Académique Documents
Professionnel Documents
Culture Documents
Introduction
Historique
Caractéristiques
Les avantages
Les top 9 menaces déterminés par l’organisme du CSA (Cloud Security Alliance)
Conclusion
3
Introduction
Extrême complexité
4
Définitions
5
Historique
Pendant longtemps la machine n’était qu’une simple interface de visualisation de l’information et tout son traitement
était internalisé (l’ère du Minitel). À cette époque, les utilisateurs accédaient depuis leurs terminaux à des applications
fonctionnant sur des systèmes centraux (les mainframes), qui correspondaient aux ancêtres des serveurs du Cloud.
Puis les machines ont embarqué de la puissance de calcul et de la mémoire et les calculs ont alors été externalisés
et effectués en local.
Aujourd’hui, nous nous dirigeons, avec l’émergence des tablettes tactiles, vers un retour à la notion d’interface de travail.
logiciels et données sont dans la majeure partie hébergés dans des serveurs privés ou communautaires à travers le monde.
6
Les éléments à
l’origine du Cloud
Computing
Les éléments à l’origine du Cloud Computing sont :
Utility Computing - l'informatique utilitaire : est un modèle de fourniture du service informatique dans lequel le prestataire détient,
exploite et gère une infrastructure informatique et les ressources, et les abonnés y accède en cas de besoin sur une base de location. Les ressources
informatiques fournies peuvent inclure des serveurs virtuels, stockage virtuel, le logiciel virtuel, la sauvegarde et la plupart des solutions
informatiques;
Grid Computing – Grille informatique : Réseau d'ordinateurs formé dans le but d'effectuer des traitements de données complexes et
volumineux, liés à l'exécution d'une tâ che, en mettant à contribution leurs ressources inutilisées . Cette grille est une infrastructure virtuelle
composée d'un ensemble de ressources informatiques potentiellement partagées, distribuées, hétérogènes, délocalisées et autonomes;
Autonomic Computing - informatique autonome est un modèle informatique d'auto-gestion du nom, calqué sur le système nerveux
autonome du corps humain. Le but de l’Autonomic Computing consiste à créer des systèmes qui gèrent elles-mêmes, capables de contrô ler le
fonctionnement des applications et des systèmes informatiques sans intervention de l'utilisateur, assurant un fonctionnement de haut niveau tout en
gardant la complexité du système invisible pour l'utilisateur;
7
Les éléments à
l’origine du Cloud
Computing (suite)
SOA (Service Oriented Architecture - ou architecture orientée services) : Cette approche repose sur la réorganisation des
applications en ensembles fonctionnels appelés services. Un service n'est autre qu'une application exposée par le biais d'une interface
standard (langages SOAP/WSDL) connue sous le nom de Web Services. Au sein d'un tel environnement, des services (dits "producteurs")
sont ainsi exposés à d'autres services (dits "consommateurs").
8
Caractéristiques
Libre-service à la demande
L'utilisateur a accès unilatéralement et automatiquement à des capacités de calcul ou de stockage, sans besoin d'interaction humaine de la part de
fournisseur de service.
Élasticité rapide
La capacité d’augmenter et de réduire le volume des ressources utilisées en fonction des besoins, de même que libérer les ressources qui ne sont
plus nécessaires, au profit d’autres utilisations, via la mutualisation des ressources et l’allocation dynamique de capacité, permettant une
adaptation « élastique » aux pics de charge.
9
Les avantages
du Cloud
• Les entreprises paient pour ce qu’elles utilisent, plutô t que de payer pour une architecture informatique sous-utilisée (en moyenne, 90 à 95%
de la capacité serveur est inutilisée).
• Moins de maintenance et moins d’administration signifient des équipes IT disponibles pour se concentrer sur l’élaboration d’une stratégie IT
en support à l’activité de l’entreprise.
• Potentiellement, les utilisateurs peuvent accéder aux services de Cloud Computing de n’importe où et n’importe quand.
• La fiabilité est meilleure comparée à une solution interne, car les services sont gérés par des spécialistes du Cloud, avec du personnel dédié, et
une gamme complète de compétences pour exécuter et maintenir ce type de plates-formes sur une base 24x7.
• En cas de défaillance du matériel physique, le serveur virtuel ne connait pas de temps d’arrêt. Cette résilience améliorée évite aux entreprises 10
de «doubler» les serveurs pour limiter les points de défaillance.
