CloudSwitch sécurise les clouds d entreprise



Documents pareils
La surveillance centralisée dans les systèmes distribués

Les cinq raisons majeures pour déployer SDN (Software-Defined Networks) et NFV (Network Functions Virtualization)

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Livre blanc. La sécurité de nouvelle génération pour les datacenters virtualisés

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

10 bonnes pratiques de sécurité dans Microsoft SharePoint

Eliminer les zones d ombre et fournir une identité utilisateur sur le pare-feu dans un environnement client léger

Le stockage de données qui voit les affaires à votre manière. En hausse. nuage

Atteindre la flexibilité métier grâce au data center agile

Fiche Technique. Cisco Security Agent

Sécuriser une infrastructure de postes virtuels avec Citrix NetScaler.

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

Solutions de gestion de la sécurité Livre blanc

Citrix ShareFile Enterprise : présentation technique

Vers une IT as a service

Axway SecureTransport

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE

La situation du Cloud Computing se clarifie.

Citrix XenDesktop avec la technologie FlexCast. Citrix XenDesktop : la virtualisation des postes de travail pour tous.

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

HySIO : l infogérance hybride avec le cloud sécurisé

Cisco Unified Computing Migration and Transition Service (Migration et transition)

EXIN Cloud Computing Foundation

Administration de systèmes

7.1.2 Normes des réseaux locaux sans fil

Gamme d appliances de sécurité gérées dans le cloud

Guide pratique de la sécurité dans le Cloud

Valeur métier. Réduction des coûts opérationnels : Les coûts opérationnels ont été réduits de 37 %. Les systèmes intégrés comme IBM

Le Cloud Computing, levier de votre transformation digitale

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

10 façons d optimiser votre réseau en toute sécurité

Cisco Certified Network Associate

Une sécurité de pointe pour les imprimantes et multifonctions Lexmark

Virtual Data Center d Interoute. Prenez la main sur votre Cloud.

CloudBees AnyCloud : Valeur, Architecture et Technologie cloud pour l entreprise

Comment choisir la solution de gestion des vulnérabilités qui vous convient?

Technique et architecture de l offre Suite infrastructure cloud. SFR Business Team - Présentation

Le contrat Cloud : plus simple et plus dangereux

EVault Endpoint Protection en détails : Gestion de l entreprise, Sauvegarde, Restauration et Sécurité

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Comment assurer la gestion des identités et des accès sous forme d un service Cloud?

UNIFIED. Nouvelle génération d'architecture unifiée pour la protection des données D TA. dans des environnements virtuels et physiques PROTECTION

MATRICE DES FONCTIONNALITES

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

RSA ADAPTIVE AUTHENTICATION

Résoudre les problèmes de visibilité applicative avec NetScaler Insight Center

Fonctionne avec toute plate-forme de virtualisation contrôle centralisé des postes de travail et serveurs physiques, virtuels et mobiles contrôlée

Garantir la sécurité de vos solutions de BI mobile

LIVRE BLANC OCTOBRE CA Unified Infrastructure Management : architecture de la solution

Sécurité sur le web : protégez vos données dans le cloud

FAMILLE EMC RECOVERPOINT

Solutions McAfee pour la sécurité des serveurs

What we do 4. Packages 6. CMD.mail 8. CMD.hosting 12. CMD.box 16. CMD.phone 20. CMD.desktop 24. CMD.services 28

L entreprise prête pour l informatique en nuage Élaborer un plan et relever les principaux défis

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Pour bien commencer avec le Cloud

Conception d une infrastructure «Cloud» pertinente

Axe de valeur BMC Identity Management, la stratégie d optimisation de la gestion des identités de BMC Software TM

Veille Technologique. Cloud-Computing. Jérémy chevalier

Dynamic Computing Services solution de backup. White Paper Stefan Ruckstuhl

Vision Infonuagique VMware

QU EST CE QUE LE CLOUD COMPUTING?

W I-FI SECURISE ARUBA. Performances/support de bornes radio

Konica Minolta, un leader aux standards de sécurité les plus élevés du marché

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Le rôle Serveur NPS et Protection d accès réseau

AdBackup Laptop. Solution de sauvegarde pour flotte nomade. Société Oodrive

votre partenaire informatique pour un développement durable Les réalités de la virtualisation des postes de travail

Mettre en place un accès sécurisé à travers Internet

Meilleures pratiques de l authentification:

Planifier la migration des applications d entreprise dans le nuage

La surveillance réseau des Clouds privés

Regard sur hybridation et infogérance de production

Gestion des licences électroniques avec Adobe License Manager

Les plates-formes informatiques intégrées, des builds d infrastructure pour les datacenters de demain

