Vous êtes sur la page 1sur 16

4

Architecture de scurit
Le Chapitre 2 a donn la dfinition du NITS (National Institute of Standards
and Technology) pour linformatique en nuage : modle des systmes dinformation qui autorise un accs rseau pratique et la demande des ressources de
calcul configurables partages qui peuvent tre mises disposition et retires rapidement avec un travail de gestion ou une intervention du fournisseur de service minimal[11]. Mais comment cela se traduit-il lors de la mise en place dun Cloud?
un niveau lev, un datacenter (prise en charge de linfrastructure), du matriel
(serveurs, systmes de stockage et rseau), tout un ensemble de logiciels de support, une quipe aux comptences larges et approfondies, et des procdures sont l
pour que cela fonctionne. La Figure4.1 illustre cette vue densemble des lments.

Stockage
Cblage

Serveurs

Datacenter gant
Logiciel
Racks
Planification

Alimentation
fiable

Prsent comme un Cloud

Logiciel

Procdures

Orchestration
Virtualisation
Serveurs
(matriel)

Stockage
(matriel)

Rseau
(matriel)

Internet ou rseau priv

Commutateurs
rseau

Stratgies

Datacenter
Architecture

Figure4.1
Architecture et implmentation dun Cloud.
2011 Pearson Education France La scurit dans le Cloud Vic (J.R.) Winkler

92

La Scurit dans le Cloud

Lexploitation scurise et efficace dun Cloud implique une planification pralable


importante. un niveau lev, nous avons un datacenter et des connexions Internet redondantes qui donnent accs lentre dun Cloud. Cette entre reprsente
la partie technologique dun primtre de scurit des informations1 constitue de
priphriques rseau qui apportent des communications scurises. Voici la dfinition quen donne le NIST: La procdure daffectation unique de ressources
informatiques un systme dinformation dfinit le primtre de scurit de ce
systme.[26]
lintrieur de ce primtre, nous trouvons de nombreux quipements placs en
racks et cbls conformment des modles dfinis. Une infrastructure est galement ncessaire pour grer le Cloud et ses ressources pendant son fonctionnement.
En allant plus loin, chaque composant (serveurs, stockage et rseau) demande un
certain niveau de configuration. Cette vue densemble est celle de nombreux composants organiss en partie selon des modles visuellement vidents.
Lors de la conception ou de la planification dun systme complexe, il est important
de voir plus loin et denvisager les processus et les procdures qui seront ncessaires son exploitation. Bien quil soit possible de construire un petit Cloud sans
passer trop de temps en planification, tout Cloud de taille moins modeste exige une
planification et une conception importantes. Tout manque de planification conduira
invitablement des cots rcurrents plus levs en raison de linefficacit de la
conception et des procdures, ainsi que dune exploitation dcale par rapport aux
besoins de gestion dun Cloud fortement dynamique. Daccord, mais quest-ce
quune planification approprie? Une planification trop pousse conduit souvent
une mauvaise interprtation du futur et peut demander par la suite un travail de
refonte important un cot excessif. Mais ne pas anticiper les modifications mne
droit dans le mur. Une meilleure approche implique une architecture prudente qui
tient compte dun invitable besoin dvolution et conserve la souplesse ncessaire
des adaptations.
la section Le Cloud amne de vastes changements du Chapitre 1, nous
avons expliqu que le Cloud prsente des avantages qui vont vers la simplification
du systme informatique. la section Architecture de rfrence dun Cloud du
Chapitre 2, nous avons examin les accs en libre-service et la demande aux
services du Cloud. Si le Cloud veut tenir ces promesses, larchitecture doit tre
conue et planifie en consquence.
Dans ce chapitre, nous dtaillons les composants architecturaux qui permettent de
construire un Cloud, en gardant la scurit lesprit. Nous commenons par identifier les exigences dune architecture de Cloud scuris, ainsi que les modles et
les lments architecturaux fondamentaux. Nous prsenterons et tudierons ensuite
plusieurs architectures de Cloud en regard de ces bases. Nous conclurons ce chapitre par une brve prsentation des stratgies cls dans une exploitation scurise.
1. Un primtre de scurit peut tre dfini par lensemble de systmes et de composants qui se
trouvent sous une mme responsabilit dadministration.
2011 Pearson Education France La scurit dans le Cloud Vic (J.R.) Winkler

Chapitre 4

Exigences de scurit pour larchitecture

93

Bien que ce contenu se focalise sur un travail qui reste de la responsabilit du fournisseur de services en nuage, les locataires endossent souvent le rle de fournisseur
de services pour dautres utilisateurs et sont donc concerns.

