A Brave Qui est responsable de la sécurité du cloud? L'opinion d'un expert de Trend Micro Février 2011 Écrit par Dave Asprey, Vice-président, sécurité cloud
I. QUI EST RESPONSABLE DE LA SÉCURITÉ DU CLOUD? Le cloud computing, c'est la technologie qui fait le buzz en ce moment. La fourniture via Internet de services de logiciel et d'infrastructure à la demande permet aux équipes informatiques de bénéficier d'avantages sans précédent sur le plan de l'efficacité, des réductions de coûts et de l'évolutivité. Toutefois, les avantages révolutionnaires du cloud computing impliquent de nouveaux défis qui rendent les approches traditionnelles de la sécurité caduques. C'est là le paradoxe de cette nouvelle technologie informatique : synonyme de simplification de l'informatique, de services facturés à l'utilisation et d'externalisation des tâches les plus lourdes, le cloud comporte également un grand nombre de nouveaux problèmes de conformité et pose des risques pour la sécurité des données. Que ce soit de leur propre initiative ou sous la pression du marché, les directeurs informatiques sont en train de réévaluer les options qui s'offrent à eux dans l'environnement informatique du XXIe siècle. Ils souhaitent connaître les risques impliqués et surtout savoir à qui en incombe la responsabilité. Nous allons tenter ici d'examiner ces problèmes dans le contexte de l'infrastructure en tant que service (ou IaaS pour Infrastructure as a Service), une technologie permettant aux responsables informatiques de louer des services de réseau, des espaces de stockage, des serveurs ainsi que d'autres éléments opérationnels. L'IaaS offre également aux entreprises une plus grande autonomie que les SaaS (logiciels en tant que service) pour la mise en place de contrôles de sécurité. II. POURQUOI LE CLOUD? Les principaux avantages du cloud public sont l'évolutivité et la possibilité de remplacer des dépenses en immobilisations par des dépenses d'exploitation. Les clients du cloud computing évitent les investissements en matériel, logiciels et autres services d'infrastructure et préfèrent recourir aux services de fournisseurs selon leurs besoins. L'allocation de ressources à la demande permet également aux entreprises d'être plus dynamiques et performantes en évoluant rapidement selon les besoins informatiques du moment. Pour ce qui est du cloud privé, les avantages résident dans la flexibilité et la réactivité face aux besoins des clients internes. Avec ce genre d'atouts, l'engouement pour ce nouveau paradigme informatique n'a rien d'étonnant. Une étude de Cisco réalisée en décembre révèle par exemple que 52 % des professionnels de l'informatique utilisent ou projettent d'utiliser le cloud computing dans les trois prochaines années. Selon une enquête similaire de l'organisme de sécurité de l'isaca réalisée en mars 2010, un tiers des entreprises européennes utilisent déjà des systèmes de cloud computing. Enfin, la société internationale de conseil Accenture déclarait en juillet 2010 que la moitié de ses clients exécutaient des applications critiques sur le cloud. 1 L'opinion d'un expert de Trend Micro Qui est responsable de la sécurité du cloud?