EMC DATA DOMAIN OPERATING SYSTEM

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

EMC Data Domain Boost for Oracle Recovery Manager (RMAN)

Le WiFi sécurisé. 16 Octobre 2008 PRATIC RIOM

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

La prise de conscience de la Cyber Sécurité est en hausse

GOUVERNANCE DES IDENTITES ET DES ACCES ORIENTEE METIER : IMPORTANCE DE CETTE NOUVELLE APPROCHE

Concours interne d ingénieur des systèmes d information et de communication. «Session 2010» Meilleure copie "étude de cas architecture et systèmes"

Adopter une approche unifiée en matière d`accès aux applications

FileMaker Pro 12. Utilisation d une Connexion Bureau à distance avec FileMaker Pro 12

Management de la sécurité des technologies de l information

ADMINISTRATION, GESTION ET SECURISATION DES RESEAUX

TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques.

Banque en ligne et sécurité : remarques importantes

FileMaker Pro 13. Utilisation d une Connexion Bureau à distance avec FileMaker Pro 13

Le VDI et les solutions SaaS : Des outils puissants pour les DSI au service des utilisateurs. Château de Montchat, 7 octobre 2013

Critères d évaluation pour les pare-feu nouvelle génération

Le différentiel technique :

Hébergement de sites Web

VMware vsphere. La meilleure plate-forme pour la création d infrastructures de Cloud Computing BROCHURE

Technologie de déduplication de Barracuda Backup. Livre blanc

La sécurité dans un réseau Wi-Fi

externalisation sécurisée vers le Cloud : cinq éléments clés à prendre en compte

Transcription:

livre blanc Le cloud en toute sérénité avec CloudSwitch CloudSwitch sécurise les clouds d entreprise Nombreuses sont les entreprises qui souhaiteraient bénéficier des avantages du cloud-computing mais n osent pas sauter le pas, par crainte d éventuelles failles de sécurité et pertes de données. Ce manque de confiance est d ailleurs la principale cause des réticences des entreprises à migrer leurs données et applications vers un cloud public en multipropriété. Encore aujourd hui, les questions de sécurité soulevées par les environnements cloud de tiers les privent des économies et des gains de flexibilité offerts par le cloud-computing. Pour séduire les DSI et responsables de la sécurité, le cloud-computing doit leur offrir des garanties de sécurité pour leurs applications et données stratégiques. Mais quand l infrastructure n est plus entièrement gérée en interne, il devient impossible de contrôler les accès aux informations sensibles et donc de détecter les infractions. Or, à l heure actuelle, les entreprises souhaitant avoir recours à un cloud public doivent abandonner leur environnement interne au sein duquel elles contrôlent toutes les données et processus au profit d un environnement dont certaines parties échappent à leur contrôle et sont gérées selon des procédures souvent opaques. Elles s exposent alors à des risques non négligeables. Il leur est toutefois possible de conserver leurs données sensibles dans leur datacenter, en ne migrant vers le cloud public que les couches applicatives traitant d autres types de données. Mais si cette approche convient à certains scénarios, les délais de remontée des données vers le datacenter peuvent s avérer inacceptables pour bon nombre d applications et d utilisateurs. L autre alternative consiste à migrer toute l application vers le cloud, couche de base de données incluse, pour bénéficier de meilleures performances et d une plus grande évolutivité, au risque toutefois d accroître son exposition aux menaces. Ainsi, le seul moyen dont disposent les entreprises pour utiliser leurs applications dans le cloud en toute sécurité est d avoir recours à leurs propres dispositifs de protection de bout en bout, défi qui en a dissuadé plus d une, jusqu à aujourd hui. CloudSwitch apporte de nouvelles réponses aux problèmes de sécurité du cloud en permettant aux entreprises d exploiter certaines de leurs applications et données dans le cloud tout en conservant le même niveau de protection et de contrôle qu en interne. Les données sont protégées dès qu elles quittent le datacenter, comme si le périmètre de sécurité de l entreprise avait été étendu. L environnement intégré unique offert par CloudSwitch garantit un provisioning rapide des ressources externes et permet aux applications s exécutant dans le cloud d accéder aux ressources communes du datacenter. Non seulement les entreprises savent leurs applications en sécurité, mais elles sont en plus en mesure de le prouver (à leurs clients, aux autorités de réglementation et autres parties prenantes). Avec CloudSwitch, l exploitation des données dans le cloud reste entièrement contrôlée par l entreprise, faisant du cloud un environnement bien plus sûr pour de nombreuses applications. Au sein de cet environnement sécurisé, CloudSwitch mappe automatiquement les applications existantes ou nouvelles sur le cloud, conservant leurs paramètres de configuration et garantissant une intégration transparente aux processus du datacenter. Les entreprises peuvent ainsi profiter pleinement des avantages du cloud en termes d adaptation flexible de la consommation de ressources selon les besoins tout en réduisant les coûts informatiques.

