clusif cloud-2010-datacenter
DESCRIPTION
TRANSCRIPT
Cycle de conférences sur
Cloud Computing et Virtualisation
Le “Cloud” et la sécurité
Stéphane Duproz
Directeur Général, TelecityGroup
214/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Le “Cloud” et la Sécurité
CLUSIF >
Le « Cloud » a déjà décollé
Source: http://blog.rightscale.com/
314/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Le “Cloud” et la Sécurité
CLUSIF >
Mais de quoi s’agit-il exactement ?« Il est intéressant d’observer que le Cloud Computing a été redéfini de manière à y inclure tout ce qui se fait d’ores et déjà. Je ne vois rien qui ne relève pas du Cloud Computing dans toutes les annonces actuelles. L’industrie informatique est la seule à être plus soumise à la mode que la mode féminine elle-même…« …je ne comprends pas ce que faisons différemment à la lumière du Cloud, à part changer les mots utilisés dans nos annonces publicitaires. »
- Larry Ellison, CEO, Oracle
« Beaucoup de gens sautent dans le train du Cloud, mais je n’ai pas entendu deux personnes dire la même chose sur ce su jet……Il existe de multiples définitions de ce qu’est le Cloud. »
- Andy Isherwood, VP en charge des service logiciels pour l’Europe, HP
414/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Le “Cloud” et la Sécurité
CLUSIF >
Evolution
L’histoire du Cloud Computing est
plutôt simple2010
“Services de Cloud”2000
“Services d’hébergement”
Plate-forme partagée, virtualiséeProcesseur multi-core
Paiement à l’usageMulti-utilisateurs
Machine dédiéeProcesseur single-corePaiement à l’application
Généralement mono-utilisateur
Fournisseur de services applicatifs
Hébergement administré(Managed Hosting)
Hébergement partagéet dédié
Logiciel en tant que service(Software-as-a-Service - SaaS)SalesForce, Microsoft Hotmail, NetSuite, Google Docs
Plate-forme en tant que service(Platform-as-a-Service - PaaS)Google AppEngine, RackSpace, Microsoft Azure
Infrastructure en tant que service (Infrastructure-as-a-Service - Iaas)Amazon EC2
Aug
men
tatio
n de
val
eur
514/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Le “Cloud” et la Sécurité
CLUSIF >
S3 EC2
Même l’interprétation la plus simple reste complexe : les 3 couches du Cloud
Selon qui consomme les services de Cloud Computing, le concept incorpore des combinaisons variables des trois modèles de services suivants :
Services & plates-formes pour développer de nouvelles applications (via de nouvelles API)
Logiciel en tant que service
Plate-forme en tant que service
Infrastructure en tant que service
Tissu de data centers StockageRéseauServeurs
Éléments partagés, virtualisés – Adaptation dynamique aux besoins
Collaboration CRM etc.
Facturation Sécurité Bases de donnéesMiddleware
614/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Le “Cloud” et la Sécurité
CLUSIF >
• Public : services fournis par l’extérieur, via un WAN ou Internet• Privé : à l’intérieur du firewall de l’entreprise • Hybride : combinaison d’applications fournies par les plates-formes et
l’infrastructure propres de l’entreprise, complétée par les offres de prestataires extérieurs pour certains usages ou applications
De même que les modèles de distribution
Niveau de partage
Public :partagé avec
d’autres entreprises
Privé virtuel :partagé mais fiable
Privé :sur site
Clouds privésInfrastructure virtualisée :
interne
Concepts ASP Plates-formes d’applications métiers
Oracle Fusion Middleware, IBM WebSphere
Sur sitePackaged apps:
SAP Business Suite
Infrastructure de base
Serveur d’entreprise
Plates-formes métiers
Applications métiers
Clouds privés virtuels évolutifs CPU, stockage :
outsourcing partagé
Clouds privés virtuels de serveurs
Cloud OS : outsourcing partagé
SaaS privé virtuel Applications métiers ;
appli. SaaS second tiers
Cloudpublic d’infrastructure
CPU, stockage :EC2/S3, IBM Cloud
Serveurs de Cloudspublics
Cloud OS : Microsoft Azure, Google App
Engine
PaaSPlate-forme applicative :
Force.com, NetSuite-BOS
SaaS publicApplications :
Workday, RightNow
Valeur économique pour l’entreprise Source: Forrester Research, Inc.
