Sécurité et «Cloud computing»

Transcription

1 Sécurité et «Cloud computing» Roger Halbheer, conseiller en chef pour la sécurité, secteur public, EMEA Doug Cavit, conseiller principal pour la stratégie de sécurité, Trustworthy Computing, États-Unis Janvier 2010

2 1 Introduction Ce document passe en revue les principaux enjeux liés à la sécurité du «cloud computing» ainsi que ses avantages. Il relève également certaines des questions que les prestataires de services en nuage et leurs clients doivent se poser lorsqu'ils souhaitent adopter de nouveaux services ou développer ceux qu'ils utilisent déjà. Ce document s'adresse à un public familier des concepts clés du «cloud computing» et des principes de base de la sécurité du nuage. Son but n'est pas de répondre à toutes les questions relatives à la sécurité du nuage ni de proposer une solution de sécurité exhaustive. Questions clés sur la sécurité Comme chaque avancée technologique, le «cloud computing» apporte son lot de risques qu'il convient de prendre en compte avant de pouvoir bénéficier de tous les avantages de la solution. Les questions de gestion de la conformité et des risques, de gestion des identités et des accès, d'intégrité des services et des points de terminaison, ainsi que de protection des informations doivent être étudiées lors de l'évaluation, de l'implémentation, de la gestion et de la maintenance des solutions de «cloud computing». Gestion de la conformité et des risques : les entreprises qui font basculer une partie de leurs activités sur le nuage restent responsables de la conformité, de la sécurité et des risques liés à leurs opérations. Gestion des identités et des accès : les prestataires de services peuvent par exemple fournir des identités à leurs clients. Ces prestataires doivent ensuite pouvoir gérer les accès aux services en nuage via leur infrastructure et permettre une collaboration sans contrainte de frontière. Intégrité des services : les services basés sur le nuage doivent être conçus et exécutés avec pour priorité la sécurité, tandis que les processus opérationnels doivent être intégrés au système de gestion de la sécurité de l'entreprise. Intégrité des points de terminaison : puisque les services basés sur le nuage sont demandés puis consommés sur site, la sécurité, la conformité et l'intégrité du point de terminaison doivent être scrupuleusement étudiées. Protection des informations : les services en nuage requièrent des processus fiables de protection des informations avant, pendant et après la transaction. Bien qu'ils offrent de nombreux avantages potentiels, les services fournis par le biais du «cloud computing» peuvent également créer de nouvelles problématiques, dont certaines ne sont pas encore totalement comprises. En adoptant un service en nuage, les entreprises informatiques doivent par exemple s'adapter au fait que la gestion des données n'est plus sous leur contrôle direct. Ceci est notamment vrai dans le cas d'un «modèle hybride», dans lequel une partie des processus est effectuée sur site et l'autre partie sur le nuage, requérant ainsi la mise en place de processus de sécurité nouveaux et étendus qui prennent en charge de multiples prestataires de services et assurent une protection complète des informations. La gestion des risques et de la sécurité reste sous la responsabilité de l'entreprise consommant les services en nuage, et doit être étendue pour inclure les prestataires de ces services.