p. 2 making cloud computing secure for the enterprise Quelle sécurité offre le cloud-computing aujourd hui? L exécution d applications est plus risquée dans un cloud public en multipropriété que dans un datacenter interne. Les datacenters d entreprise sont protégés par un périmètre de sécurité que les informaticiens de l entreprise établissent à partir de pare-feu, de règles et autres systèmes de protection. Dans un tel environnement, la plupart des applications communiquent à travers des ports et des services offrant une protection limitée, en particulier pour les communications sur Internet. Ces mesures de sécurité sont donc essentielles. Mais elles exigent des propriétaires ou développeurs d applications un travail considérable pour garantir le bon niveau de protection et la mise en place des règles appropriées, qu ils pourront transposer dans le cloud. Il leur faut en effet évaluer l ensemble des actions et des services utilisés afin de déterminer s ils seront compatibles avec ce nouvel environnement, ce qui complique grandement la protection des serveurs et applications. Sans compter qu ils doivent inclure des mesures de protection et de surveillance de l environnement cloud dans leur politique de maintenance des serveurs et applications. Or, les environnements de cloud-computing actuels permettent rarement de contrôler les accès aux données et donc de savoir s il y a eu infraction. Leurs vulnérabilités restent par ailleurs méconnues. Les inquiétudes concernant l usurpation ou le vol de données des entreprises qui envisagent de migrer une application vers le cloud sont donc légitimes. Les offres cloud offrent en effet peu de protection contre les accès non autorisés par les administrateurs du cloud, les menaces du Web ou encore les tentatives de corruption ou de divulgation d informations sensibles d employés malintentionnés. Le cloud-computing allonge ainsi la liste des risques dont les entreprises doivent tenir compte dans le cadre de leur stratégie de sécurité. Elles doivent savoir: comment le fournisseur de services cloud isole leurs données de celles des autres clients; qui a accès aux données et de quelle manière ces accès sont contrôlés; comment les serveurs du cloud sont protégés contre les menaces d Internet; si le fournisseur de services cloud satisfait les exigences d auditeurs externes et d autorités de certification de la sécurité; si le fournisseur de services cloud coopérerait en cas d enquête sur un incident; ce qu il adviendrait de leurs données en cas de rupture du contrat. Les difficultés du cryptage dans le cloud Plusieurs fournisseurs de services cloud ont recours au cryptage pour protéger les données dans le cloud. Le cryptage renforcé peut être efficace contre les problèmes touchant l infrastructure sous-jacente du cloud. Le stockage crypté réduit ainsi les risques d accès aux données par des utilisateurs extérieurs. Avec un système de cryptage performant pour protéger les données stockées sur des périphériques physiques, les entreprises ont moins à se préoccuper des procédures employées par leur fournisseurs de services cloud pour gérer et mettre au rebut ces périphériques. Mais si cette approche protège les données contre les accès non autorisés, son déploiement en environnement cloud soulève certaines problématiques de gestion et de sécurité: Le montage des systèmes de fichiers impose généralement l intégration de clés aux périphériques de stockage. Mais ces périphériques cryptés ne sont pas contrôlés par l entreprise. Les risques ne sont donc pas nuls. Les volumes de démarrage doivent être protégés par des clés pour permettre des démarrages cryptés. Toutefois, certains clouds ne permettent pas le contrôle du processus de démarrage, auquel cas les systèmes de fichiers racine ou volumes de démarrage ne peuvent pas être cryptés. La procédure de gestion du cryptage pose également certaines questions en matière de sécurité, notamment: Comment gérer les clés et mots de passe et automatiser les procédures associées? Comment assurer la maintenance du logiciel de cryptage sur chaque système d exploitation? Comment appliquer les règles de cryptage? Les fournisseurs de services cloud affirmeront disposer de règles bien définies encadrant l accès aux clés de cryptage et la gestion de leur infrastructure. En effet, ils font appel à un personnel de confiance, titulaire d habilitations de haut niveau, qui emploie des méthodes d authentification très élaborées et dont l accès aux systèmes est consigné dans des journaux détaillés et soumis à des audits. A cela s ajoute une équipe d experts de la sécurité, qui supervise leurs opérations, et un environnement physique sécurisé (marges de recul, clôtures, talus, etc.) pour mettre à l abri ces systèmes et en contrôler strictement l accès. Mais si toutes ces dispositions sont louables, l entreprise n en demeure pas moins tributaire des politiques de sécurité du fournisseur et de la façon dont elles sont appliquées. Pour bon nombre d entreprises, elles ne constituent donc pas des garanties suffisantes.

