Panorama de l'évolution du cloud et des Datacenters ; La sécurité dans les domaines d'orchestration (cloud et virtualisation) Eric Deronzier (YSOSECURE) Rémi Grivel (SynAApS) 1
L évolution des usages TIC réclament des infrastructures informatiques de plus en plus performantes (sécurisées, disponibles ). Cette évolution sera si importante qu on ne peut que mettre nos systèmes informatiques dans des lieux ad hoc
Salles serveurs d une organisation : - Zone de sécurité et de sureté - Zone de confiance Data Center: - Zone de sécurité et de sureté - Qui doit être sous surveillance - Une informatique en réseau, un système panoptique - on peut être surveillé sans le savoir, - on peut croire qu on est surveillé, - on peut oublier qu on est surveillé
Clusir Rhône-Alpes Club SSI, le 19/03/2014
Clusir Rhône-Alpes Club SSI, le 19/03/2014
Le Cloud Computing 4 modèles de cloud computing : Cloud public Cloud privé Cloud communautaire Cloud hybride
Cloud : quelques es définitions Cloud public Infrastructure ouverte pour un large public Des utilisateurs hétérogènes (grand public, professionnels ) Infrastructure logicielle externe à la charge du prestataire et gérée par le prestataire Cloud privé Infrastructure dédiée à une organisation unique Plusieurs utilisateurs d une seule organisation Infrastructure logicielle gérée par l organisation ou par un prestataire
Cloud : quelques es définitions Cloud communautaire Infrastructure partagée par plusieurs organisations qui ont des intérêts communs Infrastructure t dédiée à ces organisations Usage exclusif des utilisateurs de ces organisations Infrastructure logicielle gérée par les organisations et/ou par un prestataire Cloud hybride Mix de cloud public, privé et communautaire Choix de l utilisateur en fonction de ses besoins L organisation externalise une partie de ses données et/ou applications respect de technologies communes et des standards pour assurer la portabilité des applications entre les clouds
La sécurité dans le cloud public, L exemple de Cloudwatt
Présentation du cloud privé et du cloud communautaire Pour rappel, le cloud privé c est : Une infrastructure dédiée à une organisation unique Plusieurs utilisateurs d une seule organisation Une infrastructure logicielle gérée par l organisation lorganisation ou par un prestataire Une infrastructure en interne ou à distance Le cloud communautaire partage entre des organisations les mêmes besoins sur une architecture de cloud privé unique. 10 Panorama de l'évolution du cloud et des datas center; La sécurité dans les domaines d'orchestration (cloud et virtualisation)
Cloud privé et communautaire : pour qui? Entreprises Editeurs Etablissements publics Professionnels de santé Banques et assurances Etc Des besoins différents en fonction du type de structure
Cloud privé et communautaire : Zoom sur les éditeurs Proposer ses solutions en mode SaaS Assurer la pérennité de ses solutions en ligne : stabilité, performance : sérénité Accéder aux applications de l éditeur éditeur, tout le temps et de façon sécurisée pour garantir la protection des données sensibles Utiliser des infrastructures créées pour les éditeurs Avoir un vrai partenaire technologique Utiliser des infrastructures certifiées et contrôlées
Cloud privé et communautaire : Zoom sur les éditeurs Développement de service sur des bases de données NoSQL Adaptation de l infrastructure en fonction des contraintes de la solution Accompagnement pour adapter le logiciel aux solutions SaaS
Cloud privé et communautaire : Zoom sur les éditeurs L éditeur ne souhaite pas changer de métier. Il doit conserver la maitrise i de ses solutions, de son business et de ses clients. Le SaaS est simplement une autre façon de vendre sa solution. Le partenaire hébergeur doit répondre à ses exigences avec une plateforme communautaire ou privée adaptée.
