Clusif cloud-2010-securite
Upcoming SlideShare
Loading in...5
×
 

Clusif cloud-2010-securite

on

  • 3,047 views

 

Statistics

Views

Total Views
3,047
Views on SlideShare
3,041
Embed Views
6

Actions

Likes
0
Downloads
244
Comments
0

1 Embed 6

http://www.slideshare.net 6

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Clusif cloud-2010-securite Clusif cloud-2010-securite Presentation Transcript

    • Cycle de conférences sur Cloud Computing et Virtualisation Cloud Computing et Sécurité Pascal Sauliere, Architecte, Microsoft France
    • Cloud Computing et Sécurité Agenda Qu’est-ce que le Cloud Computing ? NIST Berkeley Sécurité dans le Cloud Généralités Cloud Security Alliance (CSA) European Network and Information Security Agency (ENISA) CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 2
    • Cloud Computing et Sécurité QU’EST-CE QUE LE CLOUD COMPUTING ? CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 3
    • Cloud Computing et Sécurité 5ème génération d’architecture 2010 Cloud 2000 SOA 1990 Web 1980 Client-Server 1970 Mainframe CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 4
    • Cloud Computing et Sécurité Qu’est-ce que le Cloud Computing ? Deux références utiles : The NIST Definition of Cloud Computing (oct. 2009) Above the Clouds: A Berkeley View of Cloud Computing (fév. 2009) http://geekandpoke.typepad.com/ CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 5
    • Cloud Computing et Sécurité Qu’est-ce que le Cloud Computing ? L’ensemble des disciplines, technologies et modèles commerciaux utilisés pour délivrer des capacités informatiques (logiciel, plateformes, matériel) comme un service à la demande 5 caractéristiques 3 modèles de service 4 modèles de déploiement CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 6
    • Cloud Computing et Sécurité 5 Caractéristiques Libre service à la demande Accès réseau, clients variés Mise en commun des ressources (pooling) « Élasticité » rapide Service mesuré et facturation à l’usage CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 7
    • Cloud Computing et Sécurité 3 modèles de service A construire soi-même Exemples Software BPOS, Google Apps, as a Service Salesforce.com... (SaaS) Platform as a Microsoft Azure, Force.com, Service (PaaS) Google App Engine… Microsoft Azure, EC2, Infrastructure hébergeurs de systèmes, as a Service (IaaS) fournisseurs de machines virtuelles CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 8
    • Cloud Computing et Sécurité 4 modèles de déploiement Private Cloud Propriété (ou location) de l’entreprise Interne ou externe Par certains côtés, une évolution du travail du Jericho Forum Community Cloud Infrastructure partagée pour une communauté spécifique (un état…) Interne ou externe Public Cloud Infrastructure louée à n’importe quelle catégorie d’acheteur L’infrastructure est la propriété du fournisseur Hybrid Cloud La composition de deux ou plus formes de Clouds qui permettent la portabilité des données et des applications On ne crée pas un Hybrid Cloud juste en fédérant les identités CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 9
    • Cloud Computing et Sécurité Résumé de la vue du NIST CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 10
    • Cloud Computing et Sécurité Le Continuum du Cloud Computing BENEFICE DU CHOIX CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 11
    • Cloud Computing et Sécurité Adoption du Cloud en France Largement associé à la virtualisation (92%), principalement de serveurs (88%) Projet qui doit être piloté par la DSI (67%) Largement orienté vers les clouds privés (71%) Stratégique pour seulement 24 % des entreprises SaaS : Messagerie (54%), Finance et compta (26%), CRM Enquête : Pierre Audoin Consultants pour EMC, Vmware, Intel http://www.itrmanager.com/articles/103242/1re-enquete-cloud-computing-france-br-virtualisation-serveurs-cloud-prive.html CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 12
    • Cloud Computing et Sécurité Adoption du Cloud en France Enquête : Pierre Audoin Consultants pour EMC, Vmware, Intel http://www.itrmanager.com/articles/103242/1re-enquete-cloud-computing-france-br-virtualisation-serveurs-cloud-prive.html CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 13