p. 3 making cloud computing secure for the enterprise Les entreprises qui se demandent lesquelles de leurs applications exécuter dans le cloud (et dans quel type de cloud) finissent ainsi souvent par opter pour un déploiement cloud limité, quand elles n abandonnent pas complètement leur projet. Face aux divers problèmes techniques et de contrôle irrésolus, il reste difficile de trouver le cloud qui protègera comme il se doit les applications des entreprises. Ces dernières doivent également s informer sur les mesures de sécurité nécessaires pour compléter l offre du fournisseur et sur leur coût. Jusqu ici, beaucoup d entre elles ont renoncé à l idée de tirer parti de la flexibilité et des économies qu offre le cloudcomputing par crainte des risques associés à la perte du contrôle sur leurs données et applications. L architecture CloudSwitch Le logiciel CloudSwitch fait office de passerelle entre le datacenter de l entreprise et les services cloud du fournisseur, étendant ainsi les mesures de sécurité et de contrôle de l entreprise à l environnement cloud. Avec CloudSwitch, les applications s exécutent en toute sécurité dans un cloud public, tout en restant étroitement intégrées aux outils et processus du datacenter et gérées comme si elles s exécutaient en local. Cet environnement intégré unique garantit un provisioning rapide des ressources externes et permet aux applications s exécutant dans le cloud d accéder aux ressources communes du datacenter. La clé de l approche de CloudSwitch réside dans sa technologie Cloud Isolation Technology, en instance de brevet, qui établit un environnement sécurisé, depuis le datacenter jusqu à l infrastructure informatique et de stockage du fournisseur, en passant par Internet. Cette technologie d isolement comporte une couche d intermédiation qui préserve l intégralité de l environnement applicatif en l associant aux ressources correspondantes du cloud cible et en l exécutant de manière sécurisée, sans déposséder l entreprise du contrôle de ses données. Le logiciel gère également les clés de cryptage, qui restent néanmoins sous le contrôle permanent de l entreprise (ou d un service désigné), ce qui dispense d en confier l administration au fournisseur ou à un tiers. Principales composantes Au cœur de CloudSwitch se trouve CloudSwitch Appliance (CSA), un logiciel téléchargeable, facile à installer dans l infrastructure existante du client. CSA contient tous les éléments nécessaires au mappage d applications sur un cloud, à l orchestration de leur déploiement, ainsi qu à la mesure et à la surveillance de la consommation des ressources du cloud. Il crée également un point d insertion sur le réseau local, qui permet d établir une connexion protégée de niveau 2 entre le datacenter et le cloud. CSA n étant pas un service hébergé, l ensemble des informations utilisateur, règles, mesures de contrôle et clés de cryptage restent entre les mains du client, sans jamais être transmises à CloudSwitch ni au fournisseur de services cloud. Lors du déploiement de serveurs et d applications dans le cloud, CSA crée une instance CloudSwitch (CSI) sur le cloud, laquelle gère l environnement cloud en fonction des règles définies par l entreprise via CSA. L instance crypte le trafic réseau au sein du cloud et les données transférées vers des dispositifs de stockage. Cloud Isolation Technology garantit un mappage des applications sur les ressources cloud sécurisé de bout en bout.

