Cloud et SécuritéSEC2207

Pascal SauliereArchitecteDirection Technique et SécuritéMicrosoft France

Qu’est-ce que le cloud ?

Adoption du Cloud

• Largement associé à la virtualisation de serveurs• Piloté par la DSI• Largement orienté vers les clouds privés IaaS

• Garder le contrôle de l’IT• Maîtriser les données de l’entreprise

• Pas encore stratégique

• SaaS public : messagerie, collaboratif, finance et compta, CRM

• IaaS privé : usines à VM• PME ≠ entreprises

Sécurité dans le cloud : perception• Le frein n°1 à l’adoption du cloud• Perte de contrôle• Mes données sont-elles sûres dans le cloud ?

• Qui aura accès ?• Disponibilité ?• Qu’arrive-t-il en cas de rupture de contrat ?

• Isolation / multi-location• Disponibilité : dépendance du réseau

Sécurité dans le cloud : perception• Conformité

• Audit, contrôles• Journalisation• Données personnelles

• Dispersion et lois internationales• Où sont stockées mes données ?• Problèmes de juridiction• Comment sont gérées les réquisitions ?• Quid des données personnelles ?

• Propriété des données

Sécurité dans le cloud : perception

the cloud

Sécurité dans le cloud : avantages•Placer les données publiques dans le

cloud réduit l’exposition des données internes sensibles

•L’homogénéité du cloud (peut) rend(re) l’audit et les tests plus simples

•Le cloud (peut) permet(tre) d’automatiser la gestion de la sécurité

•Disponibilité : redondance et récupération après désastre

Quoi de nouveau ?

InventaireClassification

Mesures Analysedes risques

Confidentialité

Intégrité Disponibilité

Processus

Personnes Technologies

Quoi de nouveau ?

Défense enprofondeur

Surfaced’attaque

Moindreprivilège

ExempleMicrosoft Global Foundation Services (GFS)Gestion de la sécurité

http://www.globalfoundationservices.com/security/

ExempleMicrosoft Global Foundation Services (GFS)Plan de gestion des risques

http://www.globalfoundationservices.com/security/

http:

//w

ww

.clo

udse

curit

yalli

ance

.org

/gui

danc

e.ht

ml

Défense en profondeur

Données

Applications

Machine Virtuelle

Serveur

Stockage

Réseau

Informatique interne

Données

Applications

Machine Virtuelle

Serveur

Stockage

Réseau

Hébergeur

Données

Applications

Machine Virtuelle

Serveur

Stockage

Réseau

IaaS public

Données

Applications

Machine Virtuelle

Serveur

Stockage

Réseau

PaaS public

Données

Applications

Machine Virtuelle

Serveur

Stockage

Réseau

SaaS public

L’entreprise a le contrôle

Partage du contrôle avec le fournisseur

Le fournisseur de cloud a le contrôle

Qui contrôle quoi ?

Burton Group : Cloud Computing Security in the Enterprise – Jul. 2009

Une documentation abondante

Les 13 domaines d’intérêt selon la CSAwww.cloudsecurityalliance.orgI. Architecture

1. Cadre d’architecture du cloud Computing

II. Gouvernance2. Gouvernance et gestion des risques3. Aspects juridiques liées aux données4. Conformité et audit5. Cycle de vie de l’information6. Portabilité et interopérabilité

http://www.cloudsecurityalliance.org/guidance.html

Les 13 domaines d’intérêt selon la CSAwww.cloudsecurityalliance.orgIII.Opérations

7. Sécurité, continuité, reprise d’activité8. Opérations du datacenter9. Gestion des incidents, notifications,

remédiation10. Sécurité applicative11. Chiffrement et gestion des clés12. Gestion des identités et accès13. Virtualisation

http://www.cloudsecurityalliance.org/guidance.html

Principales menaces selon CSA/HPwww.cloudsecurityalliance.org1.Abus et utilisation malveillante du cloud

computing2. Interfaces et API non sécurisés3.Malveillances internes4.Problèmes dus au partage de technologie5.Perte ou fuite de données6.Détournement de compte ou de service7.Profil de risque inconnu

http://www.cloudsecurityalliance.org/topthreats.html

ENISA: Cloud Computing Risk AssessmentEuropean Network and Information Security AgencyNovembre 200935 risques identifiés4 catégories :1. Risques politiques et

organisationnels2. Risques techniques3. Risques juridiques4. Risques non spécifiques au cloud

http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment

ENISA : classification des risques

ENISA : exemple de risque

Risques les plus élevés selon l’ENISA1.Enfermement dans une solution2.Perte de gouvernance, de contrôle – impossibilité

de se conformer à des exigences de sécurité3.Défis de la conformité4.Échec de l’isolation (multi-location)5.Ordonnance de tribunal, citation, mandat de

perquisition, saisie par le gouvernement local6.Changement de juridictions (manque de

transparence)7.Protection des données8.Réseau (congestion, utilisation non optimale…)

http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment

Quelques point techniques

• PaaS, SaaS : chiffrement• des accès• des données• gestion des clés

• PaaS, SaaS : gestion des identités et des accès

• PaaS, SaaS : sécurité applicative• IaaS : automatisation, conformité et mises à

jour

PaaS et SaaS publicGestion des identités et des accès

Gestion des identités et contrôle d’accès

Technologies disponibles pour Windows Azure :• WIF (Windows Identity Foundation)

• API .NET• AD FS (Active Directory Federation Services) 2.0

• Fédération et SSO, WS-Trust, WS-Federation, SAML 2.0

• AC (Windows Azure AppFabric Access Control service)• Autorisations par règles, basées sur des claims,

pour applications web et web services REST et SOAP

• Supporte AD FS 2.0, Live ID, Facebook, Google, Yahoo!

• WS-TRUST et WS-Federation• Intégré avec WIF

Exemple : SaaS

Cadre de confiance

App/Services Web

Clients Entreprise

AD FS 2.0

Fournisseur d’identité"Petits structures"

Client "Petits structures"

1

2

3

1

2

Yahoo!GoogleLive IDFacebook …

IaaS privéLe besoin d’automatisation

Infrastructure as a Service

VIRTUALISATIONINFRASTRUCTURE AS A SERVICE

AUTOMATISATION

FORTECATALOGUE

DE SERVICES

CAPACITE A MONTER EN

CHARGE ET ELASTICITE

Libre service Accès réseau Élasticité, « scale out »

Mise en commun des ressources

Facturation à la demande

INFRASTRUCTURE ACTUELLE INFRASTRUCTURE AS A SERVICE

INFRASTRUCTURE as a Service

Efficacité

Physique

Utilisation faible

Ratio serveurs / personnel faible

Peu ou pas d’automatisation

Déploiement statiquepour les pics de charge

Évolution difficile vers PaaSet cloud public

Physique et virtuel

Utilisation moyenne à forte

Ratio serveurs / personnel élevé

Hautement automatisé

Déploiement dynamique

Évolutif vers PaaSet cloud public

Produits Microsoft pourl’Infrastructure as a Service

ADMINISTRATION

IDENTITÉ

VIRTUALISATION

LIBRE-SERVICE

Architecture IaaS haut de gamme

Conclusion

• Il y a des avantages• Risques juridiques• Importance des contrats• Importance du cadre de gestion de la sécurité• Risques techniques classiques• Domaine jeune en pleine évolution• Surveiller la littérature (CSA, NIST, ENISA,

fournisseurs de cloud)

• Ne pas négliger les utilisateurs et le poste client