3 2 Des stratégies bien définies autour des cinq questions susmentionnées 1 ainsi qu'une infrastructure solide de services garantiront que les services implémentés fournissent des fonctions de «cloud computing» qui respectent les exigences de sécurité et commerciales de l'entreprise. Gestion de la conformité et des risques Une entreprise dotée d'un système informatique sur site a le contrôle total de la conception et de l'exécution de son environnement. Dans le cas d'un nuage «hors site» (exécuté par un système non géré et non possédé par l'entreprise), cette responsabilité est déléguée au prestataire des services en nuage. Émergent alors de nouveaux défis, uniques en leur genre, comme par exemple la Les exigences de conformité peuvent être respectées grâce à une équipe interne compétente et à un certain niveau de transparence des processus assuré par les prestataires de services en nuage. délégation d'une partie des processus clés de gestion de la conformité et des risques de l'entreprise au prestataire de services en nuage. Une telle délégation n'entraîne en aucun cas la déresponsabilisation de l'entreprise informatique quant à ses tâches de gestion de la conformité et des risques. Qui plus est, les prestataires de services en nuage indiquent souvent explicitement dans leurs contrats qu'ils ne sont pas responsables des tâches liées à la conformité. Autrement dit, l'entreprise est et demeure responsable de sa mise en conformité réglementaire par le biais de ses propres processus métier. L'acquisition de services en nuage pour l'intégration et/ou la distribution des tâches de gestion de la conformité et des risques nécessite que les prestataires de ces services assurent leurs opérations avec un certain niveau de transparence. Cependant, trouver le juste équilibre entre transparence et confidentialité du prestataire constitue un réel défi. La transparence est un élément essentiel pour établir une relation de confiance avec les prestataires de services et maximiser la capacité des entreprises à respecter leurs obligations légales. Ainsi, le client doit disposer d'un niveau de transparence suffisamment important pour prendre des décisions optimales (ce niveau varie en fonction de la sensibilité des données à protéger) et suffisamment encadré pour permettre au prestataire d'assurer la protection de ses systèmes et processus propriétaires. Lorsque l'équipe interne de l'entreprise dispose d une réelle visibilité sur les opérations du prestataire de services en nuage, elle peut intégrer les données extraites dans son propre environnement de gestion de la sécurité, de la conformité et des risques. Du fait de son expertise et de sa connaissance complète des exigences de conformité qui pèsent sur l'entreprise, cette équipe doit être présente à chaque négociation de contrat avec tout prestataire de services en nuage. Au cours de la planification des services, l'entreprise doit analyser d'autres questions de logistique pour les opérations futures. Il peut s'agir de questions telles que : l'entreprise garde-t-elle le pouvoir de faire revenir une partie ou la totalité du service sur site dans le futur ou de transférer une partie ou la totalité du service vers un prestataire de services en nuage différent? Quels sont les coûts associés à un tel changement? Comment l'entreprise peut-elle s'assurer que les données (y compris les sauvegardes) stockées dans l'infrastructure du prestataire sont complètement supprimées? Quelle garantie d'accès au données conserve l'entreprise en cas de conflit avec le prestataire? 1 Ceci n'est qu'un échantillon des questions à étudier. Davantage de détails et de conseils sur le «cloud computing» figurent dans les documents rédigés par The Cloud Security Alliance et l'enisa.

4 3 Gestion des identités et des accès Les services basés sur le nuage requièrent des fonctions de collaboration interfonctionnelles sécurisées ainsi qu'un système de protection contre l'utilisation abusive des identités des personnes Tout système de gestion des identités numériques sur le nuage doit être interopérable entre plusieurs entreprises et prestataires et reposer sur des processus fiables. et des périphériques. Les systèmes de contrôle des identités et des accès, notamment ceux dédiés aux actifs à forte valeur ajoutée, doivent se baser sur une infrastructure qui utilise des informations d'identification personnelles et à chiffrement fort. Ces informations d'identification permettent l'exécution d'un système de contrôle des accès basé sur les déclarations, qui identifie les déclarations effectuées par toutes les entités du système. La puissance de ce système d'authentification doit être équilibrée de façon raisonnable avec le besoin de confidentialité des utilisateurs du système. Pour arriver à un tel équilibre, le système doit permettre de transférer et de vérifier les déclarations sensibles sans révéler plus d'informations que nécessaire pour toute transaction ou connexion au sein du service. La gestion sécurisée des identités est critique dans les environnements de toute sorte, mais peut prendre une dimension plus complexe dans un modèle de «cloud computing». Les divers prestataires qui fournissent des déclarations d'identité pour leurs services en nuage et les différents processus qu'ils utilisent doivent être compris et validés comme fiables. Le transfert de services vers le nuage suscite plusieurs questions : qui est le détenteur de l'identité? Quels contrôles encadrent la gestion des identités et des accès? L'entreprise peut-elle changer de prestataire de déclarations d'identité? Quelles sont les différences entre les méthodes de gestion des identités de chaque prestataire? De quelle manière l'authentification et les autorisations sont-elles liées à l'identité? Comment la collaboration ad hoc avec un partenaire tiers utilisant un fournisseur d'identité différent est-elle possible? Les environnements de gestion des identités doivent être compatibles avec les applications traitant des réclamations d'identité et être capables d'assurer la migration sécurisée des données de contrôle d'accès entre le nuage et le système du client ou du prestataire. Ces environnements doivent également permettre la gestion des identités dans l'ensemble de l'entreprise et de chaque identité individuellement. Les systèmes de certification et de réputation jouent un rôle important auprès des fournisseurs d'identités : ils aident les clients à comprendre les niveaux de sécurité maximum que peut assurer chaque fournisseur. Dans cette optique, un système de gestion des identités numériques offrant une authentification à chiffrement fort et des fonctions interopérables de validation des déclarations sur site ou sur le nuage pourraient considérablement améliorer la sécurité et l'intégrité des données. Intégrité des services L'intégrité des services comprend deux composantes : 1) l'ingénierie et le développement de services, et 2) la prestation de services. L'ingénierie et le développement de services englobe les méthodes qu'utilise le prestataire pour garantir la sécurité et la confidentialité à tous les stades de développement. La prestation de services, quant à elle, couvre la façon dont le service est géré et exécuté pour respecter les niveaux contractuels de fiabilité et de support.

