Vous êtes sur la page 1sur 24

// Syntec numrique

LIVRE BLANC

SCURIT DU CLOUD COMPUTING


Analyse des risques, rponses et bonnes pratiques

LE LIVRE BLANC SCURIT DU CLOUD COMPUTING

AVERTISSEMENT AU LECTEUR Cet ouvrage vient complter et dtailler le premier livre blanc Cloud Computing dit par Syntec Numrique en avril 2010. Apprendre en avanant Linformatique, comme de nombreux domaines innovants, apprend en avanant. Ceci est vrai pour le Cloud Computing, dont les offres se dfinissent un peu plus prcisment chaque jour. Ceci est tout aussi vrai pour les problmatiques scuritaires des TIC en gnral, et du Cloud Computing en particulier ! Cet ouvrage constitue donc une photographie des risques et solutions connus, traits et utiliss au moment de la rdaction de cet ouvrage (aot novembre 2010). Cloud Computing &/ou Cloud Storage Ce livre Blanc concerne principalement, et dessein, le Cloud Computing (scurit des donnes contenues dans les instances sur le Cloud). Seuls quelques paragraphes abordent explicitement les problmatiques scuritaires du Cloud Storage (traitement des donnes stockes sur des plates-formes distribues). Dcideurs Dans les lignes qui suivent, nous avons privilgi une approche pratique en ayant pour objectifs, non pas dduquer les RSSI sur la question, mais dapporter des rponses simples et concrtes aux dcideurs : DSI en particulier. Ceci explique : La rdaction dun 2me sommaire (thmatique) rpondant aux interrogations lgitimes les plus courantes des DSI La mise en exergue, ds le chapitre 1, des 9 risques-majeurs lis la scurit des diffrents Clouds Les paragraphes traitant des aspects juridiques et non pas uniquement techniques -de certains sujets La construction de louvrage pouvant parfois entraner des redondances et concerner galement des modles plus traditionnels que le Cloud Computing visant aborder didactiquement la scurit sur les aspects physique , logique et donnes du Cloud. La rdaction

LE LIVRE BLANC SCURIT DU CLOUD COMPUTING

EDITORIAL Une mta-vir tualisation de linformatique par elle-mme, ainsi pourrait-on dfinir le Cloud Computing. Il ne sagit donc pas dune technologie mergente - avec les errements et alas indissociables que cela sous-entend - mais dune abstraction, dun concept de prsentation qui ouvre la porte, pour ses usagers et clients, de trs nombreux avantages (*). Pour lindustrie numrique elle-mme, je retiendrai la comptition que le Cloud Computing suscite : les acteurs monolithes et dominants dhier voient les cartes se rebattre toute vitesse. Nouveaux entrants, nouveaux modles conomiques, nouvelles demandes, nouvelle consommation des TIC... les lignes bougent enfin, rendant ces moments dautant plus exaltants ! Pour autant, cela ne doit pas inquiter les entreprises clientes, et notamment les DSI. En effet, cette nouvelle redistribution des rles prcipite les alliances indites, synonymes dmulation, de crativit, douverture, de standardisation, doffres comptitives... Observons le parcours scuritaire de largent - lingots, bijoux et monnaie-or faciles dtrousser - remplac au fil des... sicles par sa forme la plus abstraite actuelle : la carte bancaire, dont on aura not le niveau lev de scurit. Une trentaine dannes aura suffi aux TIC pour que nos centres informatiques Fort Knox et leurs richesses se dmatrialisent en Cloud Computing, gagnant tout autant en scurit ! Sans tomber dans langlisme, nous pouvons affirmer quen matire de scurit, le Cloud Computing nest pas un agent anxiogne supplmentaire ! Ce deuxime livre blanc, entirement consacr cette thmatique, en fait la preuve par 9 (comme les 9 risques-cls et leur prvention - abords dans les pages qui suivent). Excellente lecture ! Philippe Hedde Prsident du Comit Infrastructures Syntec numrique

(*) Le premier livre blanc publi en dbut danne par Syntec numrique avait su dcrire parfaitement les concepts, atouts et limites du Cloud Computing (en libre tlchargement sur le site www.syntec-numerique.fr).

LE LIVRE BLANC SCURIT DU CLOUD COMPUTING

SOMMAIRE

Introduction gnrale au Cloud Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Problmatiques scuritaires gnralement associes au Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Analyse des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 9 risques principaux identifis autour du Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Scurit physique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Accs physique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Contrle et traabilit des accs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bonnes pratiques de la scurit physique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Scurisation de lenvironnement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Redondance matrielle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Rsilience . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

11 11 11 12 12 13 13

Scurit logique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Scurit des serveurs virtuels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bonnes pratiques de la configuration des VM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Colocation scurise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Segmentation rseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Scurit de linterface dadministration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Scurit des accs et des identits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Scurisation des accs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Accessibilit du service hberg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Adaptabilit aux pics de charge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Impact de la gestion des mises jour de scurit sur la certification . . . . . . . . . . . . . . . . . . .

15 15 15 15 17 17 17 17 18 18 19 19

Scurit des donnes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Responsabilit juridique de la scurit et de la confidentialit des donnes dans le Cloud . . . . . . Protection et rcupration des donnes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Intgrit des donnes (RBAC) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chiffrement li la donne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Donnes du Cloud accessibles aux autorits dun autre pays . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Rversibilit : changer de Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

20 20 20 21 21 21 21

Sources utiles, pour en savoir plus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

Crdits rdaction, remerciements, mentions lgales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

LE LIVRE BLANC SCURIT DU CLOUD COMPUTING

SOMMAIRE CONTEXTUEL

Y a-t-il un risque de perte des donnes mises sur le Cloud ? Y a-t-il un risque de piratage ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20, 21

Quelles sont les prcautions prendre pour scuriser physiquement mon informatique (ce que je dois faire ou demander mon prestataire Cloud) ? . . . . . . . . . . . . . . . . . . . . . . . . . . 12, 13

Peut-on sassurer que le service fourni par le Cloud provider sera toujours accessible ? . . 13, 14

Que faire si une vulnrabilit est dcouverte dans le Cloud ? . . . . . . . . . . . . . . . . . . . . . . . . . 13, 15

Dans un Cloud externalis, comment cloisonner les ressources/donnes/applications entre plusieurs clients hbergs sur les mmes infrastructures physiques mutualises ? . . 15 18

Qui a les droits daccs aux mots de passe que lentreprise cliente utilise pour accder aux services du Cloud ? Qui dispose des droits dadministration ? . . . . . . . . . . . . . . . . . . 11, 17, 18

Qui est juridiquement responsable de la scurit et de la confidentialit des donnes dans le Cloud ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Les donnes du Cloud peuvent-elles tre lues par les autorits dun autre pays ? . . . . . . . . . . . 21

Que se passe-t-il en cas de mise jour du logiciel (failles de scurit dans un OS, antivirus, etc.) ? Faut-il repasser lhomologation (ISO,...) du systme en entier ? . . . . . . . . . . . . . 19

Comment changer de Cloud ? Mes donnes seront-elles effaces lorsque jaurai quitt le premier Cloud provider ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