Exigences de scurit pour larchitecture


Entre autres objectifs, larchitecture doit tre en mesure de rpondre aux besoins.
Cette section passe en revue les exigences architecturales dune implmentation de
Cloud type. Plusieurs lments motiveront ces exigences:
mm

mm

mm

mm

mm

Cots et ressources. Les ressources financires du fournisseur de Cloud vont


dlimiter ses possibilits dinvestissements dans les technologies, notamment
dans les contrles de scurit. Toutefois, il est important de reconnatre que
des ressources limites vont obliger bien rflchir la conception, larchitecture et la construction. Par exemple, si vous savez que votre quipe sera
rduite, vous serez oblig daller vers une amlioration des procdures et une
plus grande automatisation. De la mme manire, le cot sert galement de
motivation aux clients des services en nuage. La nature de ces contraintes tend
un dveloppement des services dont les caractristiques oprationnelles ne
sont pas adaptes tous les clients.
Fiabilit. Cette qualit dfinit jusqu quel point vous pouvez compter sur un
systme pour fournir les services annoncs. La fiabilit peut tre vue comme
la garantie que la technologie sous-jacente est capable de fournir des services.
Performances. La mesure dune ou plusieurs qualits qui sont en rapport avec
lutilit dun systme. Par exemple, les mesures classiques comprennent la
ractivit du systme aux entres et la charge quil est capable de supporter.
Le trio de la scurit. Les principes fondamentaux de la scurit (confiden
tialit, intgrit et disponibilit) sappliquent la plupart des systmes. Larchitecte scurit doit mettre en correspondance les contrles de scurit et les
exigences de scurit qui sont parfois dictes par le besoin dassurer les trois
autres lments fondamentaux (fiabilit, performances et cots).
Contraintes lgales et rglementaires. Les contraintes lgales et rglementaires, que nous avons abordes au Chapitre 3, peuvent conduire de nombreuses exigences supplmentaires qui sont en rapport avec, entre autres, les
contrles de scurit techniques, les stratgies daccs et la conservation des
donnes.

Nous commenons par un domaine inhabituel des exigences sur la scurit dun
systme: la scurit physique. Mais, lorsque nous aurons termin, vous comprendrez nos motivations.

2011 Pearson Education France La scurit dans le Cloud Vic (J.R.) Winkler

94

La Scurit dans le Cloud

Scurit physique
En commenant par le btiment dans lequel le datacenter du Cloud est hberg, la
scurit physique est aussi importante que tout autre contrle qui vise protger la
scurit et lexploitation du Cloud. Les locaux font lobjet de diffrentes menaces,
y compris les dangers naturels, les actions humaines et les dsastres. Construire le
datacenter de votre Cloud dans une zone inondable est aussi imprudent quaccorder
des accs privilgis tous les utilisateurs.
Ltendue des problmes de scurit physique est vaste et implique de nombreuses
mesures pour viter, empcher, dtecter et rpondre aux accs non autoriss aux
btiments, aux ressources ou aux informations prsentes dans les locaux. La scurit physique dun btiment doit tre vue comme un systme de protection, avec
les lments de scurit individuels se compltant les uns les autres pour mettre en
place une dfense multifacette plusieurs niveaux. Ces lments comprennent une
conception environnementale, des contrles daccs (mcaniques, lectroniques
et procduraux), une surveillance (capteurs vido, thermiques, de proximit), une
identification du personnel avec un contrle des accs, et une dtection des intrusions associe des systmes de rponse (tmoins, grilles, zones fermes).
La scurit physique dun btiment doit tre constitue de couches dont chaque
lment est associ un contrle gnral automatis et un centre de surveillance.
La planification dune scurit physique efficace implique une prise en compte
approfondie des circonstances qui seront rencontres, en incluant les activits normales et les situations imprvues. Les lments de la scurit physique doivent tre
soutenus par des procdures appropries et mises en uvre par un personnel professionnel expriment. Cette quipe de scurit doit avoir pour mission exclusive
la protection des biens et lapplication des procdures de scurit physique, mme
en cas de dsastre. tant donn ltendue et la complexit dune planification de
la scurit physique, une bonne solution consiste la confier des experts expriments et reconnus.
Nous lavons indiqu dans lintroduction de cette section, il est possible que traiter
des exigences de scurit physique dans une section consacre aux exigences de
larchitecture de scurit fasse hausser quelques sourcils. Cependant, nous vivons
dans un monde o la limite entre la scurit physique et la scurit virtuelle est de
plus en plus floue. Il existe des raisons videntes prendre en compte la scurit
physique de notre Cloud, mais la scurit virtuelle nen est pas moins importante.
Nous le verrons la section Surveillance de la scurit du Chapitre6, les capteurs environnementaux, les capteurs physiques et les images vido reprsentent
des sources dinformation qui peuvent aider comprendre des vnements de scurit et clairer des situations qui dclencheraient sinon les alarmes. Autrement dit,
les donnes des capteurs physiques peuvent normment profiter la surveillance
de la scurit.