Modèles de
services
La Figure ci-dessous représente les différentes couches du Cloud Computing , de la couche la moins visible
pour les utilisateurs finaux à la plus visible. L’infrastructure as a Service (IaaS) est plutô t gérée par les
architectes réseaux, la couche PaaS est destinée au développeurs d’applications et finalement le logiciel
comme un service (SaaS) est le « produit final » pour les utilisateurs.
11
Modèles de
services
12
Modes de
déploiement
Un service dans le Cloud doit bien évidemment reposer sur des ressources physiques. La question qui se pose alors est où sont ces ressources ?
Une entreprise a le choix entre se construire ou louer un Cloud privé, bénéficier des offres dans un Cloud public ou choisir différentes options avec
un Cloud hybride.
Cloud Privé
l’infrastructure Cloud est réservée et utilisée par une seule entité (entreprise, organisation, business unit etc.…).
l’infrastructure du nuage est soit hébergée à l’interne( Cloud privé interne), soit hébergée auprès d’un fournisseur
externe qui gère le nuage exclusivement pour ce client (Cloud privé externe).
Cloud public
L’infrastructure de Cloud appartient un prestataire de service qui met les ressources, tels que les applications, ou le
stockage à la disposition du grand public via internet. Le Cloud public peut être gratuit ou fonctionner selon le
modèle, paiement à la consommation.
Cloud communautaire
L’infrastructure du nuage est contrô lée par plusieurs clients qui se rassemblent pour former un nuage répondant à leurs
besoins spécifiques, en particulier d’un point de vue de contrô le, de sécurité et de conformité.
Cloud hybride
L’infrastructure du Cloud hybride est une composition de deux ou plusieurs infrastructures de Cloud (publics, privés ou
communautaires) qui demeurent indépendantes entres elles, mais qui sont utilisées conjointement sur la base de
standards ou de technologies communes aux différents Cloud (Ce qui permet la portabilité des données et des
applications).
13
Partie II : La sécurité dans le Cloud Computing
La sécurité Informatique
Principales préoccupations et risques du Cloud Computing (ENISA)
Les top 9 menaces déterminés par l’organisme du CSA (Cloud Security Alliance)
Conclusion
14
La sécurité
informatique
C’est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires mis en place pour conserver,
rétablir, et garantir la sécurité du système d'information. Assurer la sécurité du système d'information est une activité du
management du système d'information.
Ainsi la sécurité des systèmes d’information cherche à apporter une meilleure maîtrise des risques qui pèsent réellement
sur l’entreprise et répondre à certains enjeux qu’on peut résumer en 4 lettres « DICA » (disponibilité, intégrité,
confidentialité et auditabilité).
Disponibilité : garantir l’accès aux ressources, au moment voulu, aux personnes habilitées d’accéder à ces ressources.
Confidentialité : garantir que seules les personnes autorisées peuvent avoir accès aux données et aux ressources de
l’entreprise.
Auditabilité : garantir la traçabilité des accès et des tentatives d’accès et la conservation des ces traces comme preuves
exploitables. 15
La sécurité
informatique
(suite)
En général, la sécurité informatique s’appuie sur le principe de la roue de Deiming ou la méthode PDCA (Plan-Do-Check-
Act) pour instaurer une méthode de management de risques informatiques au sein d’un organisme. Ce principe permet de
définir la démarche suivie pour l’implémentation d’une politique de sécurité efficace et l’inscrire dans un contexte
d’amélioration continue afin de garantir une évolution sereine et maîtrisée d’un système d’information donné.
16
Les préoccupations
et risques Cloud
D’après l’ENISA (European Union Agency for Network and Infomration Security) les principaux risques en matière de sécurité liés au
Cloud Computing sont :
Vendor Lock-In ou enfermement dans une solution : Lorsqu’une entreprise est déjà un client d’un prestataire du Cloud, et qu’elle a déjà déplacé
ses données vers les Datacenter de ce dernier et également déployer ses applications sur son infrastructure, il n’est pas facile de migrer vers un
autre prestataire à cause de non-interopérabilité des fournisseurs;
Perte de la gouvernance : Les entreprises n'ont plus le contrô le total de la gestion des données et des différentes applications en ligne;
L’isolation des données, c’est-à -dire le risque que les données hébergées sur un système (virtualisé) ne soient plus isolées et puissent être
modifiées
ou rendues accessibles à des tiers non autorisés, suite à une défaillance ou à une mauvaise gestion du prestataire;
La fuite de données
Avec les informations stockées sur des serveurs distants , les entreprises et les particuliers peuvent trouver eux-mêmes en s'appuyant
sur les systèmes de sécurité, qu’ils n'ont aucun contrô le sur eux.