III. LA SÉCURITÉ DU PÉRIMÈTRE N'EST PAS ENTERRÉE - DEUX APPROCHES DE LA SÉCURISATION DU CLOUD On a beaucoup entendu dire que le périmètre de sécurité traditionnel de l'entreprise n'existait plus dans le cadre du cloud public. Les pare-feu, les systèmes de prévention des intrusions et d'autres fonctions traditionnelles de sécurité seraient tout simplement inefficaces sur le cloud. Par conséquent, les entreprises doivent se fier à la sécurité du périmètre offerte par le fournisseur de services cloud, aussi basique soit-elle. Mais, vue sous un autre angle, la sécurité du périmètre est loin d'être aussi obsolète. Au contraire, elle constitue un des éléments utiles d'une architecture de sécurité efficace, mais un élément seulement. Lorsqu'il est question du cloud, les entreprises ont toujours la notion de périmètre. Elles peuvent décider d'étendre leur périmètre pour qu'il inclue le cloud, de laisser le cloud s'étendre dans leur périmètre ou bien de combiner ces deux approches. Quel que soit leur choix, des couches de sécurité supplémentaires sont nécessaires, tout comme dans les environnements de sécurité d'entreprise internes. Toutefois, ces deux scénarios présentent des inconvénients similaires concernant un manque potentiel de visibilité et de contrôle dû à l'externalisation de services vers le cloud. Les responsables de la sécurité des systèmes d'information doivent être vigilants, conscients des risques impliqués et mettre en œuvre les procédures de vérification préalables nécessaires. 1) Le premier scénario, prévoyant l'extension du périmètre au cloud, implique la mise en place d'un tunnel IPSec de RPV vers les serveurs de votre fournisseur de cloud public, ainsi que l'installation d'une sécurité d'entreprise sur le serveur de cloud public, le plus souvent sous la forme de logiciels et appliances virtuelles de sécurité. Ce procédé présente l'avantage de ne pas nécessiter de reconfiguration d'active Directory. De plus, la plupart des autres outils de gestion existants devraient fonctionner sur votre installation de cloud, vos serveurs en ligne se trouvant effectivement à l'intérieur de votre «périmètre». Cependant, l'un des inconvénients réside dans le fait que, selon le niveau de sécurisation de votre serveur de cloud, il est possible que vous introduisiez dans votre architecture les risques associés au cloud [décrits ci-dessous]. Pour limiter ces risques, il est important de surveiller le lien entre le cloud et les serveurs internes, à l'affût de tout trafic suspect. Les liens vers les serveurs critiques devraient d'ailleurs toujours être surveillés, qu'ils soient sur un cloud ou non. Une autre option consiste à ajouter une zone démilitarisée (DMZ) et un pare-feu supplémentaires, bien que cela constitue alors un nouveau périmètre à sécuriser. De nombreuses entreprises oublient ou ignorent cette étape dans leur précipitation vers le cloud, notamment les petites entreprises ne disposant pas du temps et des ressources informatiques nécessaires pour ériger ces barrières de sécurité. Il est aussi indispensable d'installer une sécurité suffisante sur ces serveurs cloud pour les protéger : IDS/IPS, pare-feu bidirectionnel, etc. 2 L'opinion d'un expert de Trend Micro Qui est responsable de la sécurité du cloud?
RISQUES Les DSI doivent savoir que leurs serveurs cloud seront exposés à des menaces différentes de celles qu'ils ont l'habitude de traiter en interne. Il est peu probable que les entreprises se voient confier les journaux d'accès physique ou d'accès administrateur de leur fournisseur de cloud. Et c'est un problème majeur. Comment savoir si, par exemple, un administrateur informatique travaillant pour leur fournisseur de cloud public a eu accès à leurs données? Les menaces venues de l'intérieur peuvent être déjouées, dans une certaine mesure, en interne, à l'aide de journaux d'accès. Mais en raison du manque de visibilité sur le cloud, les entreprises ont tout intérêt à généraliser le chiffrement des données. [En décembre, il est apparu que des données d'entreprises appartenant à des clients de BPOS, une suite de services d'entreprises hébergée de Microsoft, ont été consultées et téléchargées par d'autres utilisateurs du logiciel, suite à une erreur de configuration. Bien que ce problème ait été rapidement réglé, il met en lumière les risques existants et montre à quel point il est important de disposer de visibilité au niveau des systèmes du fournisseur de cloud pour s'assurer que ceux-ci répondent à vos exigences et sont conformes à la réglementation.] Le stockage partagé constitue également un risque. En effet, certaines entreprises s'inquiètent pour la sécurité de leurs données, dès lors que celles-ci sont stockées à proximité des données d'un concurrent, sur un même disque en ligne. Certains fournisseurs de cloud public ne sont tout simplement pas aussi à cheval sur la sécurité, ou aussi transparents sur leurs activités, qu'ils devraient l'être. Avant toute chose, si vous comptez stocker des données critiques en ligne, assurez-vous que le fournisseur respecte rigoureusement les meilleures pratiques de sécurité, notamment les normes ISO 27001 et SAS70 II. Examinez aussi en détail son contrat de niveau de service ainsi que sa stratégie de sécurité. Il existe un autre risque, directement lié au risque décrit ci-dessus : en cas de violation, même si les fournisseurs de cloud sont fautifs, ils ne rembourseront le plus souvent que le coût du service qu'ils ont fourni. Le client devra seul supporter les coûts liés à l'atteinte à sa réputation, aux amendes et aux pertes financières, lesquels peuvent se chiffrer en millions. 2) Le second scénario, l'extension du cloud dans l'entreprise, consiste à permettre au cloud d'accéder à votre périmètre. Pour ce faire, il est nécessaire d'autoriser un fournisseur de cloud public IaaS ou un fournisseur de services de sécurité gérés à installer un nœud de cloud sur site. 3 L'opinion d'un expert de Trend Micro Qui est responsable de la sécurité du cloud?
