Your SlideShare is downloading. ×
0
Cycle de conférences sur
Cloud Computing et Virtualisation

         Cloud Computing et Sécurité
 Pascal Sauliere, Archite...
Cloud Computing et Sécurité



        Agenda
                      Qu’est-ce que le Cloud Computing ?
                   ...
Cloud Computing et Sécurité




        QU’EST-CE QUE LE CLOUD
        COMPUTING ?

CLUSIF > Sécurité de la Virtualisation...
Cloud Computing et Sécurité



        5ème génération d’architecture

            2010 Cloud
           2000 SOA
        ...
Cloud Computing et Sécurité


        Qu’est-ce que le
        Cloud Computing ?
                      Deux références uti...
Cloud Computing et Sécurité



        Qu’est-ce que le Cloud Computing ?

     L’ensemble des disciplines, technologies e...
Cloud Computing et Sécurité



        5 Caractéristiques
                      Libre service à la demande
               ...
Cloud Computing et Sécurité



        3 modèles de service
                      A construire soi-même                   ...
Cloud Computing et Sécurité



        4 modèles de déploiement
                      Private Cloud
                      ...
Cloud Computing et Sécurité



        Résumé de la vue du NIST




CLUSIF > Sécurité de la Virtualisation et du Cloud Com...
Cloud Computing et Sécurité


   Le Continuum du Cloud Computing



                                  BENEFICE DU CHOIX


...
Cloud Computing et Sécurité



        Adoption du Cloud en France
                          Largement associé à la virtua...
Cloud Computing et Sécurité



        Adoption du Cloud en France




                                Enquête : Pierre Au...
Cloud Computing et Sécurité



        Cloud privé en tête




                                Enquête : Pierre Audoin Con...
Cloud Computing et Sécurité



        Freins à l’adoption




                                Enquête : Pierre Audoin Con...
Cloud Computing et Sécurité




        CONSIDÉRATIONS GÉNÉRALES SUR LA
        SÉCURITÉ


CLUSIF > Sécurité de la Virtual...
Cloud Computing et Sécurité

                                                                                    L’entrepr...
Cloud Computing et Sécurité



        Les préoccupations classiques du Cloud
                      Mes données sont elles...
Cloud Computing et Sécurité


        Les avantages généraux en termes de
        sécurité
                      Faire pas...
Cloud Computing et Sécurité



        Défis sécurité du Cloud (1/2)
                      Dispersion des données et lois ...
Cloud Computing et Sécurité



        Défis sécurité du Cloud (2/2)
                      Dépendance d’hyperviseurs sécur...
Cloud Computing et Sécurité



        Quelques problèmes complémentaires
                      Problèmes lors du déplacem...
Cloud Computing et Sécurité



        Pour résumer
                      Dispersion des données, stockage à l’étranger
  ...
Cloud Computing et Sécurité



        Cloud Security Alliance
                                         http://cloudsecuri...
Cloud Computing et Sécurité



        13 domaines d’intérêt selon CSA
   Section I. Cloud Architecture                   ...
Cloud Computing et Sécurité



        Principales menaces selon CSA/HP
                      Abus et utilisation malveill...
Cloud Computing et Sécurité


        ENISA: Cloud Computing Risk
        Assessment
                      European Networ...
Cloud Computing et Sécurité



        Risques les plus élevés selon l’ENISA
                      Enfermement dans une so...
Cloud Computing et Sécurité



        Cloud ≠ Virtualisation, mais…
                      Dans certains cas (IaaS), les r...
Cloud Computing et Sécurité


        Implications techniques sur
        l’architecture
                      Fournisseur...
Cloud Computing et Sécurité



        Conclusion
                      Avantages certains
                      Risques j...
Cloud Computing et Sécurité



        Références
                      Berkeley: http://berkeleyclouds.blogspot.com/
    ...
Cloud Computing et Sécurité



        Références
                      http://www.microsoft.com/france/securite/guides-
 ...
Cloud Computing et Sécurité



        Offres Microsoft
                      http://www.microsoft.com/cloud
             ...
Upcoming SlideShare
Loading in...5
×