5 4 Ingénierie et développement de services Les entreprises qui développent des logiciels doivent suivre un processus d'ingénierie et de développement spécifique pour intégrer les fonctions de sécurité et de confidentialité dans leurs Le prestataire doit suivre un processus clair, défini et auditable pour assurer la sécurité et la confidentialité de ses services dès leur conception et pendant toute leur durée de vie. produits. L'ingénierie et le développement dans le cadre d'un environnement de «cloud computing» n'échappent pas à la règle, et nécessitent même des niveaux de sécurité et de confidentialité plus élevés, que ces application et logiciels soient édités par l équipe de développement d'une entreprise, par le prestataire de services en nuage ou par des tiers. Bien que les prestataires de services en nuage soient à même de proposer une expertise de sécurité consolidée, il est également important de s'assurer que la préservation de la sécurité et de la confidentialité est au centre de leurs processus de développement et de maintenance. Microsoft a adopté le cycle de vie de développement de la sécurité (ou SDL, Security Development Lifecycle) pour le développement de ses applications et a optimisé les étapes décrites ci-dessous pour les appliquer aux environnements de «cloud computing». Exigences. Le but principal de cette étape est d'identifier les objectifs clés de sécurité pour obtenir le niveau de sécurité maximal tout en limitant les interruptions qui pourraient nuire à l'utilisation du logiciel ainsi qu'aux projets et plannings du client. Conception. Lors de cette étape, il est nécessaire de documenter les risques potentiels d'attaque et de modéliser les menaces. Implémentation. Au cours de cette étape, l'équipe de développement doit s'assurer qu'elle a bien respecté les normes de codage spécifiques et qu'il n'existe aucune vulnérabilité dans le code du logiciel en le testant grâce à des outils d'analyse. Vérification. Au cours de cette étape, l'équipe doit s'assurer que le code répond à toutes les exigences de sécurité et de confidentialité établies dans les étapes précédentes. L'équipe doit également procéder à une vérification des fonctions de confidentialité du logiciel avant sa distribution au public. Distribution. Une dernière vérification des fonctions de sécurité est menée à cette étape. Cette vérification permet de déterminer si le produit répond à toutes les exigences de sécurité standard et aux exigences de sécurité spécifiques au projet avant qu'il ne soit commercialisé. Réponse. Une fois le logiciel commercialisé, un groupe de sécurité doit être constitué par le prestataire de services, dont la mission est d'identifier, de surveiller, de résoudre et de répondre à chaque incident de sécurité et à tout problème de vulnérabilité des logiciels Microsoft détecté. Le prestataire de services doit également mener un processus de distribution des mises à jours de sécurité à l'échelle de l'entreprise et constituer le point central de coordination et de communication.