LE LIVRE BLANC SCURIT DU CLOUD COMPUTING

INTRODUCTION
SUR LE CLOUD COMPUTING EN GNRAL
Avec lapparition dans les annes 1980 de la virtualisation, de linfogrance et de lexternalisation ; avec la dmocratisation de linformatique dans les annes 90 ; et - au cours de la dernire dcennie - avec la gnralisation dInternet, le dveloppement des rseaux haut dbit, la location dapplication, le paiement lusage et la qute socitale de mobilit on peut expliquer rebours lavnement du Cloud Computing (CC). Celui-ci consiste en une interconnexion et une coopration de ressources informatiques, situes au sein dune mme entit ou dans diverses structures internes, externes ou mixtes. Et dont les modes daccs sont bass sur les protocoles et standards Internet. Les solutions Cloud reposent sur des technologies de virtualisation et dautomatisation. Trois caractristiques cls du Cloud le diffrencient de solutions traditionnelles : Services la place de produits technologiques avec mise jour en continu et automatiquement Self-service et paiement lusage (en fonction de ce que lon consomme) Mutualisation et allocation dynamique de capacit (adaptation lastique aux pics de charge). Vu des entreprises utilisatrices (du grand compte multinational la PME locale), le Cloud Computing peut se dfinir comme une approche visant disposer dapplications, de puissance de calcul, de moyens de stockage, etc. comme autant de services . Ceux-ci seront mutualiss, dmatrialiss (donc indpendants de toutes contingences matrielles, logicielles et de communication), contractualiss (en termes de performances, niveau de scurit, cots), volutifs (en volume, fonction, caractristiques) et en libre-service. Avec le CC, o passent donc les progiciels applicatifs, les bases de donnes, les serveurs et autres systmes physiques de distribution, de communication, de sauvegarde et de stockage ? Les machines, applications et donnes pourront tre dissmines ou centralises dans un, ou dans diffrents sites internes, chez des prestataires, dans un data center situ lautre bout de la plante ou sur une myriade de serveurs appartenant un mme nuage . Partant de ces capacits dabstraction et du paradigme des services , le Cloud Computing peut tre reprsent en trois composantes principales dont il est indiffremment lune, les deux ou les trois combines : SaaS (Software as a Service) : concerne les applications dentreprise : CRM, outils collaboratifs, messagerie, BI, ERP , Le modle SaaS permet de dporter une application chez un tiers. Ce modle convient certaines catgories dapplications qui se doivent dtre globalement identiques pour tout le monde, la standardisation tant un des principes du cloud. Le terme SaaS voque bien un service dans le sens o le fournisseur vend une fonction oprationnelle, et non des composants techniques requrant une comptence informatique PaaS (Platform as a Service) : concerne les environnements middleware, de dveloppement, de test, Le modle PaaS consiste mettre disposition un environnement prt lemploi, linfrastructure tant masque. Une plate-forme PaaS permet par exemple davoir un environnement de dveloppement immdiatement disponible IaaS (Infrastructure as a Service) : concerne les serveurs, moyens de stockage, rseau, Le modle IaaS consiste pouvoir disposer dune infrastructure informatique disponible via un modle de dploiement cloud computing. Laccs la ressource est complet et sans restriction, quivalent de fait la mise disposition dune infrastructure physique relle. Ainsi une entreprise pourra par exemple louer des serveurs Linux, Windows ou autres systmes, qui tourneront en fait dans une machine virtuelle chez le fournisseur de lIaaS. DIFFRENTS MODLES DE CLOUD COMPUTING Si, pour le grand public, linformatique dans les nuages fait rfrence globalement et sans autre prcision Internet, pour les entreprises il nen est pas de mme. Diffrents modles de Cloud co-existent. Cloud priv/privatif : Il peut sagir dun nuage interne la DSI (propritaire des infrastructures) ou dun Cloud entirement ddi et accessible via des rseaux scuriss, hberg chez un tiers, mutualis entre les diffrentes entits dune seule et mme entreprise. Ouvert aux partenaires privilgis de lentreprise (fournisseurs, bureaux dtudes, grands clients, institutions financires, prestataires-cls) voire un groupement professionnel, le Cloud peut tre galement de type communautaire . Cloud priv externalis : plate-forme de Cloud Computing qui vise fournir, de manire externalise, les garanties quivalentes celles offertes par un Cloud Priv interne- avec, notamment, un accs la plate-forme par des infrastructures prives (pas daccs via Internet) mais avec un niveau de mutualisation moindre que pour les plates-formes de Cloud Public, ce qui positionne conomiquement ces offres entre le Cloud Public et le Cloud Priv. Cloud public : Il est externe lorganisation, accessible via Internet, gr par un prestataire externe propritaire des infrastructures, avec des ressources partages entre plusieurs socits. Cloud hybride : Ici, il sagit de la conjonction de deux ou plusieurs Cloud (public+priv) amens cooprer , partager entre eux applications et donnes.

LE LIVRE BLANC SCURIT DU CLOUD COMPUTING

LES PROBLMATIQUES SCURITAIRES ASSOCIES AU CLOUD COMPUTING


La scurit est souvent cite comme le frein principal ladoption des services Cloud. Quen est-il rellement ? Laccs aux donnes hberges dans le Cloud prsente en gnral un haut niveau de scurit en raison des mcanismes dauthentification mis en place par les fournisseurs de service. Ces mcanismes peuvent dailleurs tre renforcs par les solutions Corporate clients, de gestion didentits, qui sont alors places en amont dun lien unique avec le fournisseur de solutions Cloud ; notons cependant que certains fournisseurs seulement acceptent une telle architecture. Les entreprises clientes doivent toutefois considrer les points suivants : - Quels types dinformations sont accessibles dans le Cloud ? Qui peut y accder et comment sont-elles isoles des lments non scuriss ? - Qui dispose de droits pour envoyer et recevoir des donnes sensibles en dehors du primtre de lentreprise ? - Quels sont les mcanismes de scurit qui garantissent la confidentialit des donnes de lentreprise au sein du cloud public ? - Comment les donnes sensibles doivent-elles tre envoyes et comment sont-elles accessibles? En clair ou en cryptant certaines dentre elles ? Dautres problmes spcifiques au Cloud restent poss, notamment : - Difficult dobtenir que certaines donnes restent localises dans un pays dsign, le Cloud ne connat pas de frontires ! Il faut alors tre prt ce que le fournisseur doive se conformer des rglementations comme la Directive Europenne de Protection des Donnes ou le USA Patriot Act, qui peuvent autoriser les autorits locales prendre connaissance des donnes (cette possibilit est toutefois largement thorique) - Impossibilit dassurer la traabilit des donnes, par exemple en vue des certifications SAS 70, Sarbanes Oxley ou autres, qui doivent garantir que nul na pu modifier des donnes sans quil en reste une trace. A noter : certains prestataires de services Cloud sont dores et dj certifis SAS 70 (type II). Ces problmes peuvent tre en partie contourns par des architectures applicatives adaptes (encryption ou occultation de la proprit des donnes, et sgrgation des donnes contractuellement auditables).

L'entreprise a le contrle Domaine de responsabilit partag identifi Le fournisseur de service a le contrle

Informatique
Donnes

Hbergeur
Donnes

laaS public
Donnes

PaaS public
Donnes

SaaS public
Donnes

Applications

Applications

Applications

Applications

Applications

Machine virtuelle

Machine virtuelle

Machine virtuelle

Machine virtuelle

Machine virtuelle

Serveur

Serveur

Serveur

Serveur

Serveur

Stockage

Stockage

Stockage

Stockage

Stockage

Rseau

Rseau

Rseau

Rseau

Rseau

Qui a le contrle ?

LE LIVRE BLANC SCURIT DU CLOUD COMPUTING

ANALYSE DES RISQUES


L'inventaire des menaces et une analyse de risques sont pralables tout projet informatique. Cela permet de mieux apprhender le contexte d'utilisation du systme d'information mis en uvre. Si lapport du Cloud est indniable, notamment en terme de flexibilit d'accs des ressources informatiques, la concentration accrue des donnes et le transfert de certaines responsabilits ncessitent danalyser les grandes familles de risques induits. On peut ainsi dfinir quatre catgories de risques valuer : - les risques spcifiques lis aux aspects organisationnels, techniques et juridiques du Cloud - les autres risques qui ne sont pas spcifiques au Cloud mais qui se retrouvent dans tout projet informatique. Lors d'une analyse de risques, et plus forte raison dans le cadre du Cloud, il faut avoir l'esprit trois lments de contexte : - un risque doit toujours tre analys dans un contexte global. Le risque pouvant tre contrebalanc par dautres enjeux (conomies, gains, dlais...) - le niveau de risque peut varier de faon significative selon le type d'architecture de Cloud pris en considration - lorsque les risques sont transfrs un prestataire de service de Cloud, la prise en compte de ces risques par le prestataire, sous forme de service valeur ajoute, doit tre intgre dans le contrat.