    • Cloud Computing et Sécurité Cloud privé en tête Enquête : Pierre Audoin Consultants pour EMC, Vmware, Intel http://www.itrmanager.com/articles/103242/1re-enquete-cloud-computing-france-br-virtualisation-serveurs-cloud-prive.html CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 14
    • Cloud Computing et Sécurité Freins à l’adoption Enquête : Pierre Audoin Consultants pour EMC, Vmware, Intel http://www.itrmanager.com/articles/103242/1re-enquete-cloud-computing-france-br-virtualisation-serveurs-cloud-prive.html CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 15
    • Cloud Computing et Sécurité CONSIDÉRATIONS GÉNÉRALES SUR LA SÉCURITÉ CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 16
    • Cloud Computing et Sécurité L’entreprise a le contrôle Qui contrôle quoi ? Partage du contrôle avec le fournisseur Le fournisseur de service a le contrôle Informatique Hébergeur IaaS public PaaS public SaaS public Données Données Données Données Données Applications Applications Applications Applications Applications Machine Machine Machine Machine Machine Virtuelle Virtuelle Virtuelle Virtuelle Virtuelle Serveur Serveur Serveur Serveur Serveur Stockage Stockage Stockage Stockage Stockage Réseau Réseau Réseau Réseau Réseau Burton Group : Cloud Computing Security in the Enterprise – Jul. 2009 CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 17
    • Cloud Computing et Sécurité Les préoccupations classiques du Cloud Mes données sont elles sûres dans le Cloud ? Qui va avoir accès aux données ? Aurai-je accès à mes données à n’importe quel moment ? Qu’arrivera-t-il si nous arrêtons notre contrat? Puis-je être conforme aux lois et aux règlementations ? Où sont stockées mes données ? Qui gère les notifications de brèches de données personnelles ? Pendant combien de temps mes données sont stockées ? Comment sont gérées les réquisitions éventuelles ? CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 18
    • Cloud Computing et Sécurité Les avantages généraux en termes de sécurité Faire passer des données publiques ou non sensibles vers un Cloud externe réduit l’exposition des données internes sensibles L’homogénéité du Cloud simplifie l’audit et les tests de sécurité Les Clouds permettent une gestion automatisée de la sécurité Disponibilité : redondance, récupération en cas de désastre CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 19
    • Cloud Computing et Sécurité Défis sécurité du Cloud (1/2) Dispersion des données et lois internationales relatives au respect de la vie privée Directive Européenne de protection des données et programme U.S. Safe Harbor Exposition des données aux gouvernements étrangers ; obéissance à une ordonnance du tribunal, citation et mandat de perquisition Problèmes de rétention des données Besoin de gestion de l’isolation Multi-location Défis de la journalisation Problèmes de propriété de données Garanties de qualité de service CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 20
    • Cloud Computing et Sécurité Défis sécurité du Cloud (2/2) Dépendance d’hyperviseurs sécurisés Attraction des hackers (cible intéressante) Sécurité des OS virtuels dans le Cloud Possibilité d’interruptions massives de service Besoins de chiffrement pour la sécurité dans le Cloud Chiffrement de l’accès à l’interface de contrôle d’accès aux ressources du Cloud Chiffrement des accès administratifs aux instances d’OS Chiffrement de l’accès aux applications Chiffrement des données stockées des applications Sécurité Public Cloud versus sécurité Internal Cloud Manque de dispositif public de contrôle de version des versions du SaaS CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 21
    • Cloud Computing et Sécurité Quelques problèmes complémentaires Problèmes lors du déplacement de données sensibles ou relatives à la vie privée vers le Cloud Evaluation de l’impact en termes de respect de la vie privée Utilisation de SLA pour obtenir la sécurité du Cloud Suggestion de critères requis pour les SLA du Cloud Problèmes avec les analyses forensic dans le Cloud Plan de contingence et récupération en cas de désastre pour des implémentations Cloud Gestion de la conformité FISMA HIPAA SOX PCI Audits SAS 70 CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 22
    • Cloud Computing et Sécurité Pour résumer Dispersion des données, stockage à l’étranger Conformité Multi-location, isolation Perte de contrôle Exposition aux risques Protection des données CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 23