L'avantage de cette approche, de plus en plus courante parmi les grandes entreprises, est qu'il s'agit d'un modèle relativement bien compris. Parmi les entreprises ayant adopté ce modèle, on peut citer Akamai, qui depuis plus de dix ans gère des serveurs situés dans le périmètre de sécurité de ses clients, Integralis, un fournisseur de services de sécurité gérés offrant depuis des années des services de gestion de pare-feu à distance «depuis le cloud», ou encore Trend Micro, qui relie via Trend Micro Smart Protection Network les serveurs de sécurité à l'intérieur du réseau d'une entreprise à un réseau de sécurité de milliers de serveurs sur le cloud. Disposer dans son centre de données ou dans les locaux de l'entreprise d'un tel nœud de cloud, géré ou mis à jour par le fournisseur de cloud de manière centralisée, est certes un gage de simplicité. Mais cela présente également des inconvénients : il s'agit toujours pour l'essentiel d'un service cloud. Aussi, le responsable informatique doit faire face à la plupart des risques liés au premier scénario. Les risques dus au manque de visibilité des journaux d'accès physique ou d'accès administrateur demeurent. En cas de négligence entraînant une perte de données critiques, le fournisseur de cloud ne remboursera jamais plus que le coût de ses services. Bien que votre réseau puisse être activé et désactivé, lorsqu'il est activé, le fournisseur de cloud peut accéder à votre réseau et à vos données d'application. Celui-ci doit donc être sécurisé. Si le fournisseur est rigoureux en matière de sécurité et transparent dans son contrat de niveau de service, il n'y pas de raison de s'inquiéter outre mesure. Toutefois, comme nous l'avons déjà évoqué, la plupart des fournisseurs de cloud généralistes ne placent pas la sécurité au cœur de leurs préoccupations. Il est donc primordial de distinguer une sécurité «correcte» d'une sécurité «optimale». Un service de messagerie basé sur le cloud installé à l'intérieur de votre périmètre par un fournisseur de services de sécurité sera probablement plus sûr qu'un même service installé par un fournisseur de cloud public classique. 4 L'opinion d'un expert de Trend Micro Qui est responsable de la sécurité du cloud?