p. 4 making cloud computing secure for the enterprise Chaque serveur provisionné par le client dans le cloud est protégé par la technologie Cloud Isolation Technology de CloudSwitch, qui crée une couche d isolement au niveau des périphériques réseau et de stockage pour les prémunir contre les accès non autorisés. Cloud- Switch ne nécessite ainsi pas d installation d agents, de modification des équipements ou pilotes existants, ni de gestion de logiciels supplémentaires dans l environnement applicatif ou d exploitation. Impossible ainsi pour les utilisateurs et administrateurs système de désactiver le mécanisme de protection ou de mal le configurer. CloudSwitch utilise le puissant algorithme de cryptage AES-256 (compatible avec Serpent et TwoFish) et crée des clés différentes pour chaque connexion réseau et chaque périphérique de stockage. CSA accède à la base de clés pour contrôler la configuration du réseau, puis distribue la clé à la CSI de manière sécurisée pour décrypter la banque de données correspondante avant d exécuter l application sur un serveur pour qu elle accède à cette base de clés. Le schéma ci-dessous offre un aperçu de l architecture Cloud- Switch et de la manière dont Cloud Isolation Technology protège l environnement de bout en bout. La stratégie de sécurité CloudSwitch La stratégie de sécurité CloudSwitch vise à rendre l environnement cloud en multipropriété sûr pour les entreprises. C est pourquoi il confère aux clients un contrôle total sur leurs systèmes et données, par le biais d une technologie qui isole en permanence leurs données et communications. Jamais le contrôle des clés de cryptage, et donc des données, n échappe à l entreprise cliente. Les clés de cryptage sont stockées au sein de son datacenter et ne sont transmises à l environnement cloud que lorsque nécessaire, par le biais d un chemin sécurisé. Ces clés ne passent à aucun moment entre les mains du fournisseur de services cloud ni d un quelconque tiers, faisant du cloud une partie intégrante de l environnement informatique, que le fournisseur ne perçoit que sous la forme d une connexion cryptée exécutée sur l un de ses serveurs. Ce dernier ne peut à aucun moment accéder aux données transmises sur le réseau interne ou stockées, que ce soit en mode connecté ou déconnecté, ou pendant la transition. La stratégie de sécurité CloudSwitch repose également sur la séparation des rôles et des responsabilités en matière de contrôle sécuritaire. Les informaticiens peuvent appliquer les règles de leur Le contrôle des accès basé sur les rôles (RBAC) prévient les risques d accès non autorisé par les utilisateurs internes.

p. 5 making cloud computing secure for the enterprise entreprise au cloud pour gagner en autonomie vis-à-vis du fournisseur. Il est toutefois important de s assurer qu il existe une séparation nette entre l environnement du client et celui du fournisseur de l infrastructure, le principe du cloud-computing étant de déléguer l exécution de l infrastructure physique à une entité distincte. Car le partage du contrôle, en permettant par exemple au fournisseur d avoir accès à des données non cryptées, complique la gestion de l environnement et crée une situation de dépendance. Le modèle CloudSwitch exploite justement un système de cryptage renforcé pour isoler les serveurs et applications des clients de l infrastructure de leur fournisseur de services cloud. Toutes les données sont cryptées avant de pénétrer dans l infrastructure cloud, ce qui simplifie considérablement la mise en service des serveurs. Le modèle de sécurité CloudSwitch couvre trois aspects essentiels de la protection des serveurs, pour garantir aux entreprises un environnement de cloud-computing sécurisé: CloudSwitch protège le datacenter : le contrôle des accès basé sur les rôles protège les données et les processus contre tout accès non autorisé. CloudSwitch protège les connexions sur Internet : les connexions sont authentifiées et les données cryptées afin d éviter toute exposition ou usurpation des données durantleur transfert. CloudSwitch protège les applications dans le cloud public : les données sont cryptées à l aide de clés gérées par l entreprise, auxquelles le fournisseur n a jamais accès. Les sections suivantes examinent le fonctionnement, dans la pratique, de la stratégie de sécurité CloudSwitch. CloudSwitch protège les données au sein du datacenter Simple à installer dans le datacenter du client, le logiciel CSA se gère au moyen d un navigateur Web utilisant un protocole HTTP sécurisé (HTTPS). Chaque configuration client possède ses propres clés SSL pour le serveur Web, générées par CSA au moment de l installation. Les fonctionnalités de CSA peuvent également être intégrées à l infrastructure en place via l interface SOAP ou l interface en ligne de commande de CloudSwitch. Ces interfaces utilisent les mêmes mécanismes d authentification et de protection que l interface Web. CSA protège le datacenter contre les menaces internes grâce à un système de contrôle des accès basé sur les rôles (RBAC), qui permet d octroyer des droits d accès plus ou moins permissifs aux utilisateurs. Il suffit à l administrateur du datacenter de définir le nombre d utilisateurs, de groupes et de rôles requis au sein du système, puis d attribuer à chacun des droits d accès spécifiques aux ressources du cloud, par application, environnement (ex. de développement, de test ou de production) ou d autres domaines. Si des machines sont utilisées par différents services ou groupes de développeurs, il est également possible de configurer le système pour qu il permette à l administrateur d un groupe particulier de n accéder qu aux machines de ce groupe. La couche d intermédiation cryptée protège les applications et données dans le cloud.