2011 Pearson Education France La scurit dans le Cloud Vic (J.R.) Winkler

Chapitre 4

Exigences de scurit pour larchitecture

95

chec mmorable
En 2005, lauteur tait impliqu dans la construction dun datacenter pour une
grille informatique publique de taille importante. Le site se trouvait Londres,
dans une ancienne brasserie (murs trs pais), avec pour voisins un bar trs frquent et une discothque.
Les lundis matin, lquipe de construction arrivait sur le site en faisant attention aux
nombreuses bouteilles de bire casses lentre du btiment. La porte dentre
donnant sur la rue tait en verre non renforc avec un verrou automatique qui
fonctionnait mal. Cet espace tait gard par une personne non arme assise derrire un bureau daccueil standard. Le garde devait appuyer sur deux boutons, le
premier pour dverrouiller la porte dentre, le second pour dverrouiller la porte
intrieure du btiment. Sur le mur ct du garde, un panneau cls non ferm
tait accroch. Sur le bureau, un ordinateur servait programmer les cartes daccs
des locataires aux diffrents niveaux, pices et bureaux du btiment. Les toilettes se
trouvaient larrire, avec une fentre basculante au travers de laquelle un adulte
pouvait facilement passer. Une chelle suffisamment haute pour atteindre la fentre des toilettes du premier tage tait habituellement pose tout prs.
En rsum, ce btiment semblait disposer dune scurit physique, mais elle tait
aussi fragile que du papier de soie et trs mal structure. En une occasion, la carte
daccs de lauteur ne fonctionnait pas et interdisait laccs aux zones pourtant
autorises. Le garde en poste tait nouveau. Aprs avoir constat que le garde
ne parvenait pas utiliser lordinateur pour accorder les privilges daccs appropris, lauteur lui a demand sil pouvait utiliser le programme. tonnamment, il a
rpondu oui...
La morale de cette histoire est quen raison de contrles de scurit inadapts au
niveau des locaux la rdaction de SLA pour les locataires de ce lieu tait pratiquement impossible.

Normes et stratgies de scurit du Cloud


Certaines exigences de scurit seront probablement uniques limplmentation dun Cloud, mais il est important quelles soient cohrentes avec les standards appropris, comme lISO 27001 et lISO 27002, si vous voulez bnficier
de nombreuses expriences pratiques et de meilleures pratiques. Par ailleurs, tous
les aspects de la scurit doivent tre intgrs la stratgie de scurit dun Cloud,
quil est prfrable de concevoir sous forme dun document formel ayant reu
lapprobation et la bndiction totale de la direction. Une stratgie de scurit sert
de rfrence partir de laquelle sont dduites les exigences de scurit. Elle ne
doit pas dtailler les approches techniques ou architecturales, car elles risquent de
changer plus frquemment que la stratgie, mais doit prsenter les exigences sousjacentes dun point de vue organisationnel ou mtier. Par exemple, elle doit expliquer la ncessit dutiliser un chiffrement standard par lintermdiaire dun produit
commercial qui aura t valu, plutt quindiquer lutilisation de TLS (Transport
Layer Security), de SSL (Secure Sockets Layer) ou de tout autre mcanisme de
scurisation des communications.
2011 Pearson Education France La scurit dans le Cloud Vic (J.R.) Winkler

96

La Scurit dans le Cloud

La stratgie de scurit doit galement amener la rdaction de plusieurs documents connexes:


mm

mm

mm

Un ensemble de directives pour mettre en place la scurit dans le dveloppement du logiciel dinfrastructure, dans les procdures de gestion de linfrastructure et dans les procdures dexploitation.
Une politique dutilisation acceptable pour chaque catgorie dutilisateurs, des
oprations internes ladministration en passant par les locataires et les utilisateurs finaux. Ce document doit identifier les catgories dutilisations interdites,
les raisons de cette interdiction et les consquences de toute infraction.
Un ensemble de normes de scurit pour tous les aspects du Cloud, du dveloppement lexploitation. Vous devez y indiquer les lments suivants:
daccs. Ils doivent tre donns un niveau de granularit qui
permet de guider la mise en uvre des accs physiques aux btiments et les
accs logiques aux systmes et aux applications.

!! Contrles

et rponse aux incidents. Vous devez dtailler les rles et les responsabilits des diffrentes parties, ainsi que les procdures et la chronologie
de la dtection au rapport postmortem.

!! Gestion

!! Sauvegardes

de la configuration du systme et du rseau. Il est important


de disposer dune copie actuelle et officielle de toutes les configurations,
notamment des composants dinfrastructure, des serveurs et des commutateurs, ainsi que de tous les systmes hbergs.
de la scurit. Le fournisseur du Cloud doit effectuer des tests initiaux
et priodiques de la scurit et documenter les rsultats. Ce document doit
comprendre les rles et les responsabilits, et prciser quel moment les
tests et les comptes rendus des tiers doivent tre raliss.

!! Tests

des donnes et des communications. Ce standard doit dtailler les domaines fonctionnels (comme le trafic du serveur web), les algorithmes cryptographiques approuvs et la longueur requise pour les cls.

!! Chiffrement

!! Standards pour les mots de passe. Ce document doit prciser les caractris-

tiques des mots de passe acceptables, notamment leur longueur et leur forme,
et la manire dont le fournisseur du Cloud en vrifiera la conformit.
en continu. Vous devez dtailler la manire dont la gestion de
la configuration et le contrle des changements sont effectus de manire
garantir une scurit permanente de la base de rfrence alors quelle volue
et est mise jour.