6 5 Lors de l'évaluation d'un prestataire de services en nuage, il est nécessaire de le questionner sur les spécificités de la sécurité de son processus de développement. Celui-ci doit refléter chacune des étapes génériques susmentionnées ; celles-ci sont en effet critiques pour la sécurité globale du processus de développement. La discussion doit également porter sur les actions concrètes issues de ce processus de sécurité, comme par exemple la fréquence à laquelle les modèles de risque sont mis à jour, le champ d'action du groupe de sécurité, la manière dont le client est informé des mises à jour de sécurité, etc. Prestation de services Si une entreprise transfère les processus critiques de son activité vers un modèle de «cloud computing», elle doit transformer ses processus de sécurité internes pour permettre aux Les capacités du prestataire de services doivent être alignées sur les besoins de sécurité et d'audit du client. prestataires de services d'y contribuer. Parmi ces processus, sont inclus la surveillance de sécurité, l'audit, les études approfondies, les réponses aux incidents et la continuité des activités. Les détails de cette collaboration doivent être définis au cours des discussions préliminaires à la prestation entre le client et le prestataire de services en nuage, et prendre en compte les besoins de chacune des parties. Si, pour certaines applications ou certains services, les exigences de sécurité sont simples à définir et à appliquer, d'autres types de services (tels que ceux qui mettent en jeu des actifs à forte valeur ajoutée), doivent satisfaire des exigences beaucoup plus sévères. Il s'agit notamment des exigences de sécurité physique, des fonctions de journalisation complémentaires et des vérifications plus approfondies de la fiabilité des administrateurs. Tous les contrats de prestation de services en nuage doivent inclure un plan détaillé pour la gestion des problèmes de performance et l'analyse approfondie des réseaux et images. Ils doivent également comprendre les coordonnées des personnes à contacter en cas d'interruption de la prestation ainsi que les procédures de restauration. Enfin, ces contrats doivent définir clairement les tâches de surveillance et d'audit qui devront être réalisées par le prestataire et le tarif correspondant. Intégrité des points de terminaison Les discussions inhérentes à la sécurité du nuage se concentrent souvent davantage sur le service Il est très important d'inclure les points de terminaison dans toutes les questions de sécurité relatives aux services en nuage. en lui-même ainsi que sur les pratiques et les niveaux de sécurité assurés par le prestataire. Cependant, toute négligence dans la prise en compte de l'intégralité de la chaîne de prestation peut entraîner des défaillances dans la conception et la prestation du service. Les services en nuage sont déclenchés et terminés au sein de l'entreprise ou sur le PC ou le périphérique de l'employé qui les consomme. Bien souvent, lorsque la sécurité d'une entreprise est menacée, le problème survient sur des stations de travail individuelles et non sur les serveurs principaux. Pour assurer la fiabilité complète des services de «cloud computing», l'intégralité des activités doivent être prises en compte. Ainsi, les utilisateurs seront protégés contre toutes sortes de menaces, dont l'usurpation d'identité, les attaques par piratage de site Web, les attaques par hameçonnage et le téléchargement de logiciels malveillants.

7 6 Pour protéger leurs points de terminaison et gérer la sécurité de leurs informations, la plupart des entreprises disposent aujourd'hui de programmes internes de gestion des risques bridés. En outre, leur infrastructure est parfaitement comprise et visible à tous les niveaux de l'environnement. Il n'en va pas de même dans un environnement de «cloud computing». En effet, les approches et les mesures de sécurité doivent être adaptées car les services en nuage peuvent dépendre de plusieurs prestataires qui n'offrent pas le même niveau de visibilité. Il est très important de comprendre comment les différents services s'imbriquent et sont consommés à travers les nombreux points de terminaison d'une même entreprise. Si la sécurité des points de terminaison doit être assurée par le prestataire, certaines questions cruciales doivent être posées : de quelle manière sont appliquées les exigences de sécurité et de conformité? De quelle manière les données sont-elles protégées contre une utilisation abusive? Le client aura-t-il toujours la possibilité d'utiliser des mécanismes de chiffrement ou de gestion des droits pour se protéger contre la perte ou le vol de données? Le service peut-il être accessible uniquement sur des machines ou des points de terminaison spécifiques? Protection des informations La sensibilité des données impliquées dans un service constitue un facteur critique pour déterminer si ce service peut être géré par un prestataire, et, le cas échéant, à quel niveau de contrôle le L'implémentation d'une classification des données permet de déterminer les données qui peuvent êtres transmises sur le nuage, dans quelles circonstances et sous quel niveau de contrôle. service sera soumis pour garantir le respect des exigences de conformité tout au long de la transaction. Pour prendre ces décisions, les entreprises peuvent adopter une approche solide de classification des données, qui leur permettra d'identifier les groupes de données liés à la transaction et de déterminer les mécanismes de contrôle à appliquer en fonction des circonstances. Les entreprises doivent être libres de choisir jusqu'à quel degré leurs données peuvent être gérées et manipulées, où qu'elles soient stockées et quel que soit le moyen par lequel elles sont transférées. Cette règle de base s'applique également aux environnements sur site actuels. De plus, il est important de prendre conscience des nombreux défis inhérents à la prestation de services en nuage, notamment la souveraineté des données, l'accès aux informations et le partitionnement et le traitement des données. Au fil des années, de nombreuses réglementations ont été développées dans le domaine de la protection des données. Ces réglementations divergent selon les juridictions (espace ou territoire dans lequel les réglementations sont en vigueur). Avec l'apparition du «cloud computing», les données peuvent être stockées en dehors de leur territoire d'origine, voire dans plusieurs territoires. L'hébergement de données en dehors de la juridiction du client ou sur plusieurs sites peut être synonyme de problèmes de gestion et d'accès liés à la question de l'appartenance des données (à un individu ou une entité). Certains des services en nuage offerts aujourd'hui visent à surmonter ces défis en autorisant les clients à choisir où leurs données doivent être stockées physiquement. Lorsque la gestion et le contrôle des informations passent dans d'autres mains, les entreprises peuvent perdre leur capacité à protéger, à récupérer et à transférer leurs informations. Il est donc important de comprendre qui contrôle le système d'identification et d'autorisations qui permet d'accéder aux informations, où les données de sauvegarde sont stockées, si le chiffrement des données est pris en charge, combien coûte la solution de chiffrement (par ex. la perte de fonction)