Hacking et la cybercriminalité représente une menace réelle , en outre , les utilisateurs n'ont aucun contrô le sur des facteurs tels que le
personnel employé par les fournisseurs de services de cloud Computing . Cela représente une préoccupation majeure pour ceux qui
souhaitent stocker des données sensibles sur le nuage.
Pour les particuliers , les risques comprennent la possibilité que des renseignements personnels volés pourrait être utilisé pour
commettre 18
un vol d' identité, pour les entreprises, le vol de données et l'espionnage industriel .
Les préoccupations
et risques Cloud
(Suite)
Les responsabilités de sécurité dans le cloud
Pour le modèle IaaS, le réseau, le stockage, le serveur et la sécurité de l’infrastructure sont sous la responsabilité du fournisseur, le client lui
s’occupe de tout ce qui est applications et données.
Pour le modèle PaaS, la sécurité de la plateforme fait bien évidemment partie des responsabilités du fournisseur, par contre le client sera
responsable de la sécurité de toutes les applications qui y seront développées.
Les 9 principales menaces qui planent sur le Cloud selon le Cloud Security Alliance :
1. Violation de données
C’est le cauchemar de tous les DSI : que des données sensibles tombent entre les mains de concurrents. Fin 2012, l’université de Winconsin et RSA
ont publié un article montrant comment une machine virtuel pouvait récupérer une clé privée utilisée par une machine virtuelle
présente sur le même serveur. Si l’architecture multi-tenant est mal configurée, une faille sur une application permet à un utilisateur
d’avoir accès non seulement à des données liées à cette application, mais également à d’autres.
2. Pertes de données
Les attaques des pirates , un effacement des données pur et simple, une catastrophe physique (tremblement de terre, inondation…) peuvent
entraîner une perte définitif de données.
3. Détournement de compte
Si une personne mal intentionnée peut récupérer votre identité, il a alors accès à toutes vos activités, vos transactions, peut manipuler vos données,
retourner de fausses informations, rediriger vos clients vers des sites illicites.
Les fournisseurs exposent un ensemble d’API qui permettent à leurs clients d’interagir facilement avec les services Cloud. Provisioning, gestion,
orchestration et supervision utilisent ces interfaces. La sécurité et la disponibilité de ces services cloud sont liées à ces interfaces. De
l’authentification au contrô le d’accès en passant par le chiffrement et le suivi d’activité.
20
Les Top 9
menaces du
Cloud (suite)
5. Déni de service
Les attaques DDoS prennent avantage des vulnérabilités des serveurs Web, des bases de données et autres ressource sur le cloud, permettant aux
codes malveillants de mettre à bas une applications avec un simple code de quelques octets.
6. Utilisateurs malveillants
Ce type de menace concerne un ancien employé, un fournisseur, un partenaire qui a un accès autorisé au réseau, aux serveurs, aux données et qui
utilisent cet accès avec un objectif ayant une implication sur la confidentialité, l’intégrité ou la disponibilité du système d’information.
8. Mauvaises procédures
Trop d’entreprises vont se lancer dans des projets de cloud sans en comprendre tous les tenants et aboutissants. Parmi celles-ci : les obligations
contractuelles sur les risques, les niveaux de services, la transparence de l’offre afin de réduire l’écart entre l’offre et les attentes des clients. Aller
vers le cloud nécessite méthodes, ressources, procédures…
Les fournisseurs garantissent que le service qu’ils proposent est évolutif (scalable) grâ ce à la mutualisation et au partage des infrastructures, des
environnements logiciels et des applications. Mais ces architectures dites « multi-tenants » sont complexes et doivent conçues et mises en œuvres
avec beaucoup d’attention. Car c’est tout l’environnement cloud du fournisseur qui peut en être affecté.
21
Sécuriser les
images de VM
dans le Cloud
la sécurité de l’image disque d’une machine virtuelle stockée dans le Cloud est un enjeu majeur, car elle est vulnérable à de nombreuses attaques
lancées par des utilisateurs malveillants au cours du stockage :
Injection des codes malicieux dedans, fuite de données ou la réalisation une capture instantanée ou snapshot de la VM lors du stockage.
L’objectif de cette recherche est de proposer un système intitulé Encrypt Disk Images in Cloud (EVDIC), qui permet le chiffrement des images de
VM stockées dans le Cloud, et d’assurer également l’intégrité de ces images. Ainsi la sécurité des VM est maintenue dans le Cloud.
