Télécharger en tant que PDF, PPTX
Téléchargé parOxalide
Clusif cloud-2010-securite
Le document traite du cloud computing et de sa sécurité, définissant le cloud comme un ensemble de technologies et modèles commerciaux pour fournir des capacités informatiques à la demande. Il aborde également les différents modèles de services (IaaS, PaaS, SaaS) et de déploiement, ainsi que les enjeux de sécurité liés à la protection des données, la souveraineté et la conformité réglementaire. Enfin, il souligne l'importance des considérations contractuelles et juridiques dans l'adoption du cloud computing.
Contenu connexe
![[EVENT] POST & LuxTrust : Cloud, sécurité et confidentialité, est-ce compatib...](https://cdn.slidesharecdn.com/ss_thumbnails/ppteventcloudbizzjan2017-170208091740-thumbnail.jpg?width=640&height=640&fit=bounds)
Similaire à Clusif cloud-2010-securite
Clusif cloud-2010-securite
- 1. Cycle de conférencessur Cloud Computing et Virtualisation Cloud Computing et Sécurité Pascal Sauliere, Architecte, Microsoft France
- 2. Cloud Computing etSécurité Agenda Qu’est-ce que le Cloud Computing ? NIST Berkeley Sécurité dans le Cloud Généralités Cloud Security Alliance (CSA) European Network and Information Security Agency (ENISA) CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 2
- 3. Cloud Computing etSécurité QU’EST-CE QUE LE CLOUD COMPUTING ? CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 3
- 4. Cloud Computing etSécurité 5ème génération d’architecture 2010 Cloud 2000 SOA 1990 Web 1980 Client-Server 1970 Mainframe CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 4
- 5. Cloud Computing etSécurité Qu’est-ce que le Cloud Computing ? Deux références utiles : The NIST Definition of Cloud Computing (oct. 2009) Above the Clouds: A Berkeley View of Cloud Computing (fév. 2009) http://geekandpoke.typepad.com/ CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 5
- 6. Cloud Computing etSécurité Qu’est-ce que le Cloud Computing ? L’ensemble des disciplines, technologies et modèles commerciaux utilisés pour délivrer des capacités informatiques (logiciel, plateformes, matériel) comme un service à la demande 5 caractéristiques 3 modèles de service 4 modèles de déploiement CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 6
- 7. Cloud Computing etSécurité 5 Caractéristiques Libre service à la demande Accès réseau, clients variés Mise en commun des ressources (pooling) « Élasticité » rapide Service mesuré et facturation à l’usage CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 7
- 8. Cloud Computing etSécurité 3 modèles de service A construire soi-même Exemples Software BPOS, Google Apps, as a Service Salesforce.com... (SaaS) Platform as a Microsoft Azure, Force.com, Service (PaaS) Google App Engine… Microsoft Azure, EC2, Infrastructure hébergeurs de systèmes, as a Service (IaaS) fournisseurs de machines virtuelles CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 8
- 9. Cloud Computing etSécurité 4 modèles de déploiement Private Cloud Propriété (ou location) de l’entreprise Interne ou externe Par certains côtés, une évolution du travail du Jericho Forum Community Cloud Infrastructure partagée pour une communauté spécifique (un état…) Interne ou externe Public Cloud Infrastructure louée à n’importe quelle catégorie d’acheteur L’infrastructure est la propriété du fournisseur Hybrid Cloud La composition de deux ou plus formes de Clouds qui permettent la portabilité des données et des applications On ne crée pas un Hybrid Cloud juste en fédérant les identités CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 9
- 10. Cloud Computing etSécurité Résumé de la vue du NIST CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 10
- 11. Cloud Computing etSécurité Le Continuum du Cloud Computing BENEFICE DU CHOIX CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 11
- 12. Cloud Computing etSécurité Adoption du Cloud en France Largement associé à la virtualisation (92%), principalement de serveurs (88%) Projet qui doit être piloté par la DSI (67%) Largement orienté vers les clouds privés (71%) Stratégique pour seulement 24 % des entreprises SaaS : Messagerie (54%), Finance et compta (26%), CRM Enquête : Pierre Audoin Consultants pour EMC, Vmware, Intel http://www.itrmanager.com/articles/103242/1re-enquete-cloud-computing-france-br-virtualisation-serveurs-cloud-prive.html CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 12