NEUF PRINCIPAUX RISQUES IDENTIFIS


Les risques lis l'utilisation du Cloud Computing doivent tre pris en considration comparativement aux risques encourus par les environnements traditionnels .

RISQUE 1 : LA PERTE DE MATRISE ET/OU DE GOUVERNANCE


Criticit : *** Concerne : Cloud externe Comme dans toute externalisation informatique traditionnelle, lutilisation de services d'un prestataire Cloud se traduit dune certaine manire par : un renoncement au contrle sur son infrastructure la perte de la matrise directe du systme d'information une gestion et une exploitation opaques.

RISQUE 2 : DES DFICIENCES AU NIVEAU DES INTERFACES ET DES APIs


Criticit : * Concerne : Cloud interne et Cloud externe Le niveau de portabilit actuel des services, des applications et surtout des donnes est encore peu probante : il y a peu de garanties sur les outils, les procdures, les formats de donnes et les interfaces de services. En cas de rversibilit ou de migration vers un autre fournisseur de services Cloud, les oprations peuvent tre rendues trs complexes, longues et coteuses. En cas d'impossibilit de pouvoir revenir en arrire, le risque est lev de se trouver captif d'une offre particulire. D'autre part, le manque de clart des spcifications des interfaces de programmation (APIs), leur pauvret et le peu de contrle porte des clients sont autant de facteurs de risques supplmentaires. Les risques de compromissions lis un dysfonctionnement des interfaces ou des altrations de donnes sont donc prendre en considration. Les fournisseurs de services du Cloud proposent un ensemble dAPI dont les clients se servent pour grer et interagir entre leur SI et les services dans le Cloud. Lapprovisionnement, la gestion, lorchestration et le contrle sont tous raliss par le biais de ces interfaces. La scurit et la disponibilit des services du Cloud dpendent de la scurit de ces APIs et de la qualit de lintgration. Toute API implique un risque potentiel de scurit et mme de rupture. Un problme au niveau de ces interfaces conduit une perte totale ou partielle de service pour le client. Ceci est vrai pour les Cloud publics et hybrides, car le SI de lentreprise est la fois en interne et dans le Cloud.

LE LIVRE BLANC SCURIT DU CLOUD COMPUTING

RISQUE 3 : CONFORMIT(S) ET MAINTIEN DE LA CONFORMIT


Criticit : ** Concerne : Cloud externe Le contexte protiforme du Cloud gnre de nombreuses questions lies aux aspects rglementaires et juridiques. Et notamment : la responsabilit des donnes et des traitements la coopration avec les entits lgales et de justice (des diffrents pays) la traabilit de l'accs aux donnes aussi bien dans le Cloud, que lorsque ces donnes sont sauvegardes ou archives la possibilit de raliser des contrles et des audits sur le respect des modes opratoires et des procdures le respect dexigences rglementaires mtiers. De plus, lorsque des investissements initiaux ont t raliss, lorsque des certifications ont t acquises ou des seuils de conformit atteints avant le passage sur le Cloud, toute drive doit tre dtecte et une remise en conformit doit tre recherche. Limpossibilit deffectuer des contrles, voire des audits formels (ou leur non ralisation) risque alors de devenir problmatique. De plus, certains types dinfrastructure rendent impossible le respect de critres normatifs (PCI DSS et Cloud public).

RISQUE 4 : LOCALISATION DES DONNES


Criticit : *** Concerne : Cloud externe La dmatrialisation des donnes sur des sites physiques de stockage diffrents peut conduire un clatement des donnes et une rpartition dans diffrents pays. Un manque de matrise de cette rpartition gographique est susceptible de provoquer le non-respect de contraintes rglementaires lies la localisation des donnes sur le territoire dun Etat.

RISQUE 5 : SGRGATION / ISOLEMENT DES ENVIRONNEMENTS ET DES DONNES


Criticit : *** Concerne : Cloud externe La mutualisation des moyens est l'une des caractristiques fondamentale du Cloud. Mais les risques affrents sont nombreux, souvent lis aux mcanismes de sparation : Ltanchit entre diffrents environnements utilisateurs ou clients est une condition sine qua non afin de garantir, a minima, la confidentialit des traitements Lisolation des donnes sous leurs diffrentes formes (stockage, mmoire, transmission et routage, ...) : elle est ralise au moyen de diffrents services de scurit ou techniques de scurisation, telles que le contrle daccs et le chiffrement Lallocation des ressources : la monopolisation de ressources matrielles par un environnement utilisateur ou client ne doit pas tre possible au dtriment de la disponibilit ou, moindre chelles, de la diminution des performances des environnements voisins. Dans le cas d'un environnement partag entre plusieurs "clients locataires", deux sortes dattaque sont possibles, de type "guest-hopping " et contre les hyperviseurs.

LES VERTUS DE LA CERTIFICATION SAS 70 Cre par l'American Institute of Certified Public Accountants, la norme SAS 70 concerne les entreprises qui font appel des fournisseurs spcialiss pour externaliser leurs services. Elle se caractrise par des audits indpendants raliss par des tiers et des vrifications des processus sur site. SAS 70 comporte deux niveaux (Type I et type II). Le premier porte sur la description des activits de la socit et sur la pertinence des contrles. Le deuxime niveau value leur efficacit travers des tests dont les rsultats sont publis dans le rapport SAS 70 (type II). Avantage-cl pour le fournisseur : viter de multiples audits raliss rgulirement par ses diffrents clients. Cest galement un moyen important de diffrenciation commerciale. Pour les entreprises-clientes, et en particulier celles soumises la loi Sarbanes-Oxley, la certification SAS 70 garantit notamment la conformit et le bon ordre de leurs fournisseurs. (source : Wikipedia)

LE LIVRE BLANC SCURIT DU CLOUD COMPUTING

RISQUE 6 : PERTE ET DESTRUCTION MATRISE DE DONNES


Criticit : *** Concerne : Cloud externe Les pertes de donnes ne sont pas spcifiquement lies au Cloud, et les deux grandes familles de risques sont : les pertes lies des problmes lors de l'exploitation et la gestion du Cloud ; un dfaut de sauvegarde des donnes gres dans le Cloud. Sajoutent des risques lis la non suppression de donnes (celles ne pas conserver). En effet, une donne peut exister logiquement sous les quatre formes suivantes et bien plus au niveau physique : les donnes en ligne (on-line) ou hors ligne (off-line), et les donnes sauvegardes (souvent en plusieurs versions) ou archives (parfois en plusieurs versions). Lorsquune demande de suppression dune donne situe dans le Cloud est mise, cela doit se traduire par une suppression relle, mais pas ncessairement sous toutes ses formes. En revanche, lorsquune demande de suppression dfinitive dune donne est mise, suite une rupture contractuelle par exemple, ou pour des raisons lgales, la suppression doit tre effectue sur toutes les formes que peut prendre cette donne. Avec la rpartition/dissmination des donnes il est ncessaire de retrouver toutes les instances de cette donne, ce qui peut savrer tre une tche complexe dans le cas de multiples localisations et de la rutilisation des ressources matrielles. Lors dune suppression sur disque, les donnes doivent tre non seulement dsalloues, mais aussi nettoyes (crasement par motif), ceci afin de ne pas rvler ces anciennes donnes en les rendant accessibles au suivant la prochain rallocation de disques au sein du Cloud.

