Upload
zdnet-france
View
548
Download
2
Embed Size (px)
DESCRIPTION
La fourniture via Internet de services de logiciel et d'infrastructure à la demande permet aux équipes informatiques de bénéficier d'avantages sans précédent sur le plan de l'efficacité, des réductions de coûts et de l'évolutivité. Toutefois, ces avantages impliquent rendent les approches traditionnelles de la sécurité caduques. C'est là le paradoxe du cloud computing: synonyme de simplification de l'informatique, de services facturés à l'utilisation et d'externalisation des tâches, il comporte également un grand nombre de nouveaux problèmes de conformité et pose des risques pour la sécurité des données. Ce livre blanc les passe en revue.
Citation preview
A Brave
Qui est responsable dela sécurité du cloud ?
L'opinion d'un expert
de Trend Micro
Février 2011
Écrit par Dave Asprey,
Vice-président, sécurité cloud
QUI EST RESPONSABLE DE LA SÉCURITÉ DU CLOUD ?
1 | L'opinion d'un expert de Trend Micro™ | Qui est responsable de la sécurité du cloud ?
I. QUI EST RESPONSABLE DE LA SÉCURITÉ DU CLOUD ?
Le cloud computing, c'est la technologie qui fait le buzz en ce moment. La fourniture via
Internet de services de logiciel et d'infrastructure à la demande permet aux équipes
informatiques de bénéficier d'avantages sans précédent sur le plan de l'efficacité, des
réductions de coûts et de l'évolutivité. Toutefois, les avantages révolutionnaires du cloud
computing impliquent de nouveaux défis qui rendent les approches traditionnelles de la
sécurité caduques. C'est là le paradoxe de cette nouvelle technologie informatique :
synonyme de simplification de l'informatique, de services facturés à l'utilisation et
d'externalisation des tâches les plus lourdes, le cloud comporte également un grand
nombre de nouveaux problèmes de conformité et pose des risques pour la sécurité des
données.
Que ce soit de leur propre initiative ou sous la pression du marché, les directeurs
informatiques sont en train de réévaluer les options qui s'offrent à eux dans l'environnement
informatique du XXIe siècle. Ils souhaitent connaître les risques impliqués et surtout savoir
à qui en incombe la responsabilité.
Nous allons tenter ici d'examiner ces problèmes dans le contexte de l'Infrastructure en tant
que service (ou IaaS pour Infrastructure as a Service), une technologie permettant aux
responsables informatiques de louer des services de réseau, des espaces de stockage,
des serveurs ainsi que d'autres éléments opérationnels. L'IaaS offre également aux
entreprises une plus grande autonomie que les SaaS (logiciels en tant que service) pour la
mise en place de contrôles de sécurité.
II. POURQUOI LE CLOUD ?
Les principaux avantages du cloud public sont l'évolutivité et la possibilité de remplacer des
dépenses en immobilisations par des dépenses d'exploitation. Les clients du cloud
computing évitent les investissements en matériel, logiciels et autres services
d'infrastructure et préfèrent recourir aux services de fournisseurs selon leurs besoins.
L'allocation de ressources à la demande permet également aux entreprises d'être plus
dynamiques et performantes en évoluant rapidement selon les besoins informatiques du
moment.
Pour ce qui est du cloud privé, les avantages résident dans la flexibilité et la réactivité face
aux besoins des clients internes.
Avec ce genre d'atouts, l'engouement pour ce nouveau paradigme informatique n'a rien
d'étonnant. Une étude de Cisco réalisée en décembre révèle par exemple que 52 % des
professionnels de l'informatique utilisent ou projettent d'utiliser le cloud computing dans les
trois prochaines années. Selon une enquête similaire de l'organisme de sécurité de l'ISACA
réalisée en mars 2010, un tiers des entreprises européennes utilisent déjà des systèmes de
cloud computing. Enfin, la société internationale de conseil Accenture déclarait en juillet
2010 que la moitié de ses clients exécutaient des applications critiques sur le cloud.
QUI EST RESPONSABLE DE LA SÉCURITÉ DU CLOUD ?
2 | L'opinion d'un expert de Trend Micro™ | Qui est responsable de la sécurité du cloud ?