Clusif cloud-2010-securite

2,942

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
2,942
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
258
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Clusif cloud-2010-securite"

  1. 1. Cycle de conférences sur Cloud Computing et Virtualisation Cloud Computing et Sécurité Pascal Sauliere, Architecte, Microsoft France
  2. 2. Cloud Computing et Sécurité Agenda Qu’est-ce que le Cloud Computing ? NIST Berkeley Sécurité dans le Cloud Généralités Cloud Security Alliance (CSA) European Network and Information Security Agency (ENISA) CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 2
  3. 3. Cloud Computing et Sécurité QU’EST-CE QUE LE CLOUD COMPUTING ? CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 3
  4. 4. Cloud Computing et Sécurité 5ème génération d’architecture 2010 Cloud 2000 SOA 1990 Web 1980 Client-Server 1970 Mainframe CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 4
  5. 5. Cloud Computing et Sécurité Qu’est-ce que le Cloud Computing ? Deux références utiles : The NIST Definition of Cloud Computing (oct. 2009) Above the Clouds: A Berkeley View of Cloud Computing (fév. 2009) http://geekandpoke.typepad.com/ CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 5
  6. 6. Cloud Computing et Sécurité Qu’est-ce que le Cloud Computing ? L’ensemble des disciplines, technologies et modèles commerciaux utilisés pour délivrer des capacités informatiques (logiciel, plateformes, matériel) comme un service à la demande 5 caractéristiques 3 modèles de service 4 modèles de déploiement CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 6
  7. 7. Cloud Computing et Sécurité 5 Caractéristiques Libre service à la demande Accès réseau, clients variés Mise en commun des ressources (pooling) « Élasticité » rapide Service mesuré et facturation à l’usage CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 7
  8. 8. Cloud Computing et Sécurité 3 modèles de service A construire soi-même Exemples Software BPOS, Google Apps, as a Service Salesforce.com... (SaaS) Platform as a Microsoft Azure, Force.com, Service (PaaS) Google App Engine… Microsoft Azure, EC2, Infrastructure hébergeurs de systèmes, as a Service (IaaS) fournisseurs de machines virtuelles CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 8
  9. 9. Cloud Computing et Sécurité 4 modèles de déploiement Private Cloud Propriété (ou location) de l’entreprise Interne ou externe Par certains côtés, une évolution du travail du Jericho Forum Community Cloud Infrastructure partagée pour une communauté spécifique (un état…) Interne ou externe Public Cloud Infrastructure louée à n’importe quelle catégorie d’acheteur L’infrastructure est la propriété du fournisseur Hybrid Cloud La composition de deux ou plus formes de Clouds qui permettent la portabilité des données et des applications On ne crée pas un Hybrid Cloud juste en fédérant les identités CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 9
  10. 10. Cloud Computing et Sécurité Résumé de la vue du NIST CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 10
  11. 11. Cloud Computing et Sécurité Le Continuum du Cloud Computing BENEFICE DU CHOIX CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 11
  12. 12. Cloud Computing et Sécurité Adoption du Cloud en France Largement associé à la virtualisation (92%), principalement de serveurs (88%) Projet qui doit être piloté par la DSI (67%) Largement orienté vers les clouds privés (71%) Stratégique pour seulement 24 % des entreprises SaaS : Messagerie (54%), Finance et compta (26%), CRM Enquête : Pierre Audoin Consultants pour EMC, Vmware, Intel http://www.itrmanager.com/articles/103242/1re-enquete-cloud-computing-france-br-virtualisation-serveurs-cloud-prive.html CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 12
  13. 13. Cloud Computing et Sécurité Adoption du Cloud en France Enquête : Pierre Audoin Consultants pour EMC, Vmware, Intel http://www.itrmanager.com/articles/103242/1re-enquete-cloud-computing-france-br-virtualisation-serveurs-cloud-prive.html CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 13
  14. 14. Cloud Computing et Sécurité Cloud privé en tête Enquête : Pierre Audoin Consultants pour EMC, Vmware, Intel http://www.itrmanager.com/articles/103242/1re-enquete-cloud-computing-france-br-virtualisation-serveurs-cloud-prive.html CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 14