- 13. Cloud Computing etSécurité Adoption du Cloud en France Enquête : Pierre Audoin Consultants pour EMC, Vmware, Intel http://www.itrmanager.com/articles/103242/1re-enquete-cloud-computing-france-br-virtualisation-serveurs-cloud-prive.html CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 13
- 14. Cloud Computing etSécurité Cloud privé en tête Enquête : Pierre Audoin Consultants pour EMC, Vmware, Intel http://www.itrmanager.com/articles/103242/1re-enquete-cloud-computing-france-br-virtualisation-serveurs-cloud-prive.html CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 14
- 15. Cloud Computing etSécurité Freins à l’adoption Enquête : Pierre Audoin Consultants pour EMC, Vmware, Intel http://www.itrmanager.com/articles/103242/1re-enquete-cloud-computing-france-br-virtualisation-serveurs-cloud-prive.html CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 15
- 16. Cloud Computing etSécurité CONSIDÉRATIONS GÉNÉRALES SUR LA SÉCURITÉ CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 16
- 17. Cloud Computing etSécurité L’entreprise a le contrôle Qui contrôle quoi ? Partage du contrôle avec le fournisseur Le fournisseur de service a le contrôle Informatique Hébergeur IaaS public PaaS public SaaS public Données Données Données Données Données Applications Applications Applications Applications Applications Machine Machine Machine Machine Machine Virtuelle Virtuelle Virtuelle Virtuelle Virtuelle Serveur Serveur Serveur Serveur Serveur Stockage Stockage Stockage Stockage Stockage Réseau Réseau Réseau Réseau Réseau Burton Group : Cloud Computing Security in the Enterprise – Jul. 2009 CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 17
- 18. Cloud Computing etSécurité Les préoccupations classiques du Cloud Mes données sont elles sûres dans le Cloud ? Qui va avoir accès aux données ? Aurai-je accès à mes données à n’importe quel moment ? Qu’arrivera-t-il si nous arrêtons notre contrat? Puis-je être conforme aux lois et aux règlementations ? Où sont stockées mes données ? Qui gère les notifications de brèches de données personnelles ? Pendant combien de temps mes données sont stockées ? Comment sont gérées les réquisitions éventuelles ? CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 18
- 19. Cloud Computing etSécurité Les avantages généraux en termes de sécurité Faire passer des données publiques ou non sensibles vers un Cloud externe réduit l’exposition des données internes sensibles L’homogénéité du Cloud simplifie l’audit et les tests de sécurité Les Clouds permettent une gestion automatisée de la sécurité Disponibilité : redondance, récupération en cas de désastre CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 19
- 20. Cloud Computing etSécurité Défis sécurité du Cloud (1/2) Dispersion des données et lois internationales relatives au respect de la vie privée Directive Européenne de protection des données et programme U.S. Safe Harbor Exposition des données aux gouvernements étrangers ; obéissance à une ordonnance du tribunal, citation et mandat de perquisition Problèmes de rétention des données Besoin de gestion de l’isolation Multi-location Défis de la journalisation Problèmes de propriété de données Garanties de qualité de service CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 20
- 21. Cloud Computing etSécurité Défis sécurité du Cloud (2/2) Dépendance d’hyperviseurs sécurisés Attraction des hackers (cible intéressante) Sécurité des OS virtuels dans le Cloud Possibilité d’interruptions massives de service Besoins de chiffrement pour la sécurité dans le Cloud Chiffrement de l’accès à l’interface de contrôle d’accès aux ressources du Cloud Chiffrement des accès administratifs aux instances d’OS Chiffrement de l’accès aux applications Chiffrement des données stockées des applications Sécurité Public Cloud versus sécurité Internal Cloud Manque de dispositif public de contrôle de version des versions du SaaS CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 21
- 22. Cloud Computing etSécurité Quelques problèmes complémentaires Problèmes lors du déplacement de données sensibles ou relatives à la vie privée vers le Cloud Evaluation de l’impact en termes de respect de la vie privée Utilisation de SLA pour obtenir la sécurité du Cloud Suggestion de critères requis pour les SLA du Cloud Problèmes avec les analyses forensic dans le Cloud Plan de contingence et récupération en cas de désastre pour des implémentations Cloud Gestion de la conformité FISMA HIPAA SOX PCI Audits SAS 70 CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 22