p. 6 making cloud computing secure for the enterprise Le système RBAC de CSA peut également s appliquer aux comptes cloud. L administrateur de CSA peut en effet entrer les codes d accès aux comptes cloud, puis limiter tout accès par d autres utilisateurs. Le système RBAC permet ainsi aux utilisateurs de contrôler leur activité sur le cloud sans avoir directement accès aux codes et aux clés qui y sont associés. CloudSwitch protège les données transitant sur Internet Pour protéger les communications sur Internet, CloudSwitch établit un chemin crypté entre le datacenter et le cloud. Les données sont ainsi cryptées de bout en bout, depuis le logiciel CSA, dans l enceinte du pare-feu du datacenter, jusqu à la CSI, dans l enceinte du pare-feu du cloud, en passant par Internet. Inutile ainsi d investir dans un équipement VPN et de le configurer conformément aux spécifications du fournisseur de services cloud (comme l exigent certaines offres, telles que VPC d Amazon). Tout le trafic échangé entre le datacenter de l entreprise et le serveur du cloud passe par ce chemin sécurisé. Des couches de sécurité et de contrôle supplémentaires, comme des filtres et dispositifs de blocage de ports, ou encore des mécanismes de détection avancée des intrusions (ex. OSSEC, Tripwire), peuvent être installées sur les serveurs du cloud de la même manière que sur des serveurs internes, puisque CloudSwitch préserve l environnement d exploitation existant. Cette approche non seulement offre une sécurité plus renforcée que celle des environnements cloud traditionnels, mais elle est également plus simple à mettre en œuvre. L installation s effectue en effet automatiquement, sans exiger de configuration ni de saisie d informations sur la configuration du VPN ou l environnement du fournisseur de services cloud. Automatisées au sein de l environnement CSA, la création du chemin crypté et la distribution des clés s exécutent en toute transparence. Cloudswitch protège les données dans le cloud public CloudSwitch protège les données du cloud contre les menaces issues du cloud, ainsi que des logiciels et procédures du fournisseur de services cloud. Contrairement à la plupart des systèmes cloud de protection actuels, CloudSwitch associe un algorithme de cryptage à des technologies sophistiquées de gestion des droits d accès et d isolement, limitant ainsi grandement le nombre de failles sécuritaires. La CSI fait office de point de contrôle dans le cloud, tel que mentionné précédemment. Ce composant logiciel reçoit les informations transmises via le chemin crypté au sein du cloud et gère les ressources virtuelles exécutées dans le cloud, conformément aux instructions de CSA. Il établit une connexion réseau sécurisée dans le cloud afin que les processus exécutés sur des machines virtuelles du cloud puissent communiquer entre eux et avec le datacenter via ce chemin crypté. La CSI étend également la couche d intermédiation du logiciel CSA au cloud et aux processus et systèmes de stockage qui s y exécutent. La couche d intermédiation mappe automatiquement la configuration des serveurs du datacenter sur le cloud afin qu ils conservent le même environnement d exploitation dans le cloud que dans le datacenter après leur déploiement. Au sein du cloud, la couche d intermédiation fait office de couche d abstraction ultra sécurisée entre l hyperviseur et la machine virtuelle sur laquelle l application est exécutée. Elle reçoit les clés de cryptage envoyées par CSA et les utilise pour crypter les données stockées et transférées au sein de l environnement cloud. Ces services de cryptage proposent plusieurs options: Cryptage complet par clés contrôlées par le client: Des volumes système Du système de fichiers racine De tous les volumes de données Du réseau intercloud Du réseau intracloud Cryptage complet par clés à usage unique: Des données stockées temporairement (éphémère) De l espace d échange (éphémère) CloudSwitch assure cette protection au niveau matériel, à la manière de contrôleurs de stockage et d adaptateurs réseau intégrant une technologie de cryptage, à ceci près qu il ne modifie pas l ID et les pilotes des périphériques. C est la garantie que tout accès utilisateur et administrateur au système est contrôlé et que les mécanismes de sécurité ne peuvent pas être désactivés, même par des utilisateurs disposant de droits d accès aux serveurs du cloud. Cette couche n est en effet accessible et contrôlable que depuis CSA, et est protégée par le système RBAC. Les clés de cryptage des données du cloud restent sous le contrôle exclusif de l entreprise. Autrement dit, les fournisseurs de services cloud ne peuvent à aucun moment accéder aux données transmises sur le réseau interne ou stockées, que ce soit en mode connecté ou déconnecté, ou pendant la transition. Les données stockées sur disque étant cryptées et n étant jamais exposées, il serait impossible pour quiconque viendrait à accéder au disque (si celui-ci était remplacé ou vendu, par exemple) de les lire, qu il ait été ou pas nettoyé au préalable. La protection des données s exécute par ailleurs indépendamment des mises à jour de l infrastructure ou des logiciels du fournisseur de services cloud, dispensant l entreprise de réévaluer son exposition au risque à chaque mise à niveau (ex. du pare-feu, du microprogramme, de la procédure de nettoyage de disques durs), mise à jour que les utilisateurs n ont pas la possibilité de refuser dans un environnement cloud. Procédures et règles de gestion de la sécurité CloudSwitch La solution CloudSwitch vise à protéger l environnement des entreprises qui migrent vers le cloud. Cette section décrit comment le système CloudSwitch gère l environnement conformément aux exigences de sécurité du client, ainsi qu aux normes, certifications et réglementations en vigueur.