    • Cloud Computing et Sécurité Cloud Security Alliance http://cloudsecurityalliance.org/ Conseils de sécurité pour les principaux points d’intérêt du cloud computing Principales menaces sur le cloud computing (avec HP) CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 24
    • Cloud Computing et Sécurité 13 domaines d’intérêt selon CSA Section I. Cloud Architecture Section III. Operating in the Cloud Domain 1: Cloud Computing Architectural Domain 7: Traditional Security, Framework Business Continuity, and Disaster Recovery Section II. Governing in the Cloud Domain 8: Data Center Operations Domain 2: Governance and Enterprise Risk Domain 9: Incident Response, Management Notification, and Remediation Domain 3: Legal and Electronic Discovery Domain 10: Application Security Domain 4: Compliance and Audit Domain 11: Encryption and Key Management Domain 5: Information Lifecycle Management Domain 12: Identity and Access Management Domain 6: Portability and Interoperability Domain 13: Virtualization CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 25
    • Cloud Computing et Sécurité Principales menaces selon CSA/HP Abus et utilisation malveillante du cloud computing Interfaces et API non sécurisés Malveillances internes Problèmes dus au partage de technologie Perte ou fuite de données Détournement de compte ou de service Profil de risque inconnu CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 26
    • Cloud Computing et Sécurité ENISA: Cloud Computing Risk Assessment European Network and Information Security Agency 35 risques identifiés Risques politiques et organisationnels Risques techniques Risques juridiques Risques non spécifiques au cloud CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 27
    • Cloud Computing et Sécurité Risques les plus élevés selon l’ENISA Enfermement dans une solution Perte de gouvernance, de contrôle – impossibilité de se conformer à des exigences de sécurité Défis de la conformité Échec de l’isolation (multi-location) Ordonnance de tribunal, citation, mandat de perquisition, saisie par le gouvernement local Changement de juridictions (manque de transparence) Protection des données Réseau (congestion, utilisation non optimale…) CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 28
    • Cloud Computing et Sécurité Cloud ≠ Virtualisation, mais… Dans certains cas (IaaS), les risques de la virtualisation s’appliquent pleinement : Isolation Gestion des mises à jour Réseau Multi-location CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 29
    • Cloud Computing et Sécurité Implications techniques sur l’architecture Fournisseurs : IDS, systèmes d’analyse comportementale réseau, avertissement de DDoS Chiffrement des données en transit à tous les niveaux Chiffrement au niveau du stockage Défi de la gestion des clés… Contrôle d’accès Gestion d’identité, fédération d’identité, « identity clouds », SAML Sécurité applicative CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 30
    • Cloud Computing et Sécurité Conclusion Avantages certains Risques juridiques importants Importance des contrats (enfermement, juridiction…) Risques techniques classiques Surveiller les travaux de CSA, NIST, ENISA CSA Control Matrix (CM) CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 31
    • Cloud Computing et Sécurité Références Berkeley: http://berkeleyclouds.blogspot.com/ NIST: http://csrc.nist.gov/groups/SNS/cloud-computing/ ENISA: http://www.enisa.europa.eu/act/rm/files/deliverables/cl oud-computing-risk-assessment CSA: http://cloudsecurityalliance.org/ CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 32
    • Cloud Computing et Sécurité Références http://www.microsoft.com/france/securite/guides- conseils/cloud.aspx http://asert.arbornetworks.com/2010/04/why-hackers-love- the-cloud/ http://www.itrmanager.com/articles/103242/1re-enquete- cloud-computing-france-br-virtualisation-serveurs-cloud- prive.html http://cloudsecurity.org/ http://cloudaudit.org/ http://www.forrester.com/cloudprivacyheatmap http://www.trusted-cloud.com/ CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 33
    • Cloud Computing et Sécurité Offres Microsoft http://www.microsoft.com/cloud http://www.microsoft.com/windowsazure http://www.microsoft.com/bpos http://www.microsoft.com/privatecloud CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 34