  15. 15. Cloud Computing et Sécurité Freins à l’adoption Enquête : Pierre Audoin Consultants pour EMC, Vmware, Intel http://www.itrmanager.com/articles/103242/1re-enquete-cloud-computing-france-br-virtualisation-serveurs-cloud-prive.html CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 15
  16. 16. Cloud Computing et Sécurité CONSIDÉRATIONS GÉNÉRALES SUR LA SÉCURITÉ CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 16
  17. 17. Cloud Computing et Sécurité L’entreprise a le contrôle Qui contrôle quoi ? Partage du contrôle avec le fournisseur Le fournisseur de service a le contrôle Informatique Hébergeur IaaS public PaaS public SaaS public Données Données Données Données Données Applications Applications Applications Applications Applications Machine Machine Machine Machine Machine Virtuelle Virtuelle Virtuelle Virtuelle Virtuelle Serveur Serveur Serveur Serveur Serveur Stockage Stockage Stockage Stockage Stockage Réseau Réseau Réseau Réseau Réseau Burton Group : Cloud Computing Security in the Enterprise – Jul. 2009 CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 17
  18. 18. Cloud Computing et Sécurité Les préoccupations classiques du Cloud Mes données sont elles sûres dans le Cloud ? Qui va avoir accès aux données ? Aurai-je accès à mes données à n’importe quel moment ? Qu’arrivera-t-il si nous arrêtons notre contrat? Puis-je être conforme aux lois et aux règlementations ? Où sont stockées mes données ? Qui gère les notifications de brèches de données personnelles ? Pendant combien de temps mes données sont stockées ? Comment sont gérées les réquisitions éventuelles ? CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 18
  19. 19. Cloud Computing et Sécurité Les avantages généraux en termes de sécurité Faire passer des données publiques ou non sensibles vers un Cloud externe réduit l’exposition des données internes sensibles L’homogénéité du Cloud simplifie l’audit et les tests de sécurité Les Clouds permettent une gestion automatisée de la sécurité Disponibilité : redondance, récupération en cas de désastre CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 19
  20. 20. Cloud Computing et Sécurité Défis sécurité du Cloud (1/2) Dispersion des données et lois internationales relatives au respect de la vie privée Directive Européenne de protection des données et programme U.S. Safe Harbor Exposition des données aux gouvernements étrangers ; obéissance à une ordonnance du tribunal, citation et mandat de perquisition Problèmes de rétention des données Besoin de gestion de l’isolation Multi-location Défis de la journalisation Problèmes de propriété de données Garanties de qualité de service CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 20
  21. 21. Cloud Computing et Sécurité Défis sécurité du Cloud (2/2) Dépendance d’hyperviseurs sécurisés Attraction des hackers (cible intéressante) Sécurité des OS virtuels dans le Cloud Possibilité d’interruptions massives de service Besoins de chiffrement pour la sécurité dans le Cloud Chiffrement de l’accès à l’interface de contrôle d’accès aux ressources du Cloud Chiffrement des accès administratifs aux instances d’OS Chiffrement de l’accès aux applications Chiffrement des données stockées des applications Sécurité Public Cloud versus sécurité Internal Cloud Manque de dispositif public de contrôle de version des versions du SaaS CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 21
  22. 22. Cloud Computing et Sécurité Quelques problèmes complémentaires Problèmes lors du déplacement de données sensibles ou relatives à la vie privée vers le Cloud Evaluation de l’impact en termes de respect de la vie privée Utilisation de SLA pour obtenir la sécurité du Cloud Suggestion de critères requis pour les SLA du Cloud Problèmes avec les analyses forensic dans le Cloud Plan de contingence et récupération en cas de désastre pour des implémentations Cloud Gestion de la conformité FISMA HIPAA SOX PCI Audits SAS 70 CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 22
  23. 23. Cloud Computing et Sécurité Pour résumer Dispersion des données, stockage à l’étranger Conformité Multi-location, isolation Perte de contrôle Exposition aux risques Protection des données CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 23