!! Surveillance

Plusieurs autres aspects sous le contrle du fournisseur de Cloud bnficieront du


dveloppement de standards formels. Il sagit notamment de la fermeture des sessions inactives, de la dfinition des rles et des responsabilits du personnel du
Cloud, de la rotation des fonctions et de la planification des vacances, de la gestion
des supports optiques et lectroniques, y compris les procdures de destruction ga 2011 Pearson Education France La scurit dans le Cloud Vic (J.R.) Winkler

Chapitre 4

Exigences de scurit pour larchitecture

97

rantie pour les supports qui ne peuvent plus tre effacs, du retrait ou de lutilisation
hors site des quipements, de la suppression opportune des privilges dutilisateurs,
ainsi que de la reprise sur dsastre et de la continuit de lactivit.
Exigences de scurit du Cloud
Larchitecture de scurit du Cloud doit tre cohrente avec les objectifs de la stratgie de scurit. Par consquent, la premire exigence sera de dvelopper une
stratgie de scurit pour le Cloud. La seconde sera de rdiger des formules provisoires pour chaque document et standard indiqus la section prcdente. un
certain stade, il faudra identifier les exigences prliminaires au dveloppement de
larchitecture de scurit du Cloud. Des exigences reprsentatives qui sappliqueront probablement votre architecture sont donnes dans la suite de cette section.
Synchronisation de lheure au niveau du Cloud

Puisque le bon fonctionnement des systmes et les journaux dpendent dune heure
correcte, tous les systmes doivent se synchroniser partir de la mme source de
temps. En gnral, cela passe par la mise en place de NTP (Network Time Protocol), lun des plus anciens protocoles Internet mais toujours employ. Une heure
correcte et synchronise est extrmement importante lorsque des ordinateurs communicants rsident dans des lieux diffrents et que les estampilles temporelles des
enregistrements et des vnements doivent tre synchronises. En cas de drive
des horloges des priphriques rseau et/ou des ordinateurs, une infrastructure de
Cloud est sujette toutes sortes derreurs difficiles diagnostiquer.
De faon gnrale, une information de temps exact est fournie par une autorit nationale de diffrentes manires, notamment par des transmissions radio, cellulaires,
satellitaires ou cbles issues de serveurs de temps principaux. Elle est ensuite distribue via des sous-rseaux NTP des millions de serveurs secondaires et, partir
de l, aux clients finaux. NTP fournit un temps universel coordonn (UTC, Coordinated Universal Time), les informations de fuseaux horaires ou dheures dt
devant tre obtenues sparment.
Attention
Une infrastructure physique de Cloud doit disposer de sources de temps prcises, fiables
et vrifiables, comme WWV et GPS. Le systme de gestion du temps doit se fonder sur
au moins deux sources fiables pour une exploitation solide et scurise. Tous les ordinateurs et les priphriques rseau doivent obtenir leur information de temps pour
une synchronisation parfaite et des oprations du Cloud fiables. Voici les meilleures
pratiques pour la gestion de NTP:
mm Configurer les client pour quils fassent rfrence au moins deux serveurs de

temps de manire assurer la redondance.


mm La synchronisation prcise de lheure dpend de la frquence laquelle les clients

actualisent leurs horloges partir des serveurs de temps.


mm Les sources doivent se limiter aux rseaux et aux signaux radio officiels et lgaux.
2011 Pearson Education France La scurit dans le Cloud Vic (J.R.) Winkler

98

La Scurit dans le Cloud

Gestion des identits

Les identits constituent un lment cl de la scurit. Ces informations doivent


tre correctes et disponibles tous les lments du Cloud qui ont des besoins de
validation des accs. Voici les exigences de base:
mm

mm

mm

mm

mm

mm

mm

mm

Des contrles doivent tre mis en uvre pour protger la confidentialit, lintgrit et la disponibilit des informations didentit.
Un systme de gestion des identits doit tre mis en place pour prendre en
charge les besoins dauthentification du personnel du Cloud.
Le systme de gestion des identits doit pouvoir prendre en charge les besoins
dauthentification grande chelle des locataires et des utilisateurs du Cloud.
Il faut envisager lutilisation dun systme didentits fdres pour permettre
la portabilit des identits des utilisateurs et proposer un seul mcanisme tant
pour les accs internes que pour les accs des locataires et des utilisateurs. Un
tel systme permettra ventuellement linteroprabilit avec les fournisseurs
ou les royaumes (realms) didentit de tiers et des clients.
Lidentit des utilisateurs doit tre vrifie au moment de leur enregistrement
conformment la stratgie de scurit et aux contraintes lgales.
Lorsque des identits sont supprimes, lhistorique des utilisateurs doit tre
conserv pour dventuels besoins denqute ultrieure.
Lorsque des identits dutilisateurs sont retires ou recycles, vous devez vrifier que laccs accord un nouvel utilisateur ne concerne pas les donnes ou
les environnements des anciens utilisateurs, ni dautres ressources dinformation prives. Pour cela, il faut quau niveau appropri du systme de gestion les
identits des utilisateurs ne soient jamais rellement rutilises, ce qui vitera
tout conflit ou confusion.
Des moyens doivent tre mis en place pour que le personnel du fournisseur du
Cloud puisse vrifier les dclarations didentit des clients.