RISQUE 7 : RCUPRATION DES DONNES


Criticit : * Concerne : Cloud externe, Cloud interne Il est indispensable davoir la garantie de disposer des moyens pour la rcupration de donnes en cas de problmes autres que les cas de non-disponibilit. La rcupration doit pouvoir seffectuer dans conditions de dlais respectant les contraintes exprimes et les besoins mtiers. La dissmination des donnes doit toutefois tre effectue de faon transparente pour lutilisateur du Cloud.

RISQUE 8 : MALVEILLANCE DANS L'UTILISATION


Criticit : ** Concerne : Cloud externe, Cloud interne Les architectures de type Cloud sont gres et exploites par des personnes disposant de privilges levs et qui sont donc risque lev. Des dommages peuvent tre causs par ces spcialistes techniques. Les risques daccs non-autoriss aux donnes ou dutilisation abusive doivent tre pris anticips. Les dommages causs par des administrateurs systme du Cloud - mme sils sont rares - savrent plus dvastateurs que dans un environnement informatique classique. Des procdures et des moyens sont ncessaires tant pour les phases de prvention et de dtection, que pour les phases de protection et de raction.

RISQUE 9 : USURPATION
Criticit : *** Concerne : Cloud externe, Cloud interne Les risques dusurpation didentit sont de deux natures : Lusurpation de service offert par larchitecture Cloud : il peut sagir de services similaires, voire identiques, offerts par dautres offreurs ou en dautres points du Cloud pour dautres clients. A lextrme, on peut se retrouver confront des problmatiques telles que celle du phishing (hameonnage). Lusurpation d'identit dutilisateurs ou de clients des services du Cloud : il peut sagir dattaques lies au vol de lidentit dutilisateurs de services suite des dficiences dans les mcanismes dauthentification. De faux clients utiliseraient de faon indue des ressources, voire accderaient aux donnes des clients lgitimes. Dans les deux cas, la faiblesse de lidentification et de lauthentification laisserait la porte ouverte ces attaques. LIMITES DU TRANSFERT DE RISQUE Le transfert de risque du client au prestataire de services de type Cloud ne peut pas tre total. Si un risque conduit la disparition d'une entreprise, des atteintes srieuses sa rputation ou des consquences juridiques graves, il sera difficile voire impossible, pour quelque partie que ce soit, de compenser ces dommages. En dfinitive, on peut dlguer la responsabilit, mais pas sen dcharger compltement.

10

LE LIVRE BLANC SCURIT DU CLOUD COMPUTING

SECURITE PHYSIQUE
Le Cloud Computing, par nature, est associ une sorte de dmatrialisation de lhbergement (le nuage). En effet, le lieu dhbergement du Cloud est gnralement multiple, et rparti sur plusieurs data centers, en France et/ou ltranger. Dans le cas du Cloud public, le client ne connat donc pas avec prcision le ou les lieux dhbergement du Cloud. Cette caractristique, gage de disponibilit du Cloud, entrane un changement important pour le client dans le mode de slection de lhbergeur. Une visite de data center ne suffit plus pour valuer le niveau dhbergement garanti par un fournisseur de Cloud. Ce dernier doit tre en mesure dapporter des garanties sur les conditions dhbergement associes son offre. Un certain nombre de certifications et/ou de classifications existent ce sujet, sont reconnues et adoptes par lensemble des hbergeurs. Lune des plus reprsentatives tant la classification Tier de lUptime Institute .

ACCS PHYSIQUE
L'accs physique dune seule personne mal intentionne qui possde une excellente connaissance de limplmentation physique du CC et de ses points nvralgiques peut suffire mettre hors service le Cloud, provoquant une rupture dans la continuit du service et empchant tout accs externe au Cloud. Les consquences dune telle intrusion peuvent tre dsastreuses : isolement complet ou partiel du service dans le cas de coupure des liaisons daccs perte des donnes en production mais aussi des donnes sauvegardes, sans aucune possibilit de rcupration si celles-ci sont dtruites ou dtriores, hors des donnes dj sauvegardes (externalisation et/ou rplications). risque d'incendie lev ou d'inondation...

CONTRLE ET TRAABILIT DES ACCS


Point critique de la scurit physique, le contrle des accs doit tre maitris, que lon soit dans un contexte de cloud priv, public ou priv externalis. Dans ces deux derniers cas, cest au client final de sassurer que les bonnes pratiques sont mises en uvre chez son prestataire de service/oprateur de cloud. Concrtement, les va-et-vient du personnel interne et des prestataires externes (informatique et tlcoms, socit de maintenance, de nettoyage, ) sont nombreux dans une salle informatique ou dans les locaux techniques. Ce flux reprsente une source potentielle de dysfonctionnements, volontaires ou non. Il convient de bien dlimiter les zones les plus sensibles et de mettre en place des garde-fous suffisamment efficaces pour retrouver, le cas chant, l'origine d'un incident. L'accs aux zones sensibles (serveurs, rseau...) sera interdit et le passage dans les zones intermdiaires sera limit. Le personnel autoris devra tre inform du caractre sensible des zones dans lesquelles il est amen intervenir.

Scurisation de lenvironnement

11

LE LIVRE BLANC SCURIT DU CLOUD COMPUTING

BONNES PRATIQUES DE LA SCURIT PHYSIQUE Dcouper les locaux informatiques en zones de scurit concentriques, regrouper le matriel le plus sensible dans les zones les mieux protges Dporter lextrieur des locaux les accs de maintenance ordinaire (eau, lectricit, ascenseurs...) Eloigner les supports de sauvegarde (bandes, cassettes, CD...) des locaux, si possible du btiment. La rpartition du systme de stockage sur plusieurs data centers permet de limiter les risques de perte totale du service en amliorant la tolrance de panne. Contrler l'accs par des systmes cl, cartes, digicodes..., faciles utiliser et dont les listes daccs sont actualises en permanence Installer des systmes de surveillance extrieure permanente (camras, dtecteurs de prsence...) Enregistrer en vido les entres et sorties (trs dissuasif). L'enregistrement doit pouvoir durer entre le moment d'une intrusion et le moment de la constatation d'une malveillance, y compris pendant les congs tout en respectant les rglementations de protections lies lutilisation des donnes personnelles (en France, la CNIL ) Mettre en uvre de bonnes pratiques pour accompagner durant leur venue les visiteurs. On les adaptera selon le niveau de criticit : - tablir une politique daccs gnrale comprenant toutes les exceptions - y soumettre tous les utilisateurs du site - identifier clairement les visiteurs par un badge spcial dure limite - installer des sanitaires/vestiaires pour les visiteurs - ne jamais laisser un visiteur seul se promener dans le btiment - tout visiteur doit avoir une autorisation daccs dlivre par un responsable (maintenance, entretien, visites, runions, ) - concevoir le data center de faon ce que la prsence dquipes de nettoyage ne soit pas ncessaire dans la salle des serveurs (mobilier anti-statique, filtres particules, ). Au-del des contrles daccs et de la scurit physique, il est tout aussi important de porter attention la conception scurise des data center- centres dhbergement dun cloud priv ou public. Les bonnes pratiques dcrites ci-aprs constituent autant de points de vigilance pour la mise en uvre dune solution prive, ou pour le choix dun prestataire de cloud public. Lemplacement dune salle informatique doit tre adapt et rflchi en fonction de : de lenvironnement (vigilance sur les zones risques) des types de risques dtermins des charges au sol La scurisation de la partie nergie : Energie de haute qualit - Onduleurs ou chane donduleurs - Source ddie uniquement la salle informatique Secours - Deux ou plusieurs arrives dalimentation - Autonomie en cas de perte du rseau - Redondance des onduleurs - Groupe lectrogne (autonomie dfinie par la capacit de la cuve de fioul, idalement 72h) Dimensionnement des sources - Bilan de puissance des machines installes et estimes dans le futur Distribution - Deux ou plusieurs MT/BT en fonction du nombre darrives dalimentations (inductions lectriques) - Armoires divisionnaires - Alimentation des baies et machines : deux ou plusieurs dparts par baie, alimentes depuis des armoires distinctes ; alimentation personnalise pour des matriels spcifiques (SAN, stockage) Pour la climatisation, on prconise : Une solution ddie la salle refroidir Une redondance des climatiseurs Un groupe lectrogne spcifique pour les climatiseurs Une urbanisation de la salle alternant alles chaudes et alles froides

