1. Cycle de conférences sur
Cloud Computing et Virtualisation
Le “Cloud” et la sécurité
Stéphane Duproz
Directeur Général, TelecityGroup
2. Le “Cloud” et la Sécurité
Le « Cloud » a déjà décollé
Source: http://blog.rightscale.com/
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 2
3. Le “Cloud” et la Sécurité
Mais de quoi s’agit-il exactement ?
« Il est intéressant d’observer que le Cloud Computing a été redéfini de
manière à y inclure tout ce qui se fait d’ores et déjà. Je ne vois rien qui ne
relève pas du Cloud Computing dans toutes les annonces actuelles.
L’industrie informatique est la seule à être plus soumise à la mode que la
mode féminine elle-même…
« …je ne comprends pas ce que faisons différemment à la lumière du Cloud,
à part changer les mots utilisés dans nos annonces publicitaires. »
- Larry Ellison, CEO, Oracle
« Beaucoup de gens sautent dans le train du Cloud, mais je n’ai pas
entendu deux personnes dire la même chose sur ce sujet…
…Il existe de multiples définitions de ce qu’est le Cloud. »
- Andy Isherwood, VP en charge des service logiciels pour l’Europe, HP
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 3
4. Le “Cloud” et la Sécurité
L’histoire du Cloud Computing est
plutôt simple
2000 2010
“Services d’hébergement” “Services de Cloud”
Fournisseur de Logiciel en tant que service
services applicatifs (Software-as-a-Service - SaaS)
SalesForce, Microsoft
Augmentation de valeur
Hotmail, NetSuite, Google Docs
Hébergement Plate-forme en tant que service
administré (Platform-as-a-Service - PaaS)
Google AppEngine,
(Managed Hosting)
RackSpace, Microsoft Azure
Hébergement partagé Infrastructure en tant que
et dédié service (Infrastructure-as-a-
Service - Iaas)
Amazon EC2
Machine dédiée Plate-forme partagée, virtualisée
Processeur single-core Processeur multi-core
Paiement à l’application Paiement à l’usage
Généralement mono-utilisateur Multi-utilisateurs
Evolution
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 4
5. Le “Cloud” et la Sécurité
Même l’interprétation la plus simple reste complexe :
les 3 couches du Cloud
Selon qui consomme les services de Cloud Computing, le concept incorpore des
combinaisons variables des trois modèles de services suivants :
Collaboration CRM etc.
Logiciel en tant que service
Services & plates-formes pour développer
de nouvelles applications (via de nouvelles API)
Facturation Sécurité Middleware Bases de données
Plate-forme en tant que service
Serveurs Réseau Tissu de Stockage
data centers
Éléments partagés, virtualisés – Adaptation dynamique aux besoins
S3 EC2
Infrastructure en tant que service
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 5
6. Le “Cloud” et la Sécurité
De même que les modèles de distribution
Navigation dans le Cloud – Une première proposition de taxonomie
Niveau de partage
Cloud Serveurs de Clouds PaaS SaaS public
public d’infrastructure publics Plate-forme applicative : Applications :
Public :
CPU, stockage : Cloud OS : Microsoft Force.com, NetSuite-BOS Workday, RightNow
partagé avec
EC2/S3, IBM Cloud Azure, Google App
d’autres entreprises Engine
Clouds privés Clouds privés SaaS privé virtuel
Privé virtuel : virtuels évolutifs virtuels de serveurs Applications métiers ;
partagé mais fiable CPU, stockage : Cloud OS : appli. SaaS second tiers
outsourcing partagé outsourcing partagé
Clouds privés Concepts ASP Sur site
Privé :
Infrastructure virtualisée : Plates-formes d’applications métiers Packaged apps:
sur site interne Oracle Fusion Middleware, IBM WebSphere SAP Business Suite
Infrastructure Serveur Plates-formes Applications
de base d’entreprise métiers métiers
Valeur économique pour l’entreprise Source: Forrester Research, Inc.