Gestion des accs

Le contrle des accs se fonde sur les informations didentit pour permettre et
contraindre laccs un Cloud en fonctionnement et linfrastructure sous-jacente.
Voici quelques exigences:
mm

De manire gnrale, le personnel du Cloud doit avoir un accs limit aux donnes des clients. Il peut avoir besoin dun accs lhyperviseur dune machine
alloue un client ou aux priphriques de stockage qui hberge les machines
virtuelles ou les donnes du client, mais un tel accs doit tre svrement encadr et se limiter des oprations prcises parfaitement dfinies dans la politique de scurit et les SLA. Vous devez mettre en place des procdures de
besoin den connatre pour le personnel du Cloud afin dviter les opportunits inutiles daccs aux donnes des clients.
2011 Pearson Education France La scurit dans le Cloud Vic (J.R.) Winkler

Chapitre 4

mm

mm

mm

mm

Exigences de scurit pour larchitecture

99

Les oprations qui demandent des privilges levs doivent faire lobjet dune
authentification multiple. Appliquez des contrles de scurit supplmentaires
pour ces oprations. Vrifiez que les mcanismes dautorisation de gestion du
Cloud sont restreints et quils nautorisent pas un accs lensemble du Cloud.
Interdisez lusage de comptes partags (comme celui de ladministrateur) et
favorisez lutilisation de sudo ou quivalent pour donner des privilges consigns et uniquement aux membres du rle appropri.
Lors de laffectation des autorisations, le principe du moindre privilge doit
tre de mise. Optez pour des contrles daccs fonds sur les rles de manire
donner aux utilisateurs autoriss des accs qui dpendent de leurs fonctions.
Mettez en place une liste blanche dadresses IP pour tous les contrles ou les
accs distance du personnel dexploitation. Lorsquune telle liste ne peut
pas tre tablie, imposez un accs au travers de mcanismes supplmentaires,
comme des passages renforcs au travers de proxies ou de passerelles.

Astuce
Dans des circonstances inhabituelles, le fournisseur du Cloud peut avoir besoin dun
accs durgence certaines fonctions de contrle du Cloud ou aux machines virtuelles
des locataires. De manire anticiper ces situations, vous devez envisager la mise en
place dune procdure de type en cas durgence, briser la vitre. Dans cette procdure
durgence, les contrles de scurit qui sont toujours en place peuvent tre contourns.
Une procdure brise-vitre doit tre clairement dfinie et parfaitement comprise. Elle
doit galement tre soigneusement documente et teste. Une telle stratgie peut se
fonder sur des comptes privilgis prdfinis qui doivent tre employs uniquement
dans des conditions prcises.
Toutefois, les consquences dune telle approche peuvent tre graves si les circonstances
ne lexigeaient pas. Une partie de la procdure peut inclure la rdaction dun rapport
formel sur les circonstances qui ont conduit briser la vitre. Une phase de nettoyage
doit galement tre prvue aprs usage de ces comptes ou procdures durgence.

Gestion des cls

Dans un Cloud, le chiffrement constitue lun des principaux moyens de protger les
donnes lorsquelles sont stockes et au cours des phases de stockage et de traitement. Voici les exigences quant la gestion des cls:
mm

mm

Des contrles adapts doivent tre mis en place de manire limiter laccs
au systme de gnration des cls sur lequel le fournisseur du Cloud garde le
contrle.
Vrifiez que le niveau racine et les cls de signature sont grs de manire
approprie.

2011 Pearson Education France La scurit dans le Cloud Vic (J.R.) Winkler

100

mm

mm

mm

La Scurit dans le Cloud

Dans une infrastructure de Cloud multisite, la rvocation des cls doit tre
effectue sans effets secondaires ni dlais excessifs.
Des procdures doivent permettre le rtablissement lorsque des cls ont t
compromises.
Protgez et chiffrez les donnes des clients et les images des machines virtuelles toutes les phases appropries de leur cycle de vie.

Audit du systme et du rseau

Les journaux dvnements de scurit du systme et du rseau forment la pierre


angulaire de la gestion de la scurit courante de tout systme. Dans un Cloud, des
vnements daudit seront gnrs dans des zones de confiance fondamentalement
diffrentes. Cela va des rseaux hautement scuriss et des composants de scurit
aux systmes pour lesquels le prestataire de services en nuage cde un contrle
important aux locataires ou aux utilisateurs. Les vnements de scurit doivent
donc tre considrs avec diffrents degrs dintgrit. Les exigences suivantes
sont essentielles la gnration et la gestion des vnements daudit:
mm

Un audit est obligatoire pour tous les systmes en exploitation, depuis les composants systme et rseau de linfrastructure jusquaux, mais sans ncessairement les inclure, machines virtuelles des clients. Les accords de confidentialit
et les contrats de service passs avec les locataires peuvent fixer la limite des
donnes qui seront collectes dans leurs machines virtuelles et, dans de nombreux cas, sur leurs rseaux virtuels.

mm

Tous les vnements de scurit doivent tre enregistrs et accompagns des


informations connexes qui permettent de les analyser. Cela doit inclure lheure
exacte, un nom dhte, des identifiants dutilisateurs, des codes dvnements
appropris et les informations daide.