12

LE LIVRE BLANC SCURIT DU CLOUD COMPUTING

La scurit incendie ncessite : Des systmes de dtection optique/ linaires par faisceau laser/ de flamme/ danalyse de particules Une extinction automatique et non destructrice (ex gaz inibiteurs type FM200). Tout au long de la dure dexploitation, lensemble de ces systmes doivent tre maintenus et superviss, afin didentifier les alarmes techniques lies dventuels dysfonctionnements sur ces quipements (surveillance multi-technique).

REDONDANCE MATRIELLE
L'architecture Cloud Computing doit garantir un accs au service en trs haute disponibilit avec des performances optimales. La seule dfaillance d'un quipement matriel peut engendrer une dgradation ou une coupure du service voire une perte de donnes. Pour limiter les risques darrt de service lis la dfaillance dun quipement, il est ncessaire de le redonder. Une rplication des configurations entre les quipements peut faciliter la bonne prise en charge de la redondance et ainsi augmenter la haute disponibilit du service. La mise en uvre d'une redondance diffrentielle avec une slection d'quipements de natures diffrentes (ex : diffrents constructeurs, composants d'origines diffrentes ...), permet de se protger dun problme survenu un quipement donn. De plus, une redondance des moyens de connexion, par la multiplication des liaisons, des oprateurs, et des chemins d'accs permet une accessibilit accrue au service en augmentant la tolrance aux pannes.

RSILIENCE
Une catastrophe d'origine humaine ou naturelle peut avoir des impacts radicaux sur le fonctionnement du Cloud Computing et amplifier une panne totale ou partielle du service. La perte totale de l'infrastructure du Cloud Computing pourrait entrainer une interruption de service d'une dure indtermine et une perte de donnes irrmdiable sans possibilit de remise en service de l'infrastructure. Une architecture de secours doit exister, sur un site gographiquement loign, avec des quipements redondants (voir chapitre redondance diffrentielle) et permettant de raliser un PCA (plan de continuit d'activit) sans interruption de service.

Prsentation d'une architecture mono-data center

13

LE LIVRE BLANC SCURIT DU CLOUD COMPUTING

Prsentation d'une architecture multi-data center

14

LE LIVRE BLANC SCURIT DU CLOUD COMPUTING

SECURITE LOGIQUE
SCURIT DES SERVEURS VIRTUELS
Le Cloud Computing sappuie fortement sur les technologies dabstraction de services. Dans le cadre dun modle IaaS, cest la virtualisation de serveurs qui fournit cette abstraction ; llment de base, visible ou non, tant une machine virtuelle (VM) sur un hyperviseur. Lhyperviseur hberge galement une VM particulire que nous appellerons de manire gnrique la partition de gestion (le vocabulaire varie selon le fournisseur). Elle permet dadministrer lhyperviseur, de grer le matriel et les ressources virtualises. Gnralement on discerne les bonnes pratiques de scurit lies la virtualisation en deux familles. En premier lieu, il sagit de scuriser les systmes en assurant une gestion des mises jour de scurit. La mise jour de lhyperviseur et de la partition de gestion, a priori la charge de lhbergeur, conduit dans la plupart des cas un redmarrage du serveur. Pour viter que les VM soient indisponibles durant lopration, un mcanisme de dplacement automatique des VM vers un autre serveur est possible, voire recommand. La scurisation des systmes suppose galement la rduction des surfaces dattaque, en fixant au strict minimum les services de la partition de gestion . On protge galement les fichiers des disques virtuels par du contrle daccs, de laudit, voire du chiffrement. Idalement, on agit conformment aux recommandations des fournisseurs de lhyperviseur (configuration des disques virtuels, installation de composants dintgration dans les VM, etc.) et des OS, en mettant en place un contrle de conformit automatis. La seconde famille de bonnes pratiques concerne la notion disolation : isolation des flux rseaux, isolation des VM par niveau de scurit, dlgation de ladministration, affectation de quotas dusage des ressources par les VM. Linfrastructure de type cloud - pour tre efficace et rentable - doit automatiser la plupart des contraintes voques prcdemment, en plus des processus lies ladministration, la supervision et lallocation automatique de ressources. BONNES PRATIQUES DE CONFIGURATION DES MACHINES VIRTUELLES Lentreprise cliente sera attentive au fait que le Cloud provider devra : Utiliser des disques durs virtuels de taille fixe Protger les disques durs virtuels et les snapshots par des ACL sur le disque Dcider de la mmoire alloue chaque machine virtuelle Imposer des limites sur lutilisation du processeur Concevoir le rseau virtuel de faon isoler le trafic rseau en fonction des besoins Limiter le nombre de disques durs virtuels en fonction des besoins Scuriser le systme dexploitation des machines virtuelles selon les recommandations de lditeur Configurer les antivirus, pare-feu et logiciels de dtection dintrusion dans les machines virtuelles en fonction de leur rle Sassurer que, avant sa (re)mise en production, une machine virtuelle est jour en termes de versions et de mises jour de scurit de tous les composants logiciels qu'elle hberge Installer les composants d'intgration de lhyperviseur, de faon notamment s'assurer que les machines virtuelles ont une horloge juste (pour les audits)

LA COLOCATION SCURISE
La colocation scurise consiste en lhbergement sur le Cloud des applications et donnes de multiples clients (socits, organisations, entits mtier) au sein dune seule et unique infrastructure physique, mutualise, tout en respectant la scurit, notamment au sens de la confidentialit. A juste titre, les socits-clientes du Cloud veulent tre rassures sur le fait que leurs donnes et traitements seront bien isols et protgs des autres environnements hbergs sur linfrastructure partage. Cest souvent une obligation lgale, par exemple lorsquune socit stocke des numros de cartes bancaires ou des donnes personnelles, mdicales Comment essayer de satisfaire ces deux impratifs de confidentialit et defficacit pour les infrastructures Cloud, et tous les niveaux : machines virtuelles, serveurs hte, rseaux (Ethernet et SAN) et stockage ? En plus dappliquer rigoureusement les bases de la scurit dun systme dinformation mutualis (planification rigoureuse des droits daccs, des privilges administrateurs, scurisation des mots de passe, etc.), certaines techniques ou architectures permettent de tendre vers ce but. En voici des exemples.

