1. Cycle de conférences sur
Cloud Computing et Virtualisation
Cloud Computing et Sécurité
Pascal Sauliere, Architecte, Microsoft France
2. Cloud Computing et Sécurité
Agenda
Qu’est-ce que le Cloud Computing ?
NIST
Berkeley
Sécurité dans le Cloud
Généralités
Cloud Security Alliance (CSA)
European Network and Information
Security Agency (ENISA)
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 2
3. Cloud Computing et Sécurité
QU’EST-CE QUE LE CLOUD
COMPUTING ?
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 3
4. Cloud Computing et Sécurité
5ème génération d’architecture
2010 Cloud
2000 SOA
1990 Web
1980 Client-Server
1970 Mainframe
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 4
5. Cloud Computing et Sécurité
Qu’est-ce que le
Cloud Computing ?
Deux références utiles :
The NIST Definition of Cloud
Computing (oct. 2009)
Above the Clouds: A Berkeley View
of Cloud Computing (fév. 2009)
http://geekandpoke.typepad.com/
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 5
6. Cloud Computing et Sécurité
Qu’est-ce que le Cloud Computing ?
L’ensemble des disciplines, technologies et modèles
commerciaux utilisés pour délivrer des capacités
informatiques (logiciel, plateformes, matériel) comme
un service à la demande
5 caractéristiques
3 modèles de service
4 modèles de déploiement
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 6
7. Cloud Computing et Sécurité
5 Caractéristiques
Libre service à la demande
Accès réseau, clients variés
Mise en commun des ressources (pooling)
« Élasticité » rapide
Service mesuré et facturation à l’usage
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 7
8. Cloud Computing et Sécurité
3 modèles de service
A construire soi-même Exemples
Software BPOS, Google Apps,
as a Service Salesforce.com...
(SaaS)
Platform as a Microsoft Azure, Force.com,
Service (PaaS) Google App Engine…
Microsoft Azure, EC2,
Infrastructure hébergeurs de systèmes,
as a Service (IaaS) fournisseurs de machines
virtuelles
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 8
9. Cloud Computing et Sécurité
4 modèles de déploiement
Private Cloud
Propriété (ou location) de l’entreprise
Interne ou externe
Par certains côtés, une évolution du travail du Jericho Forum
Community Cloud
Infrastructure partagée pour une communauté spécifique (un état…)
Interne ou externe
Public Cloud
Infrastructure louée à n’importe quelle catégorie d’acheteur
L’infrastructure est la propriété du fournisseur
Hybrid Cloud
La composition de deux ou plus formes de Clouds qui permettent la
portabilité des données et des applications
On ne crée pas un Hybrid Cloud juste en fédérant les identités
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 9
10. Cloud Computing et Sécurité
Résumé de la vue du NIST
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 10
11. Cloud Computing et Sécurité
Le Continuum du Cloud Computing
BENEFICE DU CHOIX
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 11
12. Cloud Computing et Sécurité
Adoption du Cloud en France
Largement associé à la virtualisation (92%), principalement
de serveurs (88%)
Projet qui doit être piloté par la DSI (67%)
Largement orienté vers les clouds privés (71%)
Stratégique pour seulement 24 % des entreprises
SaaS : Messagerie (54%), Finance et compta (26%), CRM
Enquête : Pierre Audoin Consultants pour EMC, Vmware, Intel
http://www.itrmanager.com/articles/103242/1re-enquete-cloud-computing-france-br-virtualisation-serveurs-cloud-prive.html
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 12
13. Cloud Computing et Sécurité
Adoption du Cloud en France
Enquête : Pierre Audoin Consultants pour EMC, Vmware, Intel
http://www.itrmanager.com/articles/103242/1re-enquete-cloud-computing-france-br-virtualisation-serveurs-cloud-prive.html
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 13
14. Cloud Computing et Sécurité
Cloud privé en tête
Enquête : Pierre Audoin Consultants pour EMC, Vmware, Intel
http://www.itrmanager.com/articles/103242/1re-enquete-cloud-computing-france-br-virtualisation-serveurs-cloud-prive.html
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 14
15. Cloud Computing et Sécurité
Freins à l’adoption
Enquête : Pierre Audoin Consultants pour EMC, Vmware, Intel
http://www.itrmanager.com/articles/103242/1re-enquete-cloud-computing-france-br-virtualisation-serveurs-cloud-prive.html
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 15
16. Cloud Computing et Sécurité
CONSIDÉRATIONS GÉNÉRALES SUR LA
SÉCURITÉ
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 16
17. Cloud Computing et Sécurité
L’entreprise a le contrôle
Qui contrôle quoi ? Partage du contrôle avec le fournisseur
Le fournisseur de service a le contrôle
Informatique Hébergeur IaaS public PaaS public SaaS public
Données Données Données Données Données
Applications Applications Applications Applications Applications
Machine Machine Machine Machine Machine
Virtuelle Virtuelle Virtuelle Virtuelle Virtuelle
Serveur Serveur Serveur Serveur Serveur
Stockage Stockage Stockage Stockage Stockage
Réseau Réseau Réseau Réseau Réseau
Burton Group : Cloud Computing Security in the Enterprise – Jul. 2009
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 17
18. Cloud Computing et Sécurité
Les préoccupations classiques du Cloud
Mes données sont elles sûres dans le Cloud ?