Navigation dans le Cloud – Une première proposition de taxonomie
714/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Le “Cloud” et la Sécurité
CLUSIF >
Donc…
Il n’existe PAS ENCORE de standards et de bonnes pratiques généralisées…
Pour l’instant…chaque consultant ou fournisseur vous dira :
Cloud = ce que je dis que c’est = notre produit recommandé
814/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Le “Cloud” et la Sécurité
CLUSIF >
Ce que nous pensons du Cloud – en termes simples
Logiciel en tant que service(SaaS)
Plate-forme en tant que service(PaaS)
Infrastructure en tant que service(IaaS)
Tous les équipements matériels et les logiciels habituellement associés à un centre de données
914/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Le “Cloud” et la Sécurité
CLUSIF >
Facteurs d’adoption du Cloud
Le Cloud Computing est possible grâce à (enablers) :Connectivité, Virtualisation, Data centers
EconomiesProductivitéEfficacité
Accès aux applications et données indépendant du terminal, de n’importe où, à tout moment
• Utilisation plus efficace des ressources informatiques
• Services évolutifs, à la demande
• Pas de CAPEX
• OPEX Prévisibles
• Consommation mesurée, paiement àl’utilisation
1014/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Le “Cloud” et la Sécurité
CLUSIF >
Ce qu’en dit TelecityGroup…Le Cloud n’est pas une technologie…
� Le Cloud résulte de la réunion de tendances et de technologies EXISTANTES -- virtualisation, développement d’Internet et de la bande passante, Web 2.0… --
� Combinées pour fournir des infrastructures applicatives évolutives aux entreprises
…mais un modèle d’exploitation et de distribution de l’IT
� Trois modèles de services dominants – caractérisés par le self-service et une utilisation évolutive et mesurée des ressources
� Et trois modèles de distribution : privé, public et hybride
� Tous ces modèles reposent fondamentalement sur des centres de données de haute qualité et hautement connectés
C’est une réelle opportunité de marché :
� Un potentiel de nouvelles affaires de 1 milliard de c.$ dans les 2 à 3 prochaines années pour l’ENSEMBLE des services de Cloud Computing et des modèles de distribution*
� Le fait que le Cloud repose sur des dépenses de fonctionnement (OPEX) et non d’investissement (CAPEX) a accéléré sa croissance lors de la crise économique récente
Oui, le Cloud est aujourd’hui mis à toutes les sauces (‘Cloud-washing’) mais certains de ses développements sont fondamentaux et vont révolutionner l’informatique des entreprises à terme
*Source: Forrester Research
1114/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Le “Cloud” et la Sécurité
CLUSIF >
Rôle du centre de données indépendant face aux défis du Cloud Computing
Source: IDC Enterprise Panel, 3Q09, n = 263, September 2009
Avantages Adoption initiale Défis
Paiement à l’usage
Déploiement rapide pour l’utilisateur
Paiement mensuelprévisible
Normalisation Evolutivité
Applications Web /servers Web
Services de sauvegarde / archivage de données
Applications d’entreprise (RH, CRM, ERP)
Applications collaboratives
Sécurité
Disponibilité
Performance desapplications
Energie
Freins à l’adoption
1214/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Le “Cloud” et la Sécurité
CLUSIF >
Les centres de données, acteurs clés du Cloud Computing
• Conception, construction et exploitation de centres de données indépendants de tout opérateur et basés sur des concepts, des processus et des standards uniformes
• Fourniture d’un environnement sécurisé pour l’infrastructure informatique et le stockage des données des clients
• Accès offert à de multiples réseaux et clients dans un environnement à faible latence et à haute connectivité
• Accès à des opportunités de revenus
• Réduction des dépenses CAPEX et OPEX pour les clients
Alimentation électrique continue
Protection incendie
Respect de l’environnement
Installationsclient
Connectivité à plusieurs réseaux Tiers 1
Accès strictement contrôlés
Supervision 24x7
Groupe électrogènes de secours
Température, humidité et ventilation
strictement contrôlées
1314/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Le “Cloud” et la Sécurité
CLUSIF >
Les CIO et les responsables informatiques doivent …
Se demander :• Où l’adoption de services de Cloud Computing a le plus de sens dans leur organisation ?