8 7 et comment l'accès aux données est accordé et géré en cas de conflit avec le prestataire de services. Par exemple, le contrat inclut-il des clauses interdisant au prestataire de services de conserver les données dès lors que le service est annulé? Enfin, si des données sont stockées dans un «nuage public», il est possible qu'elles résident sur des infrastructures utilisées également par d'autres entreprises. Dans ce cas, des mesures strictes de protection des données peuvent être appliquées pour s'assurer que les données sont partitionnées et traitées de façon appropriée. Avant de transférer leurs données sur le nuage, il est important que les entreprises comprennent qui a accès à leurs données et qu'elles sachent si ce risque est acceptable. Elles doivent également avoir une bonne visibilité sur l'architecture du prestataire de services en nuage et sur les méthodes employées pour protéger les machines virtuelles partagées contre les diverses formes d'attaques potentielles émanant d'autres machines virtuelles exécutées sur le même matériel par des individus malveillants. Conclusion Pour pouvoir tirer parti de tous les avantages offerts par le «cloud computing», plusieurs éléments de sécurité doivent être analysés : les processus, les compétences, la technologie et les mécanismes de contrôle. De plus, les entreprises souhaitant utiliser des services en nuage doivent prendre en compte les aspects pratiques suivants : Un programme parfaitement fonctionnel de mise en conformité pour les identités, les données et les périphériques doit être déployé avant d'adopter des services en nuage. Un système de classification des données constitue un élément clé pour l'évaluation des risques et la décision finale d'adoption ou non du «cloud computing». Ainsi, les données à faible risque peuvent être injectées dans le nuage avec moins de risque que les données à fort impact, qui nécessitent des contrôles de sécurité et de confidentialité plus stricts. Le choix du modèle de déploiement (privé, communautaire ou public) doit se baser sur la classification des données, les exigences de sécurité et de confidentialité ainsi que sur les besoins métier. Une fois le «cloud computing» totalement intégré aux processus de l'entreprise, celle-ci a encore besoin d'une équipe interne efficace pour gérer les exigences de sécurité et de conformité en collaboration avec le ou les prestataires de services en nuage. La transparence, les mécanismes de mise en conformité et les capacités d'audit constituent des critères clés pour l'évaluation des prestataires de services en nuage. Les entreprises doivent implémenter une méthodologie de cycle de vie de développement de la sécurité dédiée aux applications hébergées sur le nuage et pouvoir évaluer le degré d'adhésion du prestataire de services en nuage à un processus similaire. Les noms d'utilisateur et mots de passe habituellement utilisés dans les systèmes de gestion des accès doivent être remplacés par des informations d'identification robustes. Un système de contrôle du cycle de vie des informations doit être mis en place pour en autoriser l'accès à certaines personnes uniquement, en fonction de périodes prédéfinies et ce, quelle que soit la provenance des données.

9 8 Le contrôle des accès aux données doit être géré au-delà des limites de l'entreprise, entre les différents départements, fournisseurs externes, gouvernements et clients. Une telle amplitude ne doit pas nuire à la gestion des accès et ce, même lorsqu'un client ne gère pas directement l'identité ni les informations d'authentification. Documentation connexe Cloud Security Alliance Guide de sécurité pour les domaines critiques du «Cloud computing» (en anglais) : ENISA Structure de protection des informations du «cloud computing» (en anglais) : Sécurisation de l'infrastructure en nuage de Microsoft (en anglais) Questions de sécurité pour les applications clientes et en nuage (en anglais) Sécurité de la suite Business Productivity Online Suite de Microsoft Online Services