III. LA SÉCURITÉ DU PÉRIMÈTRE N'EST PAS ENTERRÉE - DEUXAPPROCHES DE LA SÉCURISATION DU CLOUD
On a beaucoup entendu dire que le périmètre de sécurité traditionnel de l'entreprise
n'existait plus dans le cadre du cloud public. Les pare-feu, les systèmes de prévention des
intrusions et d'autres fonctions traditionnelles de sécurité seraient tout simplement
inefficaces sur le cloud. Par conséquent, les entreprises doivent se fier à la sécurité du
périmètre offerte par le fournisseur de services cloud, aussi basique soit-elle.
Mais, vue sous un autre angle, la sécurité du périmètre est loin d'être aussi obsolète. Au
contraire, elle constitue un des éléments utiles d'une architecture de sécurité efficace, mais
un élément seulement. Lorsqu'il est question du cloud, les entreprises ont toujours la notion
de périmètre. Elles peuvent décider d'étendre leur périmètre pour qu'il inclue le cloud, de
laisser le cloud s'étendre dans leur périmètre ou bien de combiner ces deux approches.
Quel que soit leur choix, des couches de sécurité supplémentaires sont nécessaires, tout
comme dans les environnements de sécurité d'entreprise internes. Toutefois, ces deux
scénarios présentent des inconvénients similaires concernant un manque potentiel de
visibilité et de contrôle dû à l'externalisation de services vers le cloud. Les responsables de
la sécurité des systèmes d'information doivent être vigilants, conscients des risques
impliqués et mettre en œuvre les procédures de vérification préalables nécessaires.
1) Le premier scénario, prévoyant l'extension du périmètre au cloud, implique la mise en
place d'un tunnel IPSec de RPV vers les serveurs de votre fournisseur de cloud public,
ainsi que l'installation d'une sécurité d'entreprise sur le serveur de cloud public, le plus
souvent sous la forme de logiciels et appliances virtuelles de sécurité.
Ce procédé présente l'avantage de ne pas nécessiter de reconfiguration d'Active Directory.
De plus, la plupart des autres outils de gestion existants devraient fonctionner sur votre
installation de cloud, vos serveurs en ligne se trouvant effectivement à l'intérieur de votre
« périmètre ».
Cependant, l'un des inconvénients réside dans le fait que, selon le niveau de sécurisation
de votre serveur de cloud, il est possible que vous introduisiez dans votre architecture les
risques associés au cloud [décrits ci-dessous]. Pour limiter ces risques, il est important de
surveiller le lien entre le cloud et les serveurs internes, à l'affût de tout trafic suspect. Les
liens vers les serveurs critiques devraient d'ailleurs toujours être surveillés, qu'ils soient sur
un cloud ou non. Une autre option consiste à ajouter une zone démilitarisée (DMZ) et un
pare-feu supplémentaires, bien que cela constitue alors un nouveau périmètre à sécuriser.
De nombreuses entreprises oublient ou ignorent cette étape dans leur précipitation vers le
cloud, notamment les petites entreprises ne disposant pas du temps et des ressources
informatiques nécessaires pour ériger ces barrières de sécurité.
Il est aussi indispensable d'installer une sécurité suffisante sur ces serveurs cloud pour les
protéger : IDS/IPS, pare-feu bidirectionnel, etc.
QUI EST RESPONSABLE DE LA SÉCURITÉ DU CLOUD ?
3 | L'opinion d'un expert de Trend Micro™ | Qui est responsable de la sécurité du cloud ?
RISQUES
Les DSI doivent savoir que leurs serveurs cloud seront exposés à des menaces différentes
de celles qu'ils ont l'habitude de traiter en interne.
Il est peu probable que les entreprises se voient confier les journaux d'accès physique ou
d'accès administrateur de leur fournisseur de cloud. Et c'est un problème majeur. Comment
savoir si, par exemple, un administrateur informatique travaillant pour leur fournisseur de cloud
public a eu accès à leurs données ? Les menaces venues de l'intérieur peuvent être déjouées,
dans une certaine mesure, en interne, à l'aide de journaux d'accès. Mais en raison du manque
de visibilité sur le cloud, les entreprises ont tout intérêt à généraliser le chiffrement des
données.
[En décembre, il est apparu que des données d'entreprises appartenant à des clients
de BPOS, une suite de services d'entreprises hébergée de Microsoft, ont été
consultées et téléchargées par d'autres utilisateurs du logiciel, suite à une erreur de
configuration. Bien que ce problème ait été rapidement réglé, il met en lumière les
risques existants et montre à quel point il est important de disposer de visibilité au
niveau des systèmes du fournisseur de cloud pour s'assurer que ceux-ci répondent à
vos exigences et sont conformes à la réglementation.]
