Cloud et SécuritéSEC2207
Pascal SauliereArchitecteDirection Technique et SécuritéMicrosoft France
Qu’est-ce que le cloud ?
Adoption du Cloud
• Largement associé à la virtualisation de serveurs• Piloté par la DSI• Largement orienté vers les clouds privés IaaS
• Garder le contrôle de l’IT• Maîtriser les données de l’entreprise
• Pas encore stratégique
• SaaS public : messagerie, collaboratif, finance et compta, CRM
• IaaS privé : usines à VM• PME ≠ entreprises
Sécurité dans le cloud : perception• Le frein n°1 à l’adoption du cloud• Perte de contrôle• Mes données sont-elles sûres dans le cloud ?
• Qui aura accès ?• Disponibilité ?• Qu’arrive-t-il en cas de rupture de contrat ?
• Isolation / multi-location• Disponibilité : dépendance du réseau
Sécurité dans le cloud : perception• Conformité
• Audit, contrôles• Journalisation• Données personnelles
• Dispersion et lois internationales• Où sont stockées mes données ?• Problèmes de juridiction• Comment sont gérées les réquisitions ?• Quid des données personnelles ?
• Propriété des données
Sécurité dans le cloud : perception
the cloud
Sécurité dans le cloud : avantages•Placer les données publiques dans le
cloud réduit l’exposition des données internes sensibles
•L’homogénéité du cloud (peut) rend(re) l’audit et les tests plus simples
•Le cloud (peut) permet(tre) d’automatiser la gestion de la sécurité
•Disponibilité : redondance et récupération après désastre
Quoi de nouveau ?
InventaireClassification
Mesures Analysedes risques
Confidentialité
Intégrité Disponibilité
Processus
Personnes Technologies
Quoi de nouveau ?
Défense enprofondeur
Surfaced’attaque
Moindreprivilège
ExempleMicrosoft Global Foundation Services (GFS)Gestion de la sécurité
http://www.globalfoundationservices.com/security/
ExempleMicrosoft Global Foundation Services (GFS)Plan de gestion des risques
http://www.globalfoundationservices.com/security/
http:
//w
ww
.clo
udse
curit
yalli
ance
.org
/gui
danc
e.ht
ml
Défense en profondeur
Données
Applications
Machine Virtuelle
Serveur
Stockage
Réseau
Informatique interne
Données
Applications
Machine Virtuelle
Serveur
Stockage
Réseau
Hébergeur
Données
Applications
Machine Virtuelle
Serveur
Stockage
Réseau
IaaS public
Données
Applications
Machine Virtuelle
Serveur
Stockage
Réseau
PaaS public
Données
Applications
Machine Virtuelle
Serveur
Stockage
Réseau
SaaS public
L’entreprise a le contrôle
Partage du contrôle avec le fournisseur
Le fournisseur de cloud a le contrôle
Qui contrôle quoi ?
Burton Group : Cloud Computing Security in the Enterprise – Jul. 2009
Une documentation abondante
Les 13 domaines d’intérêt selon la CSAwww.cloudsecurityalliance.orgI. Architecture
1. Cadre d’architecture du cloud Computing
II. Gouvernance2. Gouvernance et gestion des risques3. Aspects juridiques liées aux données4. Conformité et audit5. Cycle de vie de l’information6. Portabilité et interopérabilité
http://www.cloudsecurityalliance.org/guidance.html
Les 13 domaines d’intérêt selon la CSAwww.cloudsecurityalliance.orgIII.Opérations
7. Sécurité, continuité, reprise d’activité8. Opérations du datacenter9. Gestion des incidents, notifications,
remédiation10. Sécurité applicative11. Chiffrement et gestion des clés12. Gestion des identités et accès13. Virtualisation
http://www.cloudsecurityalliance.org/guidance.html
Principales menaces selon CSA/HPwww.cloudsecurityalliance.org1.Abus et utilisation malveillante du cloud
computing2. Interfaces et API non sécurisés3.Malveillances internes4.Problèmes dus au partage de technologie5.Perte ou fuite de données6.Détournement de compte ou de service7.Profil de risque inconnu
http://www.cloudsecurityalliance.org/topthreats.html
ENISA: Cloud Computing Risk AssessmentEuropean Network and Information Security AgencyNovembre 200935 risques identifiés4 catégories :1. Risques politiques et
organisationnels2. Risques techniques3. Risques juridiques4. Risques non spécifiques au cloud
http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment
ENISA : classification des risques
ENISA : exemple de risque
Risques les plus élevés selon l’ENISA1.Enfermement dans une solution2.Perte de gouvernance, de contrôle – impossibilité
de se conformer à des exigences de sécurité3.Défis de la conformité4.Échec de l’isolation (multi-location)5.Ordonnance de tribunal, citation, mandat de
perquisition, saisie par le gouvernement local6.Changement de juridictions (manque de
transparence)7.Protection des données8.Réseau (congestion, utilisation non optimale…)
http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment
Quelques point techniques
• PaaS, SaaS : chiffrement• des accès• des données• gestion des clés
• PaaS, SaaS : gestion des identités et des accès
• PaaS, SaaS : sécurité applicative• IaaS : automatisation, conformité et mises à
jour
PaaS et SaaS publicGestion des identités et des accès
Gestion des identités et contrôle d’accès
Technologies disponibles pour Windows Azure :• WIF (Windows Identity Foundation)
• API .NET• AD FS (Active Directory Federation Services) 2.0
• Fédération et SSO, WS-Trust, WS-Federation, SAML 2.0
• AC (Windows Azure AppFabric Access Control service)• Autorisations par règles, basées sur des claims,
pour applications web et web services REST et SOAP
• Supporte AD FS 2.0, Live ID, Facebook, Google, Yahoo!
• WS-TRUST et WS-Federation• Intégré avec WIF
Exemple : SaaS
Cadre de confiance
App/Services Web
Clients Entreprise
AD FS 2.0
Fournisseur d’identité"Petits structures"
Client "Petits structures"
1
2
3
1
2
Yahoo!GoogleLive IDFacebook …
IaaS privéLe besoin d’automatisation
Infrastructure as a Service
VIRTUALISATIONINFRASTRUCTURE AS A SERVICE
AUTOMATISATION
FORTECATALOGUE
DE SERVICES
CAPACITE A MONTER EN
CHARGE ET ELASTICITE
Libre service Accès réseau Élasticité, « scale out »
Mise en commun des ressources
Facturation à la demande
INFRASTRUCTURE ACTUELLE INFRASTRUCTURE AS A SERVICE
INFRASTRUCTURE as a Service
Efficacité
Physique
Utilisation faible
Ratio serveurs / personnel faible
Peu ou pas d’automatisation
Déploiement statiquepour les pics de charge
Évolution difficile vers PaaSet cloud public
Physique et virtuel
Utilisation moyenne à forte
Ratio serveurs / personnel élevé
Hautement automatisé
Déploiement dynamique
Évolutif vers PaaSet cloud public
Produits Microsoft pourl’Infrastructure as a Service
ADMINISTRATION
IDENTITÉ
VIRTUALISATION
LIBRE-SERVICE
Architecture IaaS haut de gamme
Conclusion
• Il y a des avantages• Risques juridiques• Importance des contrats• Importance du cadre de gestion de la sécurité• Risques techniques classiques• Domaine jeune en pleine évolution• Surveiller la littérature (CSA, NIST, ENISA,
fournisseurs de cloud)
• Ne pas négliger les utilisateurs et le poste client