Le travail de ce système est divisé en deux parties ; d’une part, le chiffrement de l’image de la VM avant qu’elle soit stockée dans le Cloud, et d’autre
part le déchiffrement de cette image lorsqu’elle est récupérée pour utilisation par une VM.
-Le KMS est responsable de la gestion des clés utilisées pour le chiffrement/déchiffrement. Une fois que les clés de chiffrement sont dérivées pour
les utilisateurs, elles sont stockées dans le KMS.
-Les communications entre le KMS et IEM et IDM sont établies via SSL.
-Pour des raisons de sécurité le KSM est placé hors la plate forme du Cloud.
Le chiffrement de l’image d’une VM par le module IEM du système Le déchiffrement de l’image d’une VM par le module IDM du
EVDIC système EVDIC
23
Intégration du module le module IEM du système EVDIC avec OpenStack
Vers un trafic
virtuel sécurisé
dans le Cloud
Problématique : La supervision et la sécurisation du trafic réseau dans une plate forme du Cloud Computing
- Dans une infrastructure du Cloud Computing qui est un environnement virtualisé, nous avons plusieurs VM sur un seul serveur physique ou
hyperviseur, et qui peuvent communiquer entre-deux via commutateur virtuel sans quitter l’hyperviseur .Ce trafic inter VM situé sur le même
hyperviseur ou sur deux hyperviseurs distincts passe inaperçue pour les dispositifs de sécurité mis en place sur le LAN que ce soit des firewall ou
des IDS ou IPS, ce qui ouvre la porte pour plusieurs sortes d'attaques de sécurité.
- Les types d’attaques : Hyperjacking, VM mobility/migration (VM mobilité / migration), VM escape, Guest Hopping
La solution proposée :
Chaque agent est chargé d’analyse une trame ou frame tag ajoutée dans la charge utile du packat IP et en se basant sur sa propose base de règles
dynamiques, il décide d’accepter ou rejeter le paquet IP. Brief, l’agent agit comme un système léger de prévention et de détection des intrusions pour
chaque VM, ce qui garantit une communication inter VM sécurisée.
Le rô le des agents est d'élever le niveau de sécurité dans le Cloud en ajoutant une autre couche de l'authentification via le Frame Tag (générer et de
les analyser).
24
Vers un trafic virtuel
sécurisé dans le Cloud
(suite)
Architecture du système mis en place sur plate forme du Cloud Service Provider (CPS) Structure d’une Frame Tag
Le champ drapeau(Flag) : La section du drapeau représente un indicateur de l'action devrait être prise par un agent en fonction sur sa
valeur. Il y a plusieurs types de drapeau ; drapeau de données, drapeau d’enregistrement et drapeau de mise à jour de règles.
Le champ étiquette de locataire (Tenant Tag): Si un locataire est créé, le Gestionnaire de Nuage l'identité crée un ID pour ce locataire. La
même chose arrive avec l'étiquette de locataire qui est stockée dans Database Tag. Assurer une forme isolement entres les locataires ou
tenants.
Le champ étiquette de l’application de (Application tag): Quand une application est ajoutée et installée sur une machine virtuelle, le client
doit certifier la fiabilité des cette application en l’ajoutant via la gestion de la console, de sorte que via un mécanisme de hachage une étiquette 25
d'application est crée et stockée dans de base de données Database Tag.
Sécurité et intégrité des
données stockées en
Cloud Storage
Le stockage Cloud ou Cloud Storage évite ces problèmes en stockant les données dans un pool virtuel distribué, redondant, d’une gigantesque
capacité de stockage et un faible coû t.
Toutefois, le stockage dans le Cloud pose encore des problèmes de sécurité, et plus particulièrement la confidentialité et l’intégrité des données.
La solution proposée :
L’objectif de cette recherche est de proposer aux utilisateurs du CC un système qui fournit un moyen fiable et performant pour :
- Assurer l’intégrité des données stockées dans le nuage, grâ ce d’un mécanisme simple et facile par rapport à ceux déjà existants, et qui requière
peu de puissance de calcul et du temps pour le client, en plus ce dernier n’a plus besoin de stocker aucun données à son cô té pour vérifier
l’intégrité des données. Ce mécanisme empêche même les administrateurs de Cloud d’éditer les fichiers.
Le système proposé est plus adapté aux clients légers, comme des PDA, Tablette , et d’autres.