Le stockage partagé constitue également un risque. En effet, certaines entreprises s'inquiètent
pour la sécurité de leurs données, dès lors que celles-ci sont stockées à proximité des données
d'un concurrent, sur un même disque en ligne.
Certains fournisseurs de cloud public ne sont tout simplement pas aussi à cheval sur la
sécurité, ou aussi transparents sur leurs activités, qu'ils devraient l'être. Avant toute chose, si
vous comptez stocker des données critiques en ligne, assurez-vous que le fournisseur respecte
rigoureusement les meilleures pratiques de sécurité, notamment les normes ISO 27001
et SAS70 II. Examinez aussi en détail son contrat de niveau de service ainsi que sa stratégie
de sécurité.
Il existe un autre risque, directement lié au risque décrit ci-dessus : en cas de violation, même
si les fournisseurs de cloud sont fautifs, ils ne rembourseront le plus souvent que le coût du
service qu'ils ont fourni. Le client devra seul supporter les coûts liés à l'atteinte à sa réputation,
aux amendes et aux pertes financières, lesquels peuvent se chiffrer en millions.
2) Le second scénario, l'extension du cloud dans l'entreprise, consiste à permettre au cloud
d'accéder à votre périmètre. Pour ce faire, il est nécessaire d'autoriser un fournisseur de
cloud public IaaS ou un fournisseur de services de sécurité gérés à installer un nœud de
cloud sur site.
QUI EST RESPONSABLE DE LA SÉCURITÉ DU CLOUD ?
4 | L'opinion d'un expert de Trend Micro™ | Qui est responsable de la sécurité du cloud ?
L'avantage de cette approche, de plus en plus courante parmi les grandes entreprises, est
qu'il s'agit d'un modèle relativement bien compris. Parmi les entreprises ayant adopté ce
modèle, on peut citer Akamai, qui depuis plus de dix ans gère des serveurs situés dans le
périmètre de sécurité de ses clients, Integralis, un fournisseur de services de sécurité gérés
offrant depuis des années des services de gestion de pare-feu à distance « depuis le
cloud », ou encore Trend Micro, qui relie via Trend Micro Smart Protection Network les
serveurs de sécurité à l'intérieur du réseau d'une entreprise à un réseau de sécurité de
milliers de serveurs sur le cloud.
Disposer dans son centre de données ou dans les locaux de l'entreprise d'un tel nœud de
cloud, géré ou mis à jour par le fournisseur de cloud de manière centralisée, est certes un
gage de simplicité. Mais cela présente également des inconvénients : il s'agit toujours
pour l'essentiel d'un service cloud. Aussi, le responsable informatique doit faire face à la
plupart des risques liés au premier scénario.
Les risques dus au manque de visibilité des journaux d'accès physique ou d'accès
administrateur demeurent.
En cas de négligence entraînant une perte de données critiques, le fournisseur de cloud ne
remboursera jamais plus que le coût de ses services.
Bien que votre réseau puisse être activé et désactivé, lorsqu'il est activé, le fournisseur de
cloud peut accéder à votre réseau et à vos données d'application. Celui-ci doit donc être
sécurisé. Si le fournisseur est rigoureux en matière de sécurité et transparent dans son contrat
de niveau de service, il n'y pas de raison de s'inquiéter outre mesure. Toutefois, comme nous
l'avons déjà évoqué, la plupart des fournisseurs de cloud généralistes ne placent pas la
sécurité au cœur de leurs préoccupations.
Il est donc primordial de distinguer une sécurité « correcte » d'une sécurité « optimale ».
Un service de messagerie basé sur le cloud installé à l'intérieur de votre périmètre par un
fournisseur de services de sécurité sera probablement plus sûr qu'un même service installé par
un fournisseur de cloud public classique.
QUI EST RESPONSABLE DE LA SÉCURITÉ DU CLOUD ?
5 | L'opinion d'un expert de Trend Micro™ | Qui est responsable de la sécurité du cloud ?
IV. QUI EST RESPONSABLE DE LA SÉCURITÉ DU CLOUD ET OÙ SESITUENT LES RISQUES ?
La vérité est désagréable à entendre, mais si vous comptez sur l'aide d'un fournisseur de
cloud, attendez-vous à être déçu. Le manque de visibilité au niveau des journaux d'accès et
les termes obscurs employés par ces fournisseurs pour décrire leurs stratégies de sécurité
risquent même de vous compliquer la tâche.