• Public : services fournis par l’extérieur, via un WAN ou Internet
• Privé : à l’intérieur du firewall de l’entreprise
• Hybride : combinaison d’applications fournies par les plates-formes et
l’infrastructure propres de l’entreprise, complétée par les offres de
prestataires extérieurs pour certains usages ou applications
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 6
7. Le “Cloud” et la Sécurité
Donc…
Il n’existe PAS ENCORE de standards et de bonnes
pratiques généralisées…
Pour l’instant…
chaque consultant ou fournisseur vous dira :
Cloud = ce que je dis que c’est = notre produit
recommandé
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 7
8. Le “Cloud” et la Sécurité
Ce que nous pensons du Cloud – en termes simples
Tous les équipements
matériels et les
logiciels habituellement
Logiciel en tant que service associés à un centre
(SaaS) de données
Plate-forme en tant que service
(PaaS)
Infrastructure en tant que service
(IaaS)
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 8
9. Le “Cloud” et la Sécurité
Facteurs d’adoption du Cloud
Efficacité Productivité Economies
Accès aux applications • Utilisation plus efficace • Pas de CAPEX
et données indépendant des ressources • OPEX Prévisibles
du terminal, de informatiques
n’importe où, à tout • Consommation
• Services évolutifs, à la mesurée, paiement à
moment demande l’utilisation
Le Cloud Computing est possible grâce à (enablers) :
Connectivité, Virtualisation, Data centers
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 9
10. Le “Cloud” et la Sécurité
Ce qu’en dit TelecityGroup…
Le Cloud n’est pas une technologie…
Le Cloud résulte de la réunion de tendances et de technologies EXISTANTES -- virtualisation,
développement d’Internet et de la bande passante, Web 2.0… --
Combinées pour fournir des infrastructures applicatives évolutives aux entreprises
…mais un modèle d’exploitation et de distribution de l’IT
Trois modèles de services dominants – caractérisés par le self-service et une utilisation évolutive et
mesurée des ressources
Et trois modèles de distribution : privé, public et hybride
Tous ces modèles reposent fondamentalement sur des centres de données de haute qualité et
hautement connectés
C’est une réelle opportunité de marché :
Un potentiel de nouvelles affaires de 1 milliard de c.$ dans les 2 à 3 prochaines années pour
l’ENSEMBLE des services de Cloud Computing et des modèles de distribution*
Le fait que le Cloud repose sur des dépenses de fonctionnement (OPEX) et non d’investissement
(CAPEX) a accéléré sa croissance lors de la crise économique récente
Oui, le Cloud est aujourd’hui mis à toutes les sauces (‘Cloud-washing’) mais certains de ses développements sont
fondamentaux et vont révolutionner l’informatique des entreprises à terme
*Source: Forrester Research
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 10
11. Le “Cloud” et la Sécurité
Rôle du centre de données indépendant
face aux défis du Cloud Computing
Avantages Adoption initiale Défis
Applications
Paiement à l’usage Sécurité
collaboratives
Déploiement rapide Applications Web /
Disponibilité
pour l’utilisateur servers Web
Paiement mensuel Services de sauvegarde / Performance des
prévisible archivage de données applications
Applications d’entreprise Evolutivité
Normalisation (RH, CRM, ERP)
Energie
Freins à l’adoption
Source: IDC Enterprise Panel, 3Q09, n = 263, September 2009
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 11
12. Le “Cloud” et la Sécurité
Les centres de données, acteurs clés du Cloud Computing
• Conception, construction et
exploitation de centres de
données indépendants de tout
opérateur et basés sur des
concepts, des processus et des Alimentation Protection Groupe Accès Température,
électrique incendie électrogènes strictement humidité et ventilation
standards uniformes continue de secours contrôlés strictement
contrôlées
• Fourniture d’un environnement
sécurisé pour l’infrastructure
informatique et le stockage des
données des clients
• Accès offert à de multiples
réseaux et clients dans un
environnement à faible latence et
à haute connectivité
Installations Connectivité à plusieurs Supervision Respect de
client réseaux Tiers 1 24x7 l’environnement
• Accès à des opportunités de
revenus
• Réduction des dépenses CAPEX
et OPEX pour les clients
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 12
13. Le “Cloud” et la Sécurité
Les CIO et les responsables informatiques doivent …
Se demander :
• Où l’adoption de services de Cloud Computing a le plus de sens dans leur
organisation ?