- 23. Cloud Computing etSécurité Pour résumer Dispersion des données, stockage à l’étranger Conformité Multi-location, isolation Perte de contrôle Exposition aux risques Protection des données CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 23
- 24. Cloud Computing etSécurité Cloud Security Alliance http://cloudsecurityalliance.org/ Conseils de sécurité pour les principaux points d’intérêt du cloud computing Principales menaces sur le cloud computing (avec HP) CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 24
- 25. Cloud Computing etSécurité 13 domaines d’intérêt selon CSA Section I. Cloud Architecture Section III. Operating in the Cloud Domain 1: Cloud Computing Architectural Domain 7: Traditional Security, Framework Business Continuity, and Disaster Recovery Section II. Governing in the Cloud Domain 8: Data Center Operations Domain 2: Governance and Enterprise Risk Domain 9: Incident Response, Management Notification, and Remediation Domain 3: Legal and Electronic Discovery Domain 10: Application Security Domain 4: Compliance and Audit Domain 11: Encryption and Key Management Domain 5: Information Lifecycle Management Domain 12: Identity and Access Management Domain 6: Portability and Interoperability Domain 13: Virtualization CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 25
- 26. Cloud Computing etSécurité Principales menaces selon CSA/HP Abus et utilisation malveillante du cloud computing Interfaces et API non sécurisés Malveillances internes Problèmes dus au partage de technologie Perte ou fuite de données Détournement de compte ou de service Profil de risque inconnu CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 26
- 27. Cloud Computing etSécurité ENISA: Cloud Computing Risk Assessment European Network and Information Security Agency 35 risques identifiés Risques politiques et organisationnels Risques techniques Risques juridiques Risques non spécifiques au cloud CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 27
- 28. Cloud Computing etSécurité Risques les plus élevés selon l’ENISA Enfermement dans une solution Perte de gouvernance, de contrôle – impossibilité de se conformer à des exigences de sécurité Défis de la conformité Échec de l’isolation (multi-location) Ordonnance de tribunal, citation, mandat de perquisition, saisie par le gouvernement local Changement de juridictions (manque de transparence) Protection des données Réseau (congestion, utilisation non optimale…) CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 28
- 29. Cloud Computing etSécurité Cloud ≠ Virtualisation, mais… Dans certains cas (IaaS), les risques de la virtualisation s’appliquent pleinement : Isolation Gestion des mises à jour Réseau Multi-location CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 29
- 30. Cloud Computing etSécurité Implications techniques sur l’architecture Fournisseurs : IDS, systèmes d’analyse comportementale réseau, avertissement de DDoS Chiffrement des données en transit à tous les niveaux Chiffrement au niveau du stockage Défi de la gestion des clés… Contrôle d’accès Gestion d’identité, fédération d’identité, « identity clouds », SAML Sécurité applicative CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 30
- 31. Cloud Computing etSécurité Conclusion Avantages certains Risques juridiques importants Importance des contrats (enfermement, juridiction…) Risques techniques classiques Surveiller les travaux de CSA, NIST, ENISA CSA Control Matrix (CM) CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 31
- 32. Cloud Computing etSécurité Références Berkeley: http://berkeleyclouds.blogspot.com/ NIST: http://csrc.nist.gov/groups/SNS/cloud-computing/ ENISA: http://www.enisa.europa.eu/act/rm/files/deliverables/cl oud-computing-risk-assessment CSA: http://cloudsecurityalliance.org/ CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 32
- 33. Cloud Computing etSécurité Références http://www.microsoft.com/france/securite/guides- conseils/cloud.aspx http://asert.arbornetworks.com/2010/04/why-hackers-love- the-cloud/ http://www.itrmanager.com/articles/103242/1re-enquete- cloud-computing-france-br-virtualisation-serveurs-cloud- prive.html http://cloudsecurity.org/ http://cloudaudit.org/ http://www.forrester.com/cloudprivacyheatmap http://www.trusted-cloud.com/ CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 33
- 34. Cloud Computing etSécurité Offres Microsoft http://www.microsoft.com/cloud http://www.microsoft.com/windowsazure http://www.microsoft.com/bpos http://www.microsoft.com/privatecloud CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 34