15

LE LIVRE BLANC SCURIT DU CLOUD COMPUTING

Colocation scurise
Le chiffrement Le chiffrement est a-priori sduisant, notamment la mthode classique base de cl publique/cl prive : seul le destinataire de linformation peut dchiffrer la donne qui lui est destine avec sa cl prive, connue de lui seul, mais pas du fournisseur de la solution Cloud et moins encore dun autre colocataire. Cest une mthode trs scurise (selon la taille de la cl) et slective car on peut choisir de ne chiffrer que ce qui le ncessite. Toutefois le chiffrement impose certaines rflexions quant son implmentation. Notamment dans le cas o des traitements sont ncessaires (calcul, indexation, sauvegarde), pouvant obliger la manipulation de donnes dcryptes. Solutions dtanchit logiques Faire appel des solutions dtanchit logiques permet de fournir les ressources des groupes diffrents dutilisateurs en toute scurit. Au niveau des VM, on peut utiliser un firewall virtuel sur la machine hte qui cloisonne les VMS ; les VLANs permettent de cloisonner le trafic rseau sur Ethernet ; des partitions virtuelles de stockage apportent ltanchit dans la baie de stockage. Diffrentes approches sont possibles : on peut retenir la solution la plus pertinente et mature sur chaque couche (selon une approche best of breed : la meilleure de sa catgorie), ce qui assure une certaine indpendance dans le choix de chaque solution, mais ncessite dtre certain de la qualit de lintgration des diffrentes solutions de scurisation de chaque couche. Comme souvent, ce nest pas parce que chaque couche est scurise que lensemble le sera (attention au maillon faible et linterfaage entre les diffrentes couches). Une autre approche consiste retenir une solution dinfrastructure sur tagre, propose par un fournisseur unique ou un ensemble de fournisseurs. On perd en indpendance, car les diffrents composants (serveur, rseau, stockage) sont imposs, mais on gagne en intgration et en scurisation. En effet, pour simplifier les dploiements de solutions mutualises et pour en amliorer la confidentialit, certaines socits se sont allis, ont co-ralis et co-valid des solutions tout-en-un et/ou des guides de conception complets quils mettent disposition des fournisseurs de solution Cloud. Avantage de cette dernire approche : ltanchit est assure logiquement et de bout en bout, de lapplication (la VM) aux disques (la baie de stockage mutualise, cloisonne en partitions virtuelles tanches), en passant par le rseau, afin de ne jamais mettre en danger les informations sensibles.

16

LE LIVRE BLANC SCURIT DU CLOUD COMPUTING

SEGMENTATION RSEAU
La segmentation rseau des machines virtuelles (VM) doit parer aux risques classiques de tout serveur, mais galement des risques lis la colocation dans le cas dun Cloud public. Les risques classiques Il faut appliquer les mmes rgles dans la virtualisation que dans une architecture physique : Cloisonner les diffrents rles (serveurs frontaux, donnes, applications, pr-production ) sur des VM diffrentes via des VLAN diffrents (rseau ddi une VM ou a un rle) entre le serveur physique et linfrastructure du client Mettre en place des briques de scurit (firewall, reverse proxy ) qui assurent les rles de : - Routage inter-VLAN : pour que les VM communiquent sur des ports applicatifs spcifis - Filtrage (analyse port source/destination) - Scurit applicative (vrification protocolaire) Administrer ses VM via un rseau ddi pour superviser, mettre jour et ainsi ne pas passer par le rseau frontal/public. La politique de scurit mise en place dans larchitecture Cloud doit tre applique sur la dure avec un contrle permanent et une mise en uvre de bonnes pratiques au quotidien : procdures dexploitation, tests dintrusion Les risques accentus par le Cloud, lis la multi-location : La colocation et le partage de linfrastructure entre plusieurs clients engendrent des risques accrus et ncessitent un renforcement de la politique de scurit. Chiffrer les sauvegardes : alors quil est naturel de penser limplmentation des protocoles de production chiffrs comme le passage en HTTPS pour les sites Web ou Intranet, il est moins commun de penser la protection des tches de plus bas niveau Conflits et usurpation dadressage : les machines tant virtuelles, il est plus facile dans ce contexte de gnrer des conflits dadressage. Ainsi, une attention particulire doit tre porte la liste des personnes ayant un droit dadministration sur le Cloud. Cloner une instance dj prsente sans prendre en compte ces considrations peut tre une source de problme

SCURIT DE LINTERFACE DADMINISTRATION


L'accessibilit aux interfaces d'administration via une vulnrabilit applicative expose aux risques dune coupure partielle ou totale du service ou une perte irrmdiable des donnes. Par cet accs, l'introduction de virus ou de vers peut galement dtriorer les applications, faciliter la corruption des donnes ou nuire l'image de marque du service. Les solutions prventives consistent en la mise en place d'quipements de filtrage (pare-feu, proxy, sondes IPS/IDS...) et de solutions antivirus afin de contrler la lgitimit des requtes entrantes et ainsi garantir l'intgrit des donnes hberges. La planification de tests de vulnrabilits et d'intrusions doit tre rgulire et frquente. Le dveloppement des applications doit tre soumis des audits de codes rguliers, et limplmentation de rgles et contrles des donnes. Authentification L'accs aux interfaces d'administration du Cloud Computing pourrait permettre une personne mal intentionne de provoquer une coupure de service ou de corrompre les donnes hberges. Si l'accs authentifi n'est pas clairement identifi, alors il sera impossible de pouvoir tracer la connexion et la modification des donnes ou du service qui en rsulte. L'authentification doit apporter une preuve de l'identit si on veut pouvoir enquter sur d'ventuels accs suspects. Une vulnrabilit provenant derreur, de faille humaine ou dhameonnage dans le processus d'authentification peut aussi tre exploite. Celle-ci pourrait donner des accs de type administrateur l'architecture Cloud Computing et entraner une corruption de la plate-forme. Les bonnes pratiques en la matire sont : La mise en place de mcanismes d'authentification forte (reposant sur deux facteurs ou plus) : identifiant, mot de passe, accs par jeton, certificat lectronique, contrle biomtrique ... L'identification de l'authentification afin de disposer dune traabilit des accs La journalisation des authentifications russies ou choues

17

LE LIVRE BLANC SCURIT DU CLOUD COMPUTING

La stricte application dune politique de scurit : changement des mots de passe tous les mois, politique de mots de passe complexes, formation du personnel... Scurisation des accs Pour maitriser la scurit de bout en bout, il faut scuriser les lments constituant la plate-forme Cloud, mais galement laccs cette plate-forme. Dans le cas dun accs aux services hbergs sur le cloud par internet, le serveur (VM) est nativement vulnrable puisquil est directement expos sur la Toile. Deux solutions de scurisation peuvent tre appliques : inclure des briques de scurit type Firewall (ouvre les ports applicatifs ncessaire), IPS ou IDS (dtection et protection dintrusion) entre linfrastructure cloud et le client mais aussi ventuellement au sein de larchitecture serveur, entre serveurs front office et serveurs back office. (cette dernire solution nest possible que dans les environnements de cloud privs dans lesquels les serveurs nont pas dadresse IP publique) scuriser chaque serveur virtuel par un firewall applicatif install sur lOS (ou IPS, IDS applicatif). Cela suppose nanmoins une gestion lourde des rgles daccs avec internet et entre serveurs virtuels. Ce type daccs nest envisageable que pour des serveurs hbergeant des donnes publiques (serveur FTP public, site web ) peu sensibles pour lentreprise. Si le serveur hberge des services privs de lentreprise (ERP , CRM, intranet ) et constitue alors une extension du SI, le serveur ne doit pas tre visible dinternet et des solutions de connexions ddies doivent imprativement tre envisages, telles que : Connexion VPN prive : laccs aux serveurs du cloud se fait via des liaisons ddies (fibre, xDSL, multi-oprateur ) entre le cloud et lutilisateur Connexion VPN internet : laccs aux serveurs du cloud se fait via une connexion scurise par des mcanismes de chiffrement et didentification (IPSEC ou TLS) monte entre le cloud et lutilisateur, via le transit internet. Accessibilit Quel que soit le type de connexion au cloud, ddie ou via Internet, il faut sassurer que le service hberg reste joignable par les utilisateurs. Laccessibilit aux serveurs doit tre ajuste au niveau de disponibilit de ceux-ci. Tout comme la redondance offerte par les offres cloud, la joignabilit de ceux-ci doit donc tre renforce par une redondance tous niveaux. En effet, une infrastructure cloud ultra-disponible ne sert rien si laccs ne lest pas : Pour des connexions via internet : - Il faut sassurer que le fournisseur de loffre cloud dispose dune prsence internet redonde sur plusieurs sites - Et que ces accs internet sont fournis par plusieurs oprateurs ou points de peering Pour des connexions ddies : - Il faut privilgier une connexion multi-oprateur qui permet de basculer dun oprateur lautre en cas de dfaillance - Idalement, chaque lien devrait tre support par une technologie diffrente xDSL, fibre, BLR - La collecte des flux doit se faire sur au moins deux data center : en cas de dfaillance du premier, laccs aux machines est toujours assur par le data center secondaire. Les briques de scurit (firewall de constructeurs diffrents par exemple ) doivent tre galement redondes. Il en va de mme pour les briques de publication de services (rpartition de charge, ) . Les administrateurs du Cloud Computing doivent tre certains de se connecter sur les bons serveurs pour excuter leurs taches d'administration, sans quoi des informations sur la scurit de l'infrastructure pourraient tre rcupres et utilises mauvais escient. Pour se prmunir de ces risques, il convient de : Mettre en place d'un protocole de scurisation du transport des donnes avec un chiffrage de celles-ci (ex : TLS) Instaurer un procd d'identification du serveur (ex : certificat lectronique) Filtrer les accs, par un quipement de scurit type pare-feu inspection de paquets.