Vous devez sécuriser vos serveurs cloud comme vous sécurisez vos serveurs internes, au
moyen notamment de l'IDS/IPS, d'outils de prévention des fuites de données, de pare-feu
bidirectionnels et du chiffrement.
Vous risquez de rencontrer des problèmes de sécurité du réseau dans un environnement de
cloud, car peu de fournisseurs de cloud public vous laisseront surveiller le trafic réseau aussi
étroitement que vous le souhaiteriez. Dans votre réseau, la configuration du
routeur/commutateur et les journaux sont libres. Vous pouvez donc surveiller le trafic réseau à
votre guise. Mais sur le cloud, c'est impossible. Recourir au cloud pourrait alors être exclu pour
des raisons de conformité. C'est pourquoi il est essentiel de savoir dans quelle mesure le
fournisseur vous laissera surveiller le réseau et y accéder.
Le chiffrement des données stockées et en transit est essentiel en raison du manque de
visibilité au niveau du trafic réseau et des journaux d'accès administrateur de votre fournisseur.
De nombreux fournisseurs de cloud assurent également bien trop peu de contrôles d'accès à
base de rôles au niveau administrateur. Avec Amazon EC2, par exemple, un compte client
contrôle toutes les machines virtuelles. Un membre de l'entreprise disposant des droits d'accès
a donc la possibilité de faire tout ce qu'il veut et peut ajouter ou supprimer des machines
virtuelles à sa guise.
Dans le cloud privé, le contrôle de la sécurité par le seul service informatique est remis en
question en raison de la vitesse à laquelle un serveur peut être créé. L'équilibre naturel entre le
service informatique, qui met à disposition les serveurs, et l'entreprise, qui a besoin de ces
serveurs, est de plus en plus menacé, à mesure que ce processus s'accélère. Tout ce dont une
entreprise a besoin aujourd'hui, c'est de savoir si elle peut supporter le coût d'une licence. Dans
un environnement de cloud privé, une unité commerciale peut alors mettre sur pied un serveur
en deux jours tout ou plus, là où auparavant six semaines étaient nécessaires.
Cependant, toute demande de nouveau serveur doit être attentivement examinée, car les
risques augmentent proportionnellement au nombre de machines virtuelles à gérer. Les
responsables informatiques doivent mettre en place un processus central de délivrance
d'autorisations pour s'assurer que les demandes des entreprises sont traitées en premier lieu
par le service informatique.
QUI EST RESPONSABLE DE LA SÉCURITÉ DU CLOUD ?
6 | L'opinion d'un expert de Trend Micro™ | Qui est responsable de la sécurité du cloud ?
V. APPEL À L'ACTION
Entreprises
Chiffrez les données stockées et en cours de transfert et veillez à conserver les clés de
chiffrement dans un lieu différent de celui où se trouvent les données, qui ne soit pas
facilement accessible au fournisseur de cloud.
Déployez dans le cloud les mêmes outils de sécurité que vous déployez pour vos serveurs
physiques : la sécurité du système d'exploitation offert par les fournisseurs de cloud n'est
tout simplement pas suffisante.
Fournisseurs de cloud
Soyez plus ouverts et transparents en matière de stratégies et de procédures de sécurité
concernant les contrôles d'accès et le trafic réseau. Les clients doivent être autorisés à
consulter les journaux d'accès pour savoir quelles personnes accèdent au réseau, ce
qu'elles y font et quand elles le font.
Clarifiez les contrats de niveau de service pour que les clients comprennent clairement les
dispositifs de sécurité que vous leur offrez et sachent quelles mesures prendre pour
assurer la sécurité de leurs données conformément à leurs propres normes et à la
réglementation.
Environnements de cloud privé
Si un processus central de délivrance d'autorisations n'existe pas, créez-en un pour traiter
toutes les demandes de serveur cloud de l'entreprise. Les questions suivantes devront être
posées : pourquoi un serveur est-il nécessaire, quelles applications y seront exécutées,
combien de temps existera-t-il, quel sera le volume du trafic sur ce serveur ? Et vous
devrez aussi contrôler régulièrement ces exigences.
Soyez prêts... Les services informatiques sont contraints d'accélérer leur vitesse de travail.
Pour le bien de l'entreprise, vous devez être prêts à répondre à ces exigences dans les
plus brefs délais sans compromettre la sécurité.