mm

Les vnements daudit gnrs doivent tre consigns de manire quasi temps
rel. Le bon fonctionnement de laudit et de la journalisation doit tre vrifi
de manire rgulire laide de diffrents moyens comme heartbeat ou calland-respond.

mm

mm

mm

Tous les vnements et les journaux daudit doivent faire lobjet dune collecte
permanente et centralise de manire garantir leur intgrit et autoriser des
alertes et une surveillance dans les dlais.
Tous les vnements et les journaux daudit doivent tre conservs et archivs de manire scurise pendant au moins la dure requise par la stratgie
de scurit. Cette dure doit tre de prfrence infinie de manire permettre
des analyses long terme rtroactives, que ce soit dans le cadre dactions juridiques ou dans lobjectif damliorer la scurit et sa surveillance.
Pour rpondre aux besoins lgaux ou oprationnels confirms des locataires ou
des clients, les enregistrements daudit seront nettoys de manire autoriser

2011 Pearson Education France La scurit dans le Cloud Vic (J.R.) Winkler

Chapitre 4

Exigences de scurit pour larchitecture

101

leur partage avec les locataires et les clients, que ce soit par lintermdiaire
dun service de scurit ou la demande.
mm

Des contrles doivent tre mis en place pour protger la confidentialit, lintgrit et la disponibilit des vnements daudit, des journaux daudit, du systme de centralisation des journaux, de larchivage, du traitement et des rapports.

Surveillance de la scurit

La surveillance de la scurit se fonde sur les journaux daudit, la surveillance de la


scurit rseau (par une inspection du trafic avec snort ou autres) et sur des donnes
environnementales (voir la section Scurit physique). Voici certaines exigences
pour la surveillance de la scurit:
mm

mm

La surveillance de la scurit doit tre un service durci et hautement disponible


auquel il est possible daccder en interne ou distance de manire scurise.
La surveillance de la scurit doit comprendre les lments suivants:
!! La

gnration dalertes fonde sur la reconnaissance automatique de lexistence ou de la dtection dun vnement de scurit ou dune situation critique.

!! Lenvoi

dalertes critiques par diffrents moyens pour que lquipe de scurit et la direction en soient informes promptement.

!! Les

moyens donns au personnel de scurit pour enquter et suivre le droulement dun incident ou simplement pour examiner les journaux de manire amliorer les mcanismes dalerte ou identifier manuellement des
incidents de scurit.

mm

mm

mm

Mettez en place un systme de dtection des intrusions ou dune anomalie au


niveau du Cloud et envisagez de le fournir en tant que service pour les locataires ou les utilisateurs (la Figure4.2 est une vue densemble de la gestion des
vnements de scurit et de son lien avec la surveillance de la scurit).
Envisagez de fournir sous forme de PaaS (Platform-as-a-Service) ou dIaaS
(Infrastructure-as-a-Service) une fonction qui permette aux clients dimplmenter la dtection des intrusions/anomalies et qui les autorise envoyer des
jeux dvnements ou des alertes appropris au systme de surveillance de la
scurit mis en place par le fournisseur du Cloud (nous y reviendrons la section Surveillance de la scurit du Chapitre6).
Vrifiez que la surveillance de la scurit est implmente de manire fiable
et correcte mme en cas de dysfonctionnement dans le processus de gnration des vnements et de leur collecte. Les journaux de scurit doivent tre
conservs de manire compatible avec la loi, la rglementation applicable et la
stratgie de scurit.

2011 Pearson Education France La scurit dans le Cloud Vic (J.R.) Winkler

102

La Scurit dans le Cloud

Archivage, exploration de donnes, analyse des tendances

Gnration des
vnements de
scurit

Collecte, filtrage
et alertes

Corrlation et
analyse initiale

Connaissance
de la situation

Transformer un long flux dvnements en un petit ensemble exploitable


Donnes
dvnements brutes

Alertes
simples

Avertissements et
indications

Connaissance
exploitable

Portail de scurit : interfaces de surveillance et de rapport

Rsolution

Surveillance

Figure4.2
Vue densemble de la gestion des vnements de scurit et de son rle dans la surveillance.

Gestion des incidents

La gestion et la rponse aux incidents doivent tre en phase avec les SLA et la
politique de scurit:
mm

mm

mm

Vrifiez que les incidents peuvent tre grs de manire fiable et leur impact,
contenu. Une procdure formelle doit tre mise en place pour dtecter, identifier, confirmer et rpondre aux incidents. Elle doit tre dtaille de manire
standard ou formelle et teste rgulirement.
La gestion des incidents doit comprendre des moyens clairs et fiables qui permettent aux clients et aux locataires de signaler au fournisseur des situations
ou des vnements.
La procdure de gestion des incidents doit comprendre des examens et des
rapports priodiques.