p. 7 making cloud computing secure for the enterprise Gestion des droits d accès Avec l association du cryptage et de la gestion avancée des droits d accès de CloudSwitch, fini les problématiques de protection des données des clouds en multipropriété. Les clés temporaires et permanentes utilisées par CSA couvrent aussi bien les communications que les données provisoirement stockées (ex. stockage éphémère dans le cloud Amazon). CloudSwitch n utilise les clés des fournisseurs de services cloud que pour s authentifier auprès des serveurs du cloud et s y connecter en phase d initialisation. Ces clés ne permettent en aucun cas d accéder aux serveurs du client ni de crypter des données transmises sur le réseau ou stockées. CloudSwitch exploite la technologie de cryptage AES-256 pour préserver la confidentialité et l intégrité des trois types de données suivants: Les données de contrôle de l infrastructure CloudSwitch Les données échangées sur le réseau du client Les données stockées sur disque par le client En cas d ajout d un nouveau serveur cloud, CSA s y connecte via une liaison SSL (TLSv1) à l aide des clés d accès du fournisseur de services cloud. Il génère alors des clés spécifiques au client, qu il transmet au nœud du cloud via cette même connexion sécurisée. Ces clés permettent de crypter toutes les communications de contrôle. C est également de cette manière qu est protégé le trafic réseau du client. Le cryptage du réseau est configuré au moyen d une clé spécifique au client, laquelle n est stockée que dans la mémoire du serveur cloud et non dans les systèmes de stockage permanent du cloud. Notez que les clés des fournisseurs de services cloud ne permettent pas d accéder aux systèmes du client. CloudSwitch n exigeant aucune modification de l environnement serveur, les administrateurs peuvent conserver les mêmes méthodes d authentification et d accès que celles qu ils utilisaient dans leur datacenter. Enfin, les clés de cryptage/décryptage destinées aux données stockées sur disque dans le cloud sont envoyées au nœud du cloud via le chemin de communications de contrôle susmentionné. A chaque volume de stockage correspond sa propre clé. Ces clés ne sont par ailleurs stockées que dans la mémoire du serveur du cloud. Aucune clé ni aucun droit d accès n est enregistré sur des systèmes de stockage sur disque du cloud, y compris les disques de démarrage et autres disques connectés au serveur. Ni le personnel de CloudSwitch ni les systèmes CloudSwitch n ont accès aux clés de cryptage. Le client contrôle ainsi la protection de toutes les données et communications entre son datacenter et le cloud. Protection du réseau du cloud CloudSwitch permet aux clients de gérer leurs ressources cloud de la même manière que si elles étaient hébergées dans leur datacenter local. Pour les protéger, CSA gère les pare-feu du cloud. Programmé pour supporter les fonctionnalités des clouds ciblés, CSA bloque les accès à l infrastructure qui ne sont pas nécessaires à l exploitation des serveurs. Le fonctionnement des serveurs du client dans le cloud n en est pas affecté. Au contraire, l infrastructure CloudSwitch peut ainsi le gérer. Par défaut, aucun port des serveurs déployés dans le cloud n accepte le trafic Internet «brut». Ainsi, aucun de ces serveurs ne nécessite de paramètres de pare-feu spécifiques ou de protection particulière. Les serveurs exécutés dans le cloud ont accès au réseau LAN du datacenter dans lequel est exécuté CSA. L administrateur est libre d ouvrir ou de fermer des ports spécifiques ou d appliquer des règles de pare-feu aux serveurs cloud de son entreprise sans que cela n impacte les mécanismes de protection gérés par CSA. La technologie de CloudSwitch peut réunir tout le trafic de contrôle et le trafic réseau du client sur un même port sortant, à savoir le port TCP 443, plus connu sous le nom de port HTTPS. Seul ce port est alors autorisé à transférer le trafic, ce qui simplifie grandement la configuration du réseau reliant le datacenter au cloud. Environnements d exploitation Conçue pour préserver les environnements réseau, serveur, d exploitation et applicatifs des entreprises, l offre CloudSwitch simplifie grandement l administration des applications et systèmes. Voici ses particularités: CloudSwitch n exécute pas d agents au sein des systèmes d exploitation du client et n y accède à aucun moment. CloudSwitch conserve la configuration réseau existante (y compris les adresses MAC). CloudSwitch n accède pas aux données ni aux clés de cryptage du client. Elle n intervient à aucun moment dans les opérations de contrôle, de cryptage, de gestion des chemins de données et de gestion du stockage émanant du datacenter en direction du cloud. CloudSwitch n interfère pas avec les systèmes de détection/ prévention des intrusions et antivirus existants. CloudSwitch connecte le déploiement cloud au datacenter du client, de sorte que les outils de surveillance et d analyse en place restent opérationnels. Données client CloudSwitch collecte des données depuis l environnement du client comme suit: CSA envoie un identifiant unique à CloudSwitch lors de l activation du produit pour obtenir la clé de licence du logiciel.