18

LE LIVRE BLANC SCURIT DU CLOUD COMPUTING

Rdiger une charte d'utilisation du systme informatique (ex : prise de conscience de l'outil informatique comme un point d'entre dans l'entreprise) Appliquer une politique de contrle stricte des utilisateurs (ex : contrle de l'installation de logiciel tiers sur la plate-forme, surveillance des accs, journalisation des actions ...). La performance des VM peut tre altre si les quipements saturent cause dun utilisateur, impactant aussi sur les autres utilisateurs. Pour viter cela, il faut adapter le dimensionnent nominal des environnements sur le Cloud. Si lapplication peut ds le dbut supporter une croissance horizontale, c'est--dire une multiplication des machines qui traitent le flux (comme de la rpartition de charge par exemple) alors il est prfrable davoir ds le dbut deux petites machines plutt quune grosse. Ces instances ne seront probablement jamais sur un mme socle physique. Ainsi, si un pic de charge local dans le cloud vient affecter une instance, la seconde sera la plupart du temps pargne. Par ailleurs cette topologie permettra - en cas de forte charge - de multiplier les instances en fonction du besoin. Les prestataires proposent ici des solutions de publication des applications clefs en main. Adaptabilit aux pics de charge Une forte charge non prvue sur un des services hbergs sur l'infrastructure Cloud Computing risque dentrainer une dgradation des performances de ce service. Pour viter cela, on met en uvre un mcanisme de flexibilit des ressources permettant d'adapter la plate-forme aux besoins en un minimum de temps et d'efforts.

Impact de la gestion des mises jour de scurit sur la certification La gestion des mises jour de scurit est ncessaire pour certains types de certification. Ne pas les installer quivaudrait plutt perdre une telle certification. Par exemple, les solutions dIaaS prives incluent obligatoirement une gestion automatise des mises jour. De mme, un des avantages des offres de SaaS publics est justement de dlguer au fournisseur la gestion des mises jour, et celui-ci doit sengager sur cette gestion et les dlais dapplication des mises jour. Toute modification du socle technique sur lequel repose la solution Cloud doit tre communique aux clients, pas forcment en temps rel mais avec une priodicit bien tablie. En cas de modification majeure dun lment logiciel (remplacement dune brique par une autre), lhomologation doit tre repasse. En revanche, en cas de monte de version ou dinstallation de patch, sur une solution logicielle donne, cette opration ne nous semble pas obligatoire. Rappelons quand mme quune homologation est gnralement accorde pour une dure bien prcise. Le client vrifiera que son fournisseur reste bien jour de ses homologations.

19

LE LIVRE BLANC SCURIT DU CLOUD COMPUTING

SECURITE DES DONNEES


RESPONSABILIT JURIDIQUE DE LA SCURIT ET DE LA CONFIDENTIALIT DES DONNES DANS LE CLOUD
Le Client est juridiquement responsable de ses donnes et de leur utilisation, notamment de tout ce qui concerne leur conformit aux obligations juridiques. Le Prestataire est soumis des obligations techniques et organisationnelles. Il sengage prserver lintgrit et la confidentialit des donnes, notamment en empchant tout accs ou utilisation fraudeuse et en prvenant toutes pertes, altrations et destructions. Sa responsabilit juridique peut tre engage dans le cas o il aurait transfr les donnes de son client en dehors de lUE sans len prvenir et sans sassurer que les dclarations ncessaires ont t faites. De faon gnrale, plus linfrastructure est confie au fournisseur Cloud, plus sa responsabilit est importante. Dans les cas de PaaS et de SaaS, le client ne contrle que le contenu de ses donnes (et encore partiellement en SaaS o la responsabilit est partage avec le fournisseur). En fonction du service fourni au client, le fournisseur peut tre en charge (et donc responsable) de la sauvegarde, dun niveau bien dfini de disponibilit du service, et de la confidentialit des donnes. Mme dans ce cas, le client final nest pas affranchi de toutes responsabilits : il doit par exemple scuriser les mots de passe ou les certificats qui lui servent accder son environnement Cloud, ne pas laisser daccs ouvert au service via son propre rseau. Les consquences dune ngligence avre du client final ne sauraient tre imputes au fournisseur. Le contrat de service doit aborder le domaine des responsabilits de chaque partie. Si le client doit exiger de la part de son prestataire des engagements de confidentialit et les moyens de contrle afin de surveiller que le prestataire respecte ses engagements, il est vident que ce dernier ne peut assumer pleinement la confidentialit des donnes confies dans le systme de stockage du Cloud. Il est ncessaire que les parties, chacune de leur ct, puissent maitriser leur propre scurit, et d'autre part, contrler le domaine tiers. Faute de contrats formalisant ces points de partage des responsabilits, et des outils de contrle et d'enregistrement, des procdures en cas de litiges peuvent tre longues et laborieuses... surtout dans un domaine o la jurisprudence est rare.

PROTECTION ET RCUPRATION DES DONNES


Il existe deux mtriques qui permettent de mesurer lefficacit dun processus de protection des donnes. Le premier est le Recovery Time Objective ou RTO qui mesure le temps acceptable ou tolr de rtablissement du service lors dune panne. Le second tant le Recovery Point Objective ou RPO qui mesure la quantit de donnes que lon saccorde ou tolre perdre due une panne ou au processus de restauration. Une phase danalyse est ncessaire pour identifier les applications et donnes critiques pour lentreprise afin de mettre en place une politique de protection adapte. Ainsi plus les donnes sont critiques pour lentreprise plus la frquence des copies doit tre leve avec un besoin daccs et de performances plus important. Par nature le Cloud repose sur une infrastructure, un socle mutualis et il faut tenir compte de cette particularit en termes dvolutivit, de flexibilit, de migration, de mobilit et de colocation scurise. Mettre ses donnes dans un Cloud est une chose mais quelle garantie a-t-on sur lintgrit et sur la disponibilit des donnes ? Faut-il continuer sauvegarder et restaurer ses donnes ? Quel plan de secours mettre en uvre en cas de sinistre ? En ralit, il sagit dun dplacement des responsabilits vers lhbergeur, fournisseur (ou Cloud Provider ). Les SLAs (Service Level Agreements) dfinissant, pour chaque groupe consommant le Cloud , les niveaux de services attendus. Infrastructure Always On Dans un environnement Cloud storage il ne peut y avoir darrt (mme planifi) pour des oprations de maintenance, de mises jour ou pour garantir la performance dfinie par les SLAs. Que se passe-t-il lorsquon doit dplacer les applications et donnes compltes dun locataire vers un nouveau systme de stockage pour des raisons de rpartition de charge ou pour optimiser les performances ? La rponse est la mise en oeuvre dun data center virtuel rompant avec le data center physique traditionnel. Ce data center virtuel permet un alignement appropri avec le bon tiers de stockage, la maintenance planifie ou la migration vers une nouvelle plate-forme, le tout sans arrt de service. Sauvegardes et Snapshots La protection des donnes passe par la mise en oeuvre de sauvegardes soit sur disques pour une restauration rapide et un RTO plus court soit sur bandes plus orientes long terme avec une externalisation. La copie sur disques de