Qui va avoir accès aux données ?
Aurai-je accès à mes données à n’importe quel moment ?
Qu’arrivera-t-il si nous arrêtons notre contrat?
Puis-je être conforme aux lois et aux règlementations ?
Où sont stockées mes données ?
Qui gère les notifications de brèches de données personnelles ?
Pendant combien de temps mes données sont stockées ?
Comment sont gérées les réquisitions éventuelles ?
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 18
19. Cloud Computing et Sécurité
Les avantages généraux en termes de
sécurité
Faire passer des données publiques ou non sensibles vers un
Cloud externe réduit l’exposition des données internes
sensibles
L’homogénéité du Cloud simplifie l’audit et les tests de
sécurité
Les Clouds permettent une gestion automatisée de la
sécurité
Disponibilité : redondance, récupération en cas de désastre
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 19
20. Cloud Computing et Sécurité
Défis sécurité du Cloud (1/2)
Dispersion des données et lois internationales relatives au
respect de la vie privée
Directive Européenne de protection des données et programme
U.S. Safe Harbor
Exposition des données aux gouvernements étrangers ;
obéissance à une ordonnance du tribunal, citation et mandat de
perquisition
Problèmes de rétention des données
Besoin de gestion de l’isolation
Multi-location
Défis de la journalisation
Problèmes de propriété de données
Garanties de qualité de service
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 20
21. Cloud Computing et Sécurité
Défis sécurité du Cloud (2/2)
Dépendance d’hyperviseurs sécurisés
Attraction des hackers (cible intéressante)
Sécurité des OS virtuels dans le Cloud
Possibilité d’interruptions massives de service
Besoins de chiffrement pour la sécurité dans le Cloud
Chiffrement de l’accès à l’interface de contrôle d’accès aux ressources
du Cloud
Chiffrement des accès administratifs aux instances d’OS
Chiffrement de l’accès aux applications
Chiffrement des données stockées des applications
Sécurité Public Cloud versus sécurité Internal Cloud
Manque de dispositif public de contrôle de version des versions du
SaaS
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 21
22. Cloud Computing et Sécurité
Quelques problèmes complémentaires
Problèmes lors du déplacement de données sensibles ou relatives
à la vie privée vers le Cloud
Evaluation de l’impact en termes de respect de la vie privée
Utilisation de SLA pour obtenir la sécurité du Cloud
Suggestion de critères requis pour les SLA du Cloud
Problèmes avec les analyses forensic dans le Cloud
Plan de contingence et récupération en cas de désastre pour des
implémentations Cloud
Gestion de la conformité
FISMA
HIPAA
SOX
PCI
Audits SAS 70
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 22
23. Cloud Computing et Sécurité
Pour résumer
Dispersion des données, stockage à l’étranger
Conformité
Multi-location, isolation
Perte de contrôle
Exposition aux risques
Protection des données
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 23
24. Cloud Computing et Sécurité
Cloud Security Alliance
http://cloudsecurityalliance.org/
Conseils de sécurité pour les principaux points d’intérêt du
cloud computing
Principales menaces sur le cloud computing (avec HP)
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 24
25. Cloud Computing et Sécurité
13 domaines d’intérêt selon CSA
Section I. Cloud Architecture Section III. Operating in the Cloud
Domain 1: Cloud Computing Architectural Domain 7: Traditional Security,
Framework Business Continuity, and Disaster
Recovery
Section II. Governing in the Cloud Domain 8: Data Center Operations
Domain 2: Governance and Enterprise Risk Domain 9: Incident Response,