• S’il est possible d’expérimenter ces services sans impact sur la production ?
Comprendre :
• Le mandat donné au niveau du board : consensus organisationnel et direction
• La nécessité d’auditer tous les logiciels et matériels dans l’optique d’un
passage au Cloud
Développer :
• Une stratégie d’adoption de services de Cloud Computing hybrides (privés/publics)
• Une feuille de route
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 13
14. Le “Cloud” et la Sécurité
Les questions que vous devez poser
Est-ce que ma plate- Evolutive ?
forme de Cloud privée TelecityGroup exploite dans toute l’Europe
sera suffisamment… des centres de données offrant une
évolutivité de premier ordre
Connectée ?
TelecityGroup donne accès à de
multiples réseaux, points d’échange et
fournisseurs d’accès Internet en Europe
Sûre et résiliente ?
TelecityGroup possède des installations
sécurisées, dotées de systèmes d’alimentation
électrique et de climatisation redondants
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 14
15. Le “Cloud” et la Sécurité
La sécurité dans le Cloud
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 15
16. Le “Cloud” et la Sécurité
Etat des lieux
Dans le Cloud, la sécurité dépend des contrôles et garanties apportés par des tiers,
comme dans l’outsourcing traditionnel
Les mêmes menaces internes et externes sont présentes
Il n’existe pas de standard de sécurité commun pour le Cloud Computing, ce qui pose un
problème supplémentaire
De nombreux fournisseurs du Cloud mettent en oeuvre leurs propres normes et des
technologies de sécurité propriétaires
Il faut les évaluer selon leurs propres mérites
Dans le modèle du fournisseur, le client doit s’assurer que la sécurité du Cloud répond à
ses propres règles de sécurité en faisant l’inventaire de ses besoins, en évaluant les
risques du fournisseur et les garanties qu’il apporte
Les principaux défis en matière de sécurité des informations concernent :
1. Les menaces pesant sur les informations résidant dans les environnements de
Cloud Computing
2. Le type d’attaquants et leur capacité à s’attaquer au Cloud
3. Les risques de sécurité associés au Cloud et les mesures à prendre contre les
attaques
4. Les menaces émergentes pouvant affecter la sécurité du Cloud
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 16
17. Le “Cloud” et la Sécurité
1. Menaces
• Confidentialité • Disponibilité
– Menaces internes : utilisateurs – Gestion des changements
malintentionnés
• Modification d’infrastructure ou tests
– Menaces externes : attaque à distance réalisés par un client et ayant un impact
des logiciels et/ou machines sur les autres clients du Cloud
– Fuite de données : – Menace de déni de service
• Brèche au niveau des droits d’accès sur • Déni de service réseau & bande
plusieurs domaines
passante / DNS / applications &
• Brèche au niveau des systèmes de données
transport électronique et/ou physique des
données et/ou sauvegardes – Interruption physique
• Intégrité • Interruption de l’accès physique du fait
du fournisseur de Cloud, d’un client ou
– Ségrégation des données du fournisseur de WAN
• Définition incorrecte des périmètres de
sécurité (machines virtuelles, hyperviseurs, – Procédures de restauration
stockage) insuffisamment robustes
– Accès utilisateurs • Recours à des processus de
• Insuffisance des procédures de gestion des restauration de données ou de
identités et des accès continuité d’activité inappropriés
– Qualité de données
• Introduction de composants applicatifs ou
d’éléments d’infrastructures défaillants
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 17
18. Le “Cloud” et la Sécurité
2. Types d’attaquants
• Attaquant interne
• Attaquant externe
• Ces deux types d’attaquants peuvent être catégorisés en menaces :
– Aléatoires
• Balayage systématique d’Internet pour trouver des ordinateurs vulnérables