20

LE LIVRE BLANC SCURIT DU CLOUD COMPUTING

snapshot permet des sauvegardes plus frquentes que traditionnellement et rpond aux besoins dun RPO (Recovery Point Objective) strict. Miroirs distants En cas de sinistre, il est important de mettre en place une solution de miroir qui permet de protger les donnes critiques. La rplication peut tre synchrone ou asynchrone, en effectuant le cas chant de la compression pour rduire le RPO. Des mcanismes doivent tre en place pour garantir la cohrence des donnes rpliques (cohrence temporelle et sans transaction en cours). Administration Une administration base de politique ou de rgles est cruciale pour un Provider . Lautomatisation des tches est galement un point important de la scurit vitant les erreurs de configurations ou de manipulations. En environnement Cloud storage il est ncessaire de pouvoir grer les relations entre les diffrents systmes en miroirs et aussi de surveiller la bonne application des rgles de protection mises en oeuvre partir dune interface unique.

INTGRIT DES DONNES (RBAC)


Pour un Cloud plus sr il est important aussi de rflchir au contrle daccs de ce mme Cloud en implmentant la fonctionnalit de Role Based Access Control ou RBAC. Cest une mthode qui permet de dfinir un certain nombre dactions que peut raliser un utilisateur ou un administrateur au sein du Cloud . En fait il sagit de la dfinition de plusieurs rles qui auront chacun des permissions et des privilges diffrents puis en associant des collaborateurs, des clients, des partenaires ces mmes groupes selon leurs fonctions. Cest donc une fonctionnalit qui idalement est prsente sur lensemble de la chane Cloud , des serveurs virtualiss, des quipements rseaux jusquaux entits virtualises du stockage.

CHIFFREMENT LI LA DONNE
Les dfis de la cryptographie dans le Cloud sont complexes, notamment lorsquil sagit de protger les donnes hberges contre des accs non-autoriss de la part de lhbergeur. Des travaux sont en cours chez les grands offreurs de lIT, pour la mise en uvre dun chiffrement adapt ces situations et qui fournisse un quilibre satisfaisant entre scurit, efficacit et fonctionnalit. Un chiffrement requtable permet de manipuler et deffectuer des recherches sur des donnes chiffres sans dchiffrer les donnes, ainsi que den vrifier lintgrit.

DONNES DU CLOUD ACCESSIBLES AUX AUTORITS DUN AUTRE PAYS


Tout pays a le droit lgitime davoir accs, dans les conditions juridiques qui lui sont propres, aux donnes qui sont stockes sur son territoire, ou qui transitent par celui-ci. Ainsi, en France, dans le cadre d'une perquisition et conformment l'article 97 du code de procdure pnale, l'hbergeur doit tre en mesure d'extraire de son Cloud les lments recherchs ou l'ensemble des informations concernant un client particulier, sans pour autant avoir livrer l'ensemble des donnes des clients hbergs dans le Cloud. La bonne pratique consiste sassurer contractuellement du (ou des) pays o seront physiquement installs les lments dinfrastructures et de connatre, avant de sengager dans un contrat de service Cloud avec un fournisseur, les juridictions comptentes.

RVERSIBILIT : CHANGER DE CLOUD PROVIDER


Il serait hasardeux de sengager dans une solution Cloud sans savoir, a priori, comment on peut la quitter et comment on peut avoir lassurance que les donnes, aprs rcupration, seront bien effaces chez le premier prestataire. Pour faciliter la migration entre Cloud, il existe plusieurs APIs Cloud mergentes sur le march, proposes par des consortiums ou des socits prives. On privilgiera les APIs des organismes de standardisation ds lors que ces APIs auront commences tre utilises par un nombre significatif de fournisseurs Cloud. Ainsi CDMI ou SNIAs Cloud Data Management Interface dont lobjectif est de permettre la portabilit, la conformit, la scurit des donnes et linteroprabilit entre diffrents fournisseurs de Cloud. De plus, il existe un standard OVMF (Open Vir tual Machine Format ) qui permet une exportation et une importation simplifie entre les diffrentes plates-formes de Cloud Computing. Le respect de standards assure la compatibilit entre les diffrentes architectures et permet de changer de Cloud provider beaucoup plus librement. Quant aux donnes, le processus de rversibilit assure un client du Cloud Computing quelles seront compltement crases (ainsi que les sauvegardes) aprs une priode dfinie contractuellement.

21

LE LIVRE BLANC SCURIT DU CLOUD COMPUTING

POUR EN SAVOIR PLUS


SOURCES ET DOCUMENTS UTILES :
Article : Searching an Encrypted Cloud http://www.technologyreview.com/computing/23929/?a=f Classification Tier de lUptime Institute : http://www.uptimeinstitute.org/ http://securite-ti.com/?p=90 http://www.integra.fr/securite/ Hyper-V Security Guide h t t p : / / w w w. m i c r o s o f t . c o m / d o w n l o a d s / d e t a i l s. a s p x ? Fa m i l y I D = 2 2 2 0 6 2 4 b - a 5 6 2 - 4 e 7 9 - a a 6 9 a7b3dffdd090&displaylang=en http://www.imaginevirtuallyanything.com/?cc=fr&REF_SOURCE=netappmicrosite http://www.netapp.com/fr/technology/secure-multi-tenancy-fr.html Cloud Cryptography : http://research.microsoft.com/en-us/projects/cryptocloud/ Vido : Enhancing Cloud SLA with Security: A secure, Searchable, and Practical Cloud Storage System : http://research.microsoft.com/apps/video/default.aspx?id=103364

RDACTION DU LIVRE BLANC


Rdaction et rewriting : Philippe Grange - Faits et Chiffres Chef de projet : Cline Ferreira - Integra Chef de projet : David Vandenborght - Syntec numrique Chef de production : Claire Bs de Berc - Syntec numrique Ont contribu llaboration, la rdaction et la relecture du Livre Blanc : Rachid Boularas - NetApp France Cdric Buot de lEpine - Integra Olivier Caleff - Devoteam Thierry Del-Monte - Integra Yassine Essalih - Aastra Nolwenn Le Ster - Spie Communications Magali Montagnon - VeePee Pascal Saulire - Microsoft France Cyril Van Agt - NetApp France Ont galement contribu au Livre Blanc : Jean-Marc Boursat - Devoteam Jrme Brun - Atos Origin Nicolas Koleilat - Sopra Group Nicolas Pondemer NextiraOne Yannick Ragonneau Devoteam Serge Robert - Open

REMERCIEMENTS
Nous tenons remercier Philippe Hedde, prsident, ainsi que tous les membres du Comit Infrastructures de Syntec numrique

22

LE LIVRE BLANC SCURIT DU CLOUD COMPUTING

Publication : Syntec numrique 4me Trimestre 2010 tous droits rservs.

23

SYNTEC NUMERIQUE 3, rue Lon Bonnat - 75016 Paris Tel : 01 44 30 49 70 - Fax : 01 42 88 26 84 www.syntec-numerique.fr

Vous aimerez peut-être aussi