Management Notification, and Remediation
Domain 3: Legal and Electronic Discovery Domain 10: Application Security
Domain 4: Compliance and Audit Domain 11: Encryption and Key
Management
Domain 5: Information Lifecycle
Management Domain 12: Identity and Access
Management
Domain 6: Portability and Interoperability
Domain 13: Virtualization
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 25
26. Cloud Computing et Sécurité
Principales menaces selon CSA/HP
Abus et utilisation malveillante du cloud computing
Interfaces et API non sécurisés
Malveillances internes
Problèmes dus au partage de technologie
Perte ou fuite de données
Détournement de compte ou de service
Profil de risque inconnu
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 26
27. Cloud Computing et Sécurité
ENISA: Cloud Computing Risk
Assessment
European Network and Information Security Agency
35 risques identifiés
Risques politiques et organisationnels
Risques techniques
Risques juridiques
Risques non spécifiques au cloud
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 27
28. Cloud Computing et Sécurité
Risques les plus élevés selon l’ENISA
Enfermement dans une solution
Perte de gouvernance, de contrôle – impossibilité de se
conformer à des exigences de sécurité
Défis de la conformité
Échec de l’isolation (multi-location)
Ordonnance de tribunal, citation, mandat de perquisition,
saisie par le gouvernement local
Changement de juridictions (manque de transparence)
Protection des données
Réseau (congestion, utilisation non optimale…)
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 28
29. Cloud Computing et Sécurité
Cloud ≠ Virtualisation, mais…
Dans certains cas (IaaS), les risques de la virtualisation
s’appliquent pleinement :
Isolation
Gestion des mises à jour
Réseau
Multi-location
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 29
30. Cloud Computing et Sécurité
Implications techniques sur
l’architecture
Fournisseurs : IDS, systèmes d’analyse comportementale
réseau, avertissement de DDoS
Chiffrement des données en transit à tous les niveaux
Chiffrement au niveau du stockage
Défi de la gestion des clés…
Contrôle d’accès
Gestion d’identité, fédération d’identité, « identity clouds »,
SAML
Sécurité applicative
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 30
31. Cloud Computing et Sécurité
Conclusion
Avantages certains
Risques juridiques importants
Importance des contrats (enfermement, juridiction…)
Risques techniques classiques
Surveiller les travaux de CSA, NIST, ENISA
CSA Control Matrix (CM)
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 31
32. Cloud Computing et Sécurité
Références
Berkeley: http://berkeleyclouds.blogspot.com/
NIST: http://csrc.nist.gov/groups/SNS/cloud-computing/
ENISA:
http://www.enisa.europa.eu/act/rm/files/deliverables/cl
oud-computing-risk-assessment
CSA: http://cloudsecurityalliance.org/
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 32
33. Cloud Computing et Sécurité
Références
http://www.microsoft.com/france/securite/guides-
conseils/cloud.aspx
http://asert.arbornetworks.com/2010/04/why-hackers-love-
the-cloud/
http://www.itrmanager.com/articles/103242/1re-enquete-
cloud-computing-france-br-virtualisation-serveurs-cloud-
prive.html
http://cloudsecurity.org/
http://cloudaudit.org/
http://www.forrester.com/cloudprivacyheatmap
http://www.trusted-cloud.com/
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 33
34. Cloud Computing et Sécurité
Offres Microsoft
http://www.microsoft.com/cloud
http://www.microsoft.com/windowsazure
http://www.microsoft.com/bpos
http://www.microsoft.com/privatecloud
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 34