IV. QUI EST RESPONSABLE DE LA SÉCURITÉ DU CLOUD ET OÙ SE SITUENT LES RISQUES? La vérité est désagréable à entendre, mais si vous comptez sur l'aide d'un fournisseur de cloud, attendez-vous à être déçu. Le manque de visibilité au niveau des journaux d'accès et les termes obscurs employés par ces fournisseurs pour décrire leurs stratégies de sécurité risquent même de vous compliquer la tâche. Vous devez sécuriser vos serveurs cloud comme vous sécurisez vos serveurs internes, au moyen notamment de l'ids/ips, d'outils de prévention des fuites de données, de pare-feu bidirectionnels et du chiffrement. Vous risquez de rencontrer des problèmes de sécurité du réseau dans un environnement de cloud, car peu de fournisseurs de cloud public vous laisseront surveiller le trafic réseau aussi étroitement que vous le souhaiteriez. Dans votre réseau, la configuration du routeur/commutateur et les journaux sont libres. Vous pouvez donc surveiller le trafic réseau à votre guise. Mais sur le cloud, c'est impossible. Recourir au cloud pourrait alors être exclu pour des raisons de conformité. C'est pourquoi il est essentiel de savoir dans quelle mesure le fournisseur vous laissera surveiller le réseau et y accéder. Le chiffrement des données stockées et en transit est essentiel en raison du manque de visibilité au niveau du trafic réseau et des journaux d'accès administrateur de votre fournisseur. De nombreux fournisseurs de cloud assurent également bien trop peu de contrôles d'accès à base de rôles au niveau administrateur. Avec Amazon EC2, par exemple, un compte client contrôle toutes les machines virtuelles. Un membre de l'entreprise disposant des droits d'accès a donc la possibilité de faire tout ce qu'il veut et peut ajouter ou supprimer des machines virtuelles à sa guise. Dans le cloud privé, le contrôle de la sécurité par le seul service informatique est remis en question en raison de la vitesse à laquelle un serveur peut être créé. L'équilibre naturel entre le service informatique, qui met à disposition les serveurs, et l'entreprise, qui a besoin de ces serveurs, est de plus en plus menacé, à mesure que ce processus s'accélère. Tout ce dont une entreprise a besoin aujourd'hui, c'est de savoir si elle peut supporter le coût d'une licence. Dans un environnement de cloud privé, une unité commerciale peut alors mettre sur pied un serveur en deux jours tout ou plus, là où auparavant six semaines étaient nécessaires. Cependant, toute demande de nouveau serveur doit être attentivement examinée, car les risques augmentent proportionnellement au nombre de machines virtuelles à gérer. Les responsables informatiques doivent mettre en place un processus central de délivrance d'autorisations pour s'assurer que les demandes des entreprises sont traitées en premier lieu par le service informatique. 5 L'opinion d'un expert de Trend Micro Qui est responsable de la sécurité du cloud?
V. APPEL À L'ACTION Entreprises Chiffrez les données stockées et en cours de transfert et veillez à conserver les clés de chiffrement dans un lieu différent de celui où se trouvent les données, qui ne soit pas facilement accessible au fournisseur de cloud. Déployez dans le cloud les mêmes outils de sécurité que vous déployez pour vos serveurs physiques : la sécurité du système d'exploitation offert par les fournisseurs de cloud n'est tout simplement pas suffisante. Fournisseurs de cloud Soyez plus ouverts et transparents en matière de stratégies et de procédures de sécurité concernant les contrôles d'accès et le trafic réseau. Les clients doivent être autorisés à consulter les journaux d'accès pour savoir quelles personnes accèdent au réseau, ce qu'elles y font et quand elles le font. Clarifiez les contrats de niveau de service pour que les clients comprennent clairement les dispositifs de sécurité que vous leur offrez et sachent quelles mesures prendre pour assurer la sécurité de leurs données conformément à leurs propres normes et à la réglementation. Environnements de cloud privé Si un processus central de délivrance d'autorisations n'existe pas, créez-en un pour traiter toutes les demandes de serveur cloud de l'entreprise. Les questions suivantes devront être posées : pourquoi un serveur est-il nécessaire, quelles applications y seront exécutées, combien de temps existera-t-il, quel sera le volume du trafic sur ce serveur? Et vous devrez aussi contrôler régulièrement ces exigences. Soyez prêts... Les services informatiques sont contraints d'accélérer leur vitesse de travail. Pour le bien de l'entreprise, vous devez être prêts à répondre à ces exigences dans les plus brefs délais sans compromettre la sécurité. 6 L'opinion d'un expert de Trend Micro Qui est responsable de la sécurité du cloud?