Cloud privé et communautaire : Zoom sur les organismes de santé Externaliser un système d informations pour se décharger de certaines contraintes (parc informatique grandissant, manque de compétences en informatique, manque de personnel) Accéder à son système d informations partout, tout le temps et de façon sécurisée pour garantir la protection des données sensibles Assurer la pérennité de son système d informations : stabilité, performance, sérénité Proposer des services en ligne pour les patients. Consultation des analyses etc... Utiliser des infrastructures certifiées et contrôlées S acquitter des contraintes légales en fonction des obligations liées à chaque profession
Cloud privé et communautaire : Zoom sur les organismes de santé Des systèmes d authentification forte : Carte CPS Des contraintes physiques fortes : accès à l espace d hébergement, la destruction des disques, la segmentation physique des réseaux Des contraintes humaines, par exemple, le médecin de l hébergeur 24h/24 7j/7
Le cloud privé et communautaire : Les normes Des normes pour garantir la qualité et la sécurité de l infrastructure : Norme ISO 27001-20052005 : Cette norme vise le système de gestion de la sécurité de l'information (audit sur 133 points de contrôle visés par la norme) Agrément ministériel i i à l hébergement de données de santé à caractère personnel : assure aux professionnels de la santé que leurs données sensibles sont confiées à un prestataire de confiance contrôlé par l Etat (ASIP) Des infrastructures redondantes et performantes : groupe électrogène et onduleurs en cas de coupure d électricité, chemins d adduction différents, fibres redondantes, climatiseurs redondants, serveurs destinés à la sauvegarde GTR / SLA
Le cloud privé et communautaire : Avantages d un acteur normalisé ISO Amélioration continue Analyse des risques Plan de traitement des risques Management SMSI Image de marque Maîtrise des coûts Garanties Gouvernance du SI Processus & pratiques L organisme Lorganisme applique le cycle PDCA (Dire ce qui est fait, faire ce qui a été dit, contrôler & corriger ce qui ne va pas/ plus) L organisme identifie les processus et actifs critiques, établie la cartographie des risques, des menaces & des impacts L organisme décrit les mesures de limitation/ suppression des risques et les applique L organisme supervise et maintien son Système de Management de la Sécurité de l Information L organisme renforce son image de marque grâce à la reconnaissance d une norme internationale L organisme dimensionne justement son budget sécurité : La priorité est donnée aux dépenses les plus pertinentes suite à l analyse des risques L organisme garantie la conformité de son SMSI pour ses clients, ses partenaires, ses fournisseurs, ses créanciers et ses prospects Le RSSI de l organisme met en œuvre des principes pertinents pour la gouvernance du SI L ISO 27000 propose une approche par processus et met en exergue les meilleures pratiques de sécurité en les organisant dans le temps
Clusir Rhône-Alpes Club SSI, le 19/03/2014 Les différents niveaux de sécurisation à traiter : ACL, Cryptage, Chiffrement, Anonymisation, Sauvegarde. Antivirus, contrôle des développements, Contrôle et tracing des accès Sondes HIDS(1), Authentification, Renforcement de la sécurité du Système d Exploitation ( ), Authentification,, Renforcement de la Sondes NIDS(2), sécurité du Système d Exploitation Firewall, Vpn Ipsec/ SSL, Vlan, etc Cages Verrous physiques Cages, Verrous, vidéosurveillance vidéosurveillance, Périmètre, Contrôles physiques, Détecteurs biométriques, thermiques, hydrométriques, etc Formation, Accompagnement, Sensibilisation des utilisateurs, Etude des risques, risques PSSI, PSSI Gestion des projets, projets etc etc (1) SDIH = Système de Détection d Intrusion au niveau des Hôtes (2) NIDS = Système de Détection d Intrusion au niveau du Réseau
Comment choisir i son hébergeur ou son fournisseur de Cloud? 20 Panorama de l'évolution du cloud et des datas center; La sécurité dans les domaines d'orchestration (cloud et virtualisation)
Se poser les bonnes questions Qui? Pour quels services? Les certifications? Tier? PCI-DSS? ISO-27001? Santé AHDS? Hébergeur de confiance ANSI? Comment faire confiance? A qui confiez-vous vos données? L hébergeur est-il capable de s engager g? La structure de la société? Actionnariat? La taille de l hébergeur? La stratégie? Les compétences de l hébergeur? La connaissance de votre métier? Avez-vous vous la possibilité de changer facilement? La réversibilité? La proximité des installations, des équipes? Les moyens humains? La maitrise de la salle? Des serveurs? Des applicatifs? Panorama de l'évolution du cloud et des datas center; La sécurité dans les domaines d'orchestration (cloud et virtualisation) 21
Quelques conseils Attention aux belles plaquettes et discours commerciaux. Vous devez vérifier les installations ti et les solutions. Vous devez visiter les installations et discuter avec les équipes. «soulevez les dalles de faux-plancher» Attention aux certifications «en cours», «bientôt», «un jour». Vous devez avoir la preuve ou un engagement ferme! N hésitez pas à lire la PSSI simplifiée. N hésitez pas à demander le fonctionnement des maintenances avec les prestataires de l hébergeur. Vous devez avoir un vrai contrat, avec des engagements forts. N hésitez pas à préférer la proximité Méfiez-vous des offres des très grosses structures. Vous allez être un petit dans un monde de géants. N hésitez pas à prévoir des audits avant et surtout pendant. Panorama de l'évolution du cloud et des datas center; La sécurité dans les domaines 22 d'orchestration (cloud et virtualisation)
En résumé Un fournisseur de cloud, doit être un véritable partenaire, qui s engage et vous accompagne. Vous devez retrouver et conserver dans ce partenaire votre zone de confiance, de sureté et de sécurité.