26
Sécurité et intégrité des
données stockées en
Cloud Storage
La fonction de hachage
L’inconvénient de cette approche, c’est que pour chaque donnée envoyée, la clé de hachage et la valeur de hachage doivent être gardé dans l’espace
du stockage du client. Pour les grandes organisations qu'ils ont une grande quantité de données à stocker, la valeur de hachage et la clé de stockage
elle-même besoin de plus d'espace de stockage côté client.
Sentinelles
-Dans cette approche, pour toutes les données que nous stockons dans le Cloud, nous ajoutons des sentinelles, des blocs spéciaux placés dans
endroits aléatoires dans le fichier de l'utilisateur. Seul l'utilisateur connaît l'emplacement des ces sentinelles.
-L'inconvénient de cette approche est que l'utilisateur doit enregistrer les sentinelles qu'il a utilisé dans son ordinateur personnel et ça deviendra
une surcharge de stockage.
Les deux approches ci-dessus, implique une charge du calcul supplémentaire côté client et également une charge du stockage.
La solution proposée permet d’assurer l'intégrité dans d’une manière efficace, en éliminant la surcharge de client.
27
Sécurité et intégrité
des données stockées
en Cloud Storage (suite)
Le systèmes proposé :
Le module d'intégrité vérifie l'exactitude des données de l'utilisateur en contrô lant les Métadonnées annexées à l'arrière du fichier envoyé. Les
étapes suivantes sont impliquées dans la recherche de la l'intégrité des données de l'utilisateur.
a) Génération de métadonnées.
Sélectionner des bits précis à partir du fichier, ces bits sont utilisés comme métadonnées.
b) Chiffrer de métadonnées
Les métadonnées choisis sont en ensuite chiffrés biais un algorithme de chiffrement pour ajouter plus de la sécurité.
c) L'ajout de métadonnées
Les métadonnées générées et cryptées sont ajoutées à la queue fichier.
28
Sécurité et intégrité des
données stockées en
Cloud Storage (suite)
Dans un souci d’assurer la confidentialité des données envoyées vers le Cloud Storage, l’utilisateur utilise l’algorithme de chiffrement asymétrique
RSA, pour rendre le contenu du fichier transmis inintelligible à quiconque qui l’intercepte.
la phase de vérification
Pour vérifier l'intégrité des données, l'utilisateur utilise les métadonnées.
Lorsque l’utilisateur veut vérifier l’intégrité des données stockées en Cloud, il fait le processus inverse ; déchiffrement et voir si les métadonnées
qui ont été annexé à la fin du fichier n’ont pas été changé. Ainsi, nous obtenons une preuve de récupérabilité.
Comparaison de l’efficacité entre le système de vérification d’intégrité proposé et les systèmes existants:
le système proposé est plus efficace, car il utilise moins de puissance de calcul et du temps de traitement, Ainsi, il est plus adapté
aux les clients légers comme les PDA, et autres mobiles.
En plus pour vérifier l’intégrité, le client n’a plus besoin de stocker aucune donnée dans son cô té. 29
En conclusion, le système proposé est plus adapté aux clients légers.
Conclusion
La perspective d’une migration de l’infrastructure informatique vers le Cloud est de plus en plus séduisante pour de nombreuses
entreprises et organisations. Les principaux bénéfices à attendre pour elles sont les économies en termes de coû ts, la flexibilité
et le gain de temps leur permettant de se concentrer sur les services et les applications qui sont importantes pour leurs clients.
Malgré ces avantages, la sécurité du Cloud reste le plus grand obstacle pour une adoption massive du Cloud Computing.
En effet, les risques comprennent la fuite de données, l'espionnage industriel, l’enfermement dans une solution, la dépendance
technologique et la protection des données. Egalement, la localisation géographique des données et des infrastructures, les
attaques de type DOS et DDOS vers les infrastructures du CPS, et l’isolation des données inquiètent les entreprises qui hésitent
de migrer leurs données et applications vers le Cloud.
La remède à cette situation pour les prestataires du Cloud, c’est qu’ils doivent respecter et appliquer les bonnes pratiques
recommandées par des organismes internationales comme Cloud Alliance Security dans les domaines suivantes :
et le respect des obligations légales et techniques de traitements des données à caractère personnel.
Comme la sécurité est aussi l’affaire des DSI des entreprises, le rô le du DSI (et RSSI) est déployer des méthodes de vérification
des contrats SLA (Service Level Agreement), conclues avec CPS, et veiller à l’application des bonnes pratiques de la sécurité
informatique en nuage.
30
MERCI DE VOTRE
ATTENTION
31