Tests de la scurit et correction des vulnrabilits

Des tests de scurit doivent tre mens sur tous les logiciels pour approbation de
leur mise en production. Il est important de mettre en place des tests de vulnrabilit et dintrusion de manire quasi continue. Pour une plus grande efficacit, cette
possibilit doit tre coordonne au changement de surveillance et de gestion de
2011 Pearson Education France La scurit dans le Cloud Vic (J.R.) Winkler

Chapitre 4

Exigences de scurit pour larchitecture

103

configuration de manire viter les fausses alarmes et la rponse aux incidents.


Voici quelques exigences prcises:
mm

mm

mm

Des environnements distincts doivent tre utiliss pour le dveloppement, les


tests, lactivation et la mise en production de tous les logiciels et systmes du
fournisseur de Cloud, y compris la distribution des correctifs.
Des procdures de gestion des correctifs doivent tre dfinies pour tous les
composants, les serveurs, les systmes de stockage, les logiciels de virtualisation, les applications et les composants de scurit de linfrastructure. Bien
que lapplication des correctifs se fasse gnralement sur des systmes actifs,
cette pratique est dangereuse et doit tre vite dans un Cloud en raison des
mcanismes dallocation et de mise disposition plus rapides exigs.
Dfinissez une stratgie intgre pour la correction des vulnrabilits ou les
contrles compensatoires qui peuvent tre appliqus dans diverses circonstances, de la rponse aux menaces immdiates ou imminentes lapplication
de correctifs moins critiques en vue damliorer la scurit ou la fiabilit du
Cloud. Certaines vulnrabilits viendront du logiciel dun fournisseur et demanderont des correctifs de sa part, une solution de contournement valide ou
un dveloppement maison de contrles compensatoires. Dautres vulnrabilits peuvent tre apportes par le fournisseur du Cloud au travers dun logiciel
personnalis, dlments de conception non srs qui ouvrent des brches dans
la scurit ou de contrles qui sont simplement mal configurs. La Figure4.3
illustre une procdure que vous pouvez implmenter pour corriger les dfauts
de scurit sous la responsabilit du fournisseur.

Contrles du systme et du rseau

Ces contrles doivent tre mis en uvre sur les systmes de linfrastructure, les
systmes qui hbergent les donnes et les applications des clients et tous les quipements rseau. Cela inclut tous les composants ou les services physiques ou virtuels.
Voici quelques exigences spcifiques:
mm

mm

mm

Assurez lisolation, la configuration et la scurit adaptes sur les composants


de scurit.
Mettez en place une isolation rseau entre les diffrentes zones fonctionnelles
de linfrastructure du Cloud, en commenant par implmenter des rseaux
totalement distincts (y compris lutilisation dune sparation physique et une
virtualisation du rseau) pour les composants accessibles publiquement (interfaces pour les htes de machines virtuelles et le stockage dans un Cloud
public), les composants de gestion de linfrastructure et ladministration du rseau et de la scurit. Renforcez ce point en utilisant dautres contrles rseau
et des pare-feu logiciels sur les machines.
Sparez les accs la plateforme matrielle depuis le systme dexploitation et
depuis les machines virtuelles de manire empcher lutilisateur qui dispose
dun accs de gestion au matriel dobtenir un accs la machine virtuelle ou
au ct accessible publiquement. Laccs inverse, de la machine virtuelle la
plateforme, doit galement tre empch.
2011 Pearson Education France La scurit dans le Cloud Vic (J.R.) Winkler

104

La Scurit dans le Cloud

Figure4.3
Procdure de
correction de la
scurit.

Dcouverte des vulnrabilits


et/ou des exploits
scans de scurit ;
tests ;
examens de journaux, bogues,
etc.

valuation :
impact ;
gravit ;
correctif, solution de
contournement ;
impact potentiel du correctif ;
estimation de la dure ;
identification des ressources.

Ingnieurs du Cloud

quipe de scurit

Dveloppement dun correctif


Test du correctif

Test de
la scurit

Vrification du correctif

Modification
du contrle
Oprations

Environnements
de test et/ou
dactivation

Approbation
de la distribution
du correctif
Planification de
la correction

Production

mm

mm

mm

Les mmes contrles doivent galement servir renforcer lisolation des machines virtuelles actives qui appartiennent des clients diffrents.
Des contrles appropris seront implments de manire garantir lintgrit
des systmes dexploitation, des images de machines virtuelles, des applications de linfrastructure, des configurations rseau et de tous les logiciels de
plateforme et des donnes des clients.
Le fournisseur du Cloud doit proposer des moyens pour examiner les mises
jour logicielles et systme avant de les passer en production. Une vrification
des vulnrabilits du code doit tre mise en uvre conjointement des scanners de code malveillant et dautres outils.