• Attaques à l’aide d’outils simples et de techniques connues devant pouvoir être détectés facilement
– Faibles
• Attaquants expérimentés ciblant des serveurs / fournisseurs spécifiques du Cloud
• Attaques à l’aide d’outils disponibles dans le commerce mais personnalisés
– Fortes
• Groupes organisés d’attaquants expérimentés et bien financés
• Spécialisés dans l’attaque ciblée de certaines applications et catégories d’utilisateurs de services
du Cloud
• Organisations criminelles agissant souvent à grande échelle
– Substantielles
• Attaquants motivés et adroits, difficiles à détecter par les organisations attaquées et par les
services officiels en charge de la cybercriminalité et de la cybersécurité
• Leur détection demande une meilleure compréhension des attaques
et des ressources spécialisées, à même de réagir aux incidents
et aux menaces
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 18
19. Le “Cloud” et la Sécurité
3. Risques de sécurité
• Accès des utilisateurs privilégiés
– Les fournisseurs du Cloud doivent mettre en œuvre des contrôles spécifiques pour leurs
utilisateurs privilégiés
• Localisation et ségrégation des données
– Les clients peuvent ignorer où sont stockées leurs données
– Risque lié aux données stockées avec les informations d’autres clients
• Elimination des données
– Risque que les données ne soient pas effacées de tous les entrepôts de données,
système de sauvegarde et autres supports physiques en cas de résiliation
• Investigation électronique et contrôle de protection
– Les clients ne peuvent pas déployer leurs propres systèmes de contrôle et
d’investigation : ils doivent faire confiance à ceux de leurs fournisseurs de services de
Cloud Computing
– Les clients doivent recourir aux SLA et auditer les contrôles de sécurité pour assurer la
sécurité des services du Cloud
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 19
20. Le “Cloud” et la Sécurité
4. Menaces émergentes pour la sécurité du Cloud
• Attaques latérales
– Client malintentionné infiltrant une infrastructure de Cloud partagée pour accéder aux
données des autres clients
• Attaques de déni de service
– Consommation des ressources partagées
– Exploitation d’hyperviseurs et de machines virtuelles
• Attaques des réseaux sociaux
– Les grands entrepôts de données clients transforment les plates-formes de Cloud
Computing en cible
• Attaques des terminaux mobiles
– La plupart des appareils mobiles ne bénéficient pas de fonctionnalités de sécurité
équivalentes à celles des PC (de bureau et portables) : protection contre les logiciels
malveillants, anti-virus et chiffrement complet du disque
• Menaces internes et crime organisé
– Risque d’accès aux différents types de données agrégées à partir de plusieurs clients :
informations des cartes de crédits et autres
données financières et personnelles
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 20
21. Le “Cloud” et la Sécurité
En synthèse – Conseils pour limiter les risques
• Obtenir des garanties concernant la sécurité dans le Cloud
• Evaluer les menaces existantes dans le Cloud
• Chiffrer (crypter) les données
• Evaluer les contrôles mis en place par le fournisseur pour séparer les
données des différents utilisateurs du Cloud
• Vérifier que l’élimination des données peut être effectuée correctement dans
le Cloud
• Identifier la localisation géographique de tous les sites de stockage, de
traitement et de transfert de données
• Evaluer l’efficacité de la surveillance de la protection du Cloud
• Evaluer les questions de gestion d’identité et d’interopérabilité
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 21
22. Le “Cloud” et la Sécurité
Merci de votre
attention
Stéphane Duproz
stephane.duproz@telecity.com
01 49 97 39 68
CLUSIF > Sécurité de la Virtualisation et du Cloud Computing / Paris 14/04/2010 22