique d’import/export des services Cloud
Institution de cadre juridique pour l’encryptage des données / Protection des données
à titre privé
Institution de cadre juridique pour le commerce et le payement électronique
Insitation à la consommation des Services Cloud Cost Saving + Green
La Culture Cloud Opérateurs Télécoms:
Certains sont Prêts pour le cloud vu la modularité de leur infrastructure et la
culture Service Delivery et SLA
Jouer le rôle de fournisseur (Service, Bande) / d’intermédiaire de confiance
Enrichir les SVA et augmenter la marge par client tout en proposant des
services sécurisés et certifiés
Banques:
Assurer les moyens de payements sécurisés, modernes, rapides et efficaces
Soutenir la consommation sécurisée des services clouds (Packaging des
services de sécurité pour mitiger le risque)