• S’il est possible d’expérimenter ces services sans impact sur la production ?
Comprendre :• Le mandat donné au niveau du board : consensus organisationnel et direction
• La nécessité d’auditer tous les logiciels et matériels dans l’optique d’un passage au Cloud
Développer :• Une stratégie d’adoption de services de Cloud Computing hybrides (privés/publics)
• Une feuille de route
1414/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Le “Cloud” et la Sécurité
CLUSIF >
Les questions que vous devez poser
Sûre et résiliente ?
TelecityGroup possède des installations sécurisées, dotées de systèmes d’alimentation électrique et de climatisation redondants
Connectée ?
TelecityGroup donne accès à de multiples réseaux, points d’échange et fournisseurs d’accès Internet en Europe
Evolutive ?
TelecityGroup exploite dans toute l’Europe des centres de données offrant une évolutivité de premier ordre
Est-ce que ma plate-forme de Cloud privée sera suffisamment…
1514/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Le “Cloud” et la Sécurité
CLUSIF >
La sécurité dans le Cloud
1614/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Le “Cloud” et la Sécurité
CLUSIF >
Etat des lieux
Dans le Cloud, la sécurité dépend des contrôles et garanties apportés par des tiers, comme dans l’outsourcing traditionnel
� Les mêmes menaces internes et externes sont présentesIl n’existe pas de standard de sécurité commun pour le Cloud Computing, ce qui pose un
problème supplémentaire
De nombreux fournisseurs du Cloud mettent en oeuvre leurs propres normes et des technologies de sécurité propriétaires
� Il faut les évaluer selon leurs propres méritesDans le modèle du fournisseur, le client doit s’assurer que la sécurité du Cloud répond à
ses propres règles de sécurité en faisant l’inventaire de ses besoins, en évaluant les risques du fournisseur et les garanties qu’il apporte
Les principaux défis en matière de sécurité des informations concernent :1. Les menaces pesant sur les informations résidant dans les environnements de
Cloud Computing2. Le type d’attaquants et leur capacité à s’attaquer au Cloud3. Les risques de sécurité associés au Cloud et les mesures à prendre contre les
attaques4. Les menaces émergentes pouvant affecter la sécurité du Cloud
1714/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Le “Cloud” et la Sécurité
CLUSIF >
1. Menaces
• Confidentialité– Menaces internes : utilisateurs
malintentionnés – Menaces externes : attaque à distance
des logiciels et/ou machines – Fuite de données :
• Brèche au niveau des droits d’accès sur plusieurs domaines
• Brèche au niveau des systèmes de transport électronique et/ou physique des données et/ou sauvegardes
• Intégrité– Ségrégation des données
• Définition incorrecte des périmètres de sécurité (machines virtuelles, hyperviseurs, stockage)
– Accès utilisateurs • Insuffisance des procédures de gestion des
identités et des accès
– Qualité de données • Introduction de composants applicatifs ou
d’éléments d’infrastructures défaillants
• Disponibilité– Gestion des changements
• Modification d’infrastructure ou tests réalisés par un client et ayant un impact sur les autres clients du Cloud
– Menace de déni de service • Déni de service réseau & bande
passante / DNS / applications & données
– Interruption physique• Interruption de l’accès physique du fait
du fournisseur de Cloud, d’un client ou du fournisseur de WAN
– Procédures de restauration insuffisamment robustes
• Recours à des processus de restauration de données ou de continuité d’activité inappropriés
1814/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Le “Cloud” et la Sécurité
CLUSIF >
2. Types d’attaquants
• Attaquant interne• Attaquant externe• Ces deux types d’attaquants peuvent être catégorisés en menaces :