  24. 24. Cloud Computing et Sécurité Cloud Security Alliance http://cloudsecurityalliance.org/ Conseils de sécurité pour les principaux points d’intérêt du cloud computing Principales menaces sur le cloud computing (avec HP) CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 24
  25. 25. Cloud Computing et Sécurité 13 domaines d’intérêt selon CSA Section I. Cloud Architecture Section III. Operating in the Cloud Domain 1: Cloud Computing Architectural Domain 7: Traditional Security, Framework Business Continuity, and Disaster Recovery Section II. Governing in the Cloud Domain 8: Data Center Operations Domain 2: Governance and Enterprise Risk Domain 9: Incident Response, Management Notification, and Remediation Domain 3: Legal and Electronic Discovery Domain 10: Application Security Domain 4: Compliance and Audit Domain 11: Encryption and Key Management Domain 5: Information Lifecycle Management Domain 12: Identity and Access Management Domain 6: Portability and Interoperability Domain 13: Virtualization CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 25
  26. 26. Cloud Computing et Sécurité Principales menaces selon CSA/HP Abus et utilisation malveillante du cloud computing Interfaces et API non sécurisés Malveillances internes Problèmes dus au partage de technologie Perte ou fuite de données Détournement de compte ou de service Profil de risque inconnu CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 26
  27. 27. Cloud Computing et Sécurité ENISA: Cloud Computing Risk Assessment European Network and Information Security Agency 35 risques identifiés Risques politiques et organisationnels Risques techniques Risques juridiques Risques non spécifiques au cloud CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 27
  28. 28. Cloud Computing et Sécurité Risques les plus élevés selon l’ENISA Enfermement dans une solution Perte de gouvernance, de contrôle – impossibilité de se conformer à des exigences de sécurité Défis de la conformité Échec de l’isolation (multi-location) Ordonnance de tribunal, citation, mandat de perquisition, saisie par le gouvernement local Changement de juridictions (manque de transparence) Protection des données Réseau (congestion, utilisation non optimale…) CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 28
  29. 29. Cloud Computing et Sécurité Cloud ≠ Virtualisation, mais… Dans certains cas (IaaS), les risques de la virtualisation s’appliquent pleinement : Isolation Gestion des mises à jour Réseau Multi-location CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 29
  30. 30. Cloud Computing et Sécurité Implications techniques sur l’architecture Fournisseurs : IDS, systèmes d’analyse comportementale réseau, avertissement de DDoS Chiffrement des données en transit à tous les niveaux Chiffrement au niveau du stockage Défi de la gestion des clés… Contrôle d’accès Gestion d’identité, fédération d’identité, « identity clouds », SAML Sécurité applicative CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 30
  31. 31. Cloud Computing et Sécurité Conclusion Avantages certains Risques juridiques importants Importance des contrats (enfermement, juridiction…) Risques techniques classiques Surveiller les travaux de CSA, NIST, ENISA CSA Control Matrix (CM) CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 31
  32. 32. Cloud Computing et Sécurité Références Berkeley: http://berkeleyclouds.blogspot.com/ NIST: http://csrc.nist.gov/groups/SNS/cloud-computing/ ENISA: http://www.enisa.europa.eu/act/rm/files/deliverables/cl oud-computing-risk-assessment CSA: http://cloudsecurityalliance.org/ CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 32
  33. 33. Cloud Computing et Sécurité Références http://www.microsoft.com/france/securite/guides- conseils/cloud.aspx http://asert.arbornetworks.com/2010/04/why-hackers-love- the-cloud/ http://www.itrmanager.com/articles/103242/1re-enquete- cloud-computing-france-br-virtualisation-serveurs-cloud- prive.html http://cloudsecurity.org/ http://cloudaudit.org/ http://www.forrester.com/cloudprivacyheatmap http://www.trusted-cloud.com/ CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 33
  34. 34. Cloud Computing et Sécurité Offres Microsoft http://www.microsoft.com/cloud http://www.microsoft.com/windowsazure http://www.microsoft.com/bpos http://www.microsoft.com/privatecloud CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 34
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×