p. 8 making cloud computing secure for the enterprise Il collecte des données sur le nombre de serveurs et leur temps d exécution. Ces informations servent à vérifier la conformité aux conditions de licence et ne contiennent pas d informations spécifiques sur les serveurs. Sur approbation du client, CSA peut collecter des fichiers journaux et informations sur le déploiement cloud qui serviront à la mise en service de l environnement CloudSwitch. Le client peut vérifier ces données avant leur envoi au service de support de CloudSwitch. Aucune donnée hébergée sur les serveurs du client n est collectée, le logiciel CloudSwitch n ayant pas accès à ces systèmes. Politique de gestion des données clients de CloudSwitch Occasionnellement, les clients peuvent être amenés à fournir des fichiers journaux et informations de configuration pour aider les techniciens de support de CloudSwitch à déterminer l origine d un problème et à le résoudre. Ces fichiers peuvent contenir certaines données client, qui restent toutefois limitées. CloudSwitch traite ces données comme des données confidentielles et ne les utilise qu aux fins de résolution des problèmes techniques rapportés par le client au service de support. CloudSwitch s efforce de limiter le volume d informations client présentes dans ses fichiers journaux et données de configuration. Les clients peuvent toutefois vérifier ces informations et les modifier avant de les envoyer à CloudSwitch. La transmission de tout fichier journal à CloudSwitch s effectue via des connexions cryptées sur un site de support protégé par un mot de passe. Un datacenter à la fois flexible et ultra sécurisé CloudSwitch révolutionne fondamentalement le concept de protection du cloud avec son environnement sécurisé de bout en bout, qui réduit les risques liés à l exécution d applications d entreprise au sein d un cloud public. Cette solution dispense les entreprises de s adapter aux règles et fonctionnalités de sécurité de leur fournisseur de services cloud et de mettre en place des mesures de protection complémentaires. Les entreprises gardent un contrôle permanent sur leurs applications et données, où qu elles soient déployées. CloudSwitch simplifie par ailleurs grandement le déploiement d applications d entreprise dans le cloud. Il laisse les clients libres de choisir les clouds les mieux adaptés à chacune de leurs applications, avant de les y déployer en simple pointer-cliquer. Quant aux administrateurs informatiques, ils peuvent sélectionner un environnement informatique répondant aux besoins métier et de sécurité d une application ou d un groupe d utilisateurs et en changer lorsque ces besoins évoluent. A l heure où les offres cloud prolifèrent, les entreprises peuvent enfin tirer pleinement profit des économies et de la réactivité conférés par les services cloud, avec toutes les garanties de sécurité qu attendent leurs clients, les autorités de réglementation et autres parties prenantes. A propos de Terremark Terremark, une société du groupe Verizon, est l un des chefs de file du marché international de la transformation et de la sécurisation des environnements informatiques d entreprise. Cette filiale de Verizon Communications Inc. (NYSE, NASDAQ:VZ) fait figure de référence dans le secteur des déploiements informatiques grâce à ses solutions d infrastructure avancées et de services gérés, qui satisfont les exigences d évolutivité, de sécurité et de fiabilité les plus strictes des entreprises et administrations, partout dans le monde. Et pour tirer parti de tout le potentiel du cloud, ces dernières peuvent compter sur le réseau international de datacenters et le riche portefeuille de solutions sécurisées du fournisseur. Pour en savoir plus, rendez-vous sur. 2012 terremark worldwide, inc. tous droits réservés. 09/12 pour les mentions légales relatives aux pays dans lesquels les solutions terremark sont vendues et représentées, merci de vous reporter aux pages détaillant les mentions légales sur les sites web locaux, accessibles via terremark.com.

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back