2011 Pearson Education France La scurit dans le Cloud Vic (J.R.) Winkler

Chapitre 4

Exigences de scurit pour larchitecture

105

Outils
Entre autres usages rpandus, les listes blanches sont employes dans les rseaux
pour identifier les adresses IP source de confiance et dans les systmes pour identifier les applications autorises. En acceptant uniquement les adresses IP source
qui se trouvent en liste blanche, vous pouvez effectivement rejeter tout le trafic
non sr qui provient des autres adresses IP. De manire comparable, vous pouvez
circonscrire lensemble des applications autorises en ajoutant les produits sur liste
blanche. Lorsquune application est lance par un utilisateur, le systme consulte
la liste et vrifie la validit de lexcution. Les applications peuvent tre recenses
avec leurs caractristiques, comme leur taille ou leur emplacement, et toutes les
autres seront explicitement refuses. Il existe plusieurs entreprises qui oprent sur
ce march, notamment CoreTrace (http://www.coretrace.com/) avec Bouncer et
Bit9 (http://www.bit9.com/) avec Parity.
Lemploi dune liste blanche de produits prsente toutefois un inconvnient: vous
devez vous assurer que toutes les applications qui devront pouvoir sexcuter sur
un systme sont autorises dans cette liste et elle doit tre actualise suite la mise
niveau dune application. Notez que ces informations peuvent galement tre
conserves dans une CMDB et ensuite vrifies par un script ou une application.
Ces deux dernires annes ont vu une augmentation de lutilisation des listes
blanches de produits. Elles doivent tre considres comme un outil potentiel pour
le dploiement dune infrastructure de Cloud, en particulier si vous souhaitez minimiser le nombre de mises niveau raliser de manire rgulire.

Informations de configuration

Avec une infrastructure de Cloud hautement dynamique et la mise disposition/


retrait de machines virtuelles, il est extrmement important quune liste de tous les
actifs du Cloud soit maintenue jour, en y incluant les matriels, les systmes, les
logiciels, les configurations, les allocations et tous les lments du Cloud qui sont
grs ou surveills en exploitation. Voici les exigences associes:
mm

mm

Les meilleures pratiques conseillent dutiliser une CMDB, un sujet sur lequel
nous reviendrons la section Importance dune CMDB.
Tous les actifs et les lments du Cloud doivent tre classifis daprs leur
fonction, leur sensibilit, leur caractre critique et les autres caractristiques
qui ont un impact matriel sur la gestion de leur scurit ou sur la comprhension de leur impact sur la scurit sils tombent en panne ou sont compromis.

Exigences gnrales sur la scurit de linfrastructure

Outre les contraintes de scurit du Cloud dcrites prcdemment dans cette section, il existe de nombreuses exigences plus gnrales pour la scurit de linfrastructure:
mm

Cherchez exploiter les meilleures pratiques des fournisseurs et de la communaut, car elles sont issues de lexprience. Mme si une bonne pratique nest
pas applicable, la connatre peut dj se rvler bnfique.
2011 Pearson Education France La scurit dans le Cloud Vic (J.R.) Winkler

106

mm
mm

mm

mm

mm

mm

mm

La Scurit dans le Cloud

Par dfaut, les machines virtuelles doivent tre endurcies et minimises.


Les ports ouverts doivent se limiter au strict minimum pour la mise disposition et lallocation initiale pour un client. Lorsquune procdure oprationnelle
exige louverture dun port, elle doit se faire uniquement face au besoin et
uniquement pour la dure requise.
Mettez en uvre les moyens qui permettent dassurer la continuit de lactivit
conformment aux accords de niveaux de service. Vrifiez priodiquement que
la perte de donnes maximale admissible (PDMA) et que la dure maximale
dinterruption admissible (DMIA) sont satisfaites.
Faites en sorte que la connectivit rseau soit assure grce de multiples
voies daccs aux services du Cloud. Garantissez lutilisation de connexions
rseau physiques et logiques diverses et redondantes. Vrifiez que la connectivit redondante ne mne pas au mme point physique ou logique qui a t
simplement renomm par un second fournisseur. Dans la mesure du possible,
vrifiez que les liens physiques qui entrent dans le btiment (et, partir de l,
dans linfrastructure du Cloud) ne sont pas sujets un point de dfaillance
unique en cas dvnement catastrophique.
Vrifiez que le btiment dispose dune source dalimentation suffisante et que
sa distribution permette linfrastructure de secours dentrer en action lorsque
llectricit est coupe dans une partie du btiment. Autrement dit, le fournisseur de Cloud doit disposer dune source dalimentation suffisante pour maintenir une fonctionnalit centrale de manire assurer une continuit dactivit
distance ou pour maintenir la scurit du btiment en attendant de revenir
dans un tat oprationnel total.
Vrifiez que les adresses IP retires internes au Cloud, comme celles affectes aux machines virtuelles dun prcdent locataire, soient suffisamment anciennes avant de les recycler chez un autre utilisateur. Cela permettra dviter
que ce nouvel utilisateur naccde aux ressources de lutilisateur prcdent.
Attendez-vous une innovation et des volutions permanentes dans linformatique en nuage et dans les technologies sous-jacentes. Prvoyez de pouvoir
modifier, adapter ou tendre linfrastructure dune manire que vous naurez
pas totalement anticipe.

Modles de scurit et lments architecturaux


Cette section tudie plusieurs modles et lments qui sous-tendent ou contribuent
la scurit du Cloud. Tous les efforts consacrs ces modles (pattern) seront
rcompenss au cours de la procdure de construction et de lexploitation, et ils
permettront gnralement une meilleure scurit.

2011 Pearson Education France La scurit dans le Cloud Vic (J.R.) Winkler

Vous aimerez peut-être aussi