– Aléatoires• Balayage systématique d’Internet pour trouver des ordinateurs vulnérables • Attaques à l’aide d’outils simples et de techniques connues devant pouvoir être détectés facilement
– Faibles• Attaquants expérimentés ciblant des serveurs / fournisseurs spécifiques du Cloud• Attaques à l’aide d’outils disponibles dans le commerce mais personnalisés
– Fortes• Groupes organisés d’attaquants expérimentés et bien financés• Spécialisés dans l’attaque ciblée de certaines applications et catégories d’utilisateurs de services
du Cloud• Organisations criminelles agissant souvent à grande échelle
– Substantielles• Attaquants motivés et adroits, difficiles à détecter par les organisations attaquées et par les
services officiels en charge de la cybercriminalité et de la cybersécurité• Leur détection demande une meilleure compréhension des attaques
et des ressources spécialisées, à même de réagir aux incidents et aux menaces
1914/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Le “Cloud” et la Sécurité
CLUSIF >
3. Risques de sécurité
• Accès des utilisateurs privilégiés– Les fournisseurs du Cloud doivent mettre en œuvre des contrôles spécifiques pour leurs
utilisateurs privilégiés
• Localisation et ségrégation des données– Les clients peuvent ignorer où sont stockées leurs données
– Risque lié aux données stockées avec les informations d’autres clients
• Elimination des données– Risque que les données ne soient pas effacées de tous les entrepôts de données,
système de sauvegarde et autres supports physiques en cas de résiliation
• Investigation électronique et contrôle de protection– Les clients ne peuvent pas déployer leurs propres systèmes de contrôle et
d’investigation : ils doivent faire confiance à ceux de leurs fournisseurs de services de Cloud Computing
– Les clients doivent recourir aux SLA et auditer les contrôles de sécurité pour assurer la sécurité des services du Cloud
2014/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Le “Cloud” et la Sécurité
CLUSIF >
4. Menaces émergentes pour la sécurité du Cloud
• Attaques latérales– Client malintentionné infiltrant une infrastructure de Cloud partagée pour accéder aux
données des autres clients
• Attaques de déni de service– Consommation des ressources partagées
– Exploitation d’hyperviseurs et de machines virtuelles
• Attaques des réseaux sociaux– Les grands entrepôts de données clients transforment les plates-formes de Cloud
Computing en cible
• Attaques des terminaux mobiles– La plupart des appareils mobiles ne bénéficient pas de fonctionnalités de sécurité
équivalentes à celles des PC (de bureau et portables) : protection contre les logiciels malveillants, anti-virus et chiffrement complet du disque
• Menaces internes et crime organisé– Risque d’accès aux différents types de données agrégées à partir de plusieurs clients :
informations des cartes de crédits et autres données financières et personnelles
2114/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Le “Cloud” et la Sécurité
CLUSIF >
En synthèse – Conseils pour limiter les risques
• Obtenir des garanties concernant la sécurité dans le Cloud
• Evaluer les menaces existantes dans le Cloud
• Chiffrer (crypter) les données
• Evaluer les contrôles mis en place par le fournisseur pour séparer les données des différents utilisateurs du Cloud
• Vérifier que l’élimination des données peut être effectuée correctement dans le Cloud
• Identifier la localisation géographique de tous les sites de stockage, de traitement et de transfert de données
• Evaluer l’efficacité de la surveillance de la protection du Cloud
• Evaluer les questions de gestion d’identité et d’interopérabilité
2214/04/2010Sécurité de la Virtualisation et du Cloud Computing / Paris
Le “Cloud” et la Sécurité
CLUSIF >
Merci de votre
attention
Stéphane [email protected]
01 49 97 39 68