Cycle de conférences sur Cloud Computinget Virtualisation Le Cloud et la sécurité Stéphane Duproz Directeur Général, TelecityGroup
Le «Cloud»a déjàdécollé Source: http://blog.rightscale.com/ 2
Mais de quoi s agit-il exactement? «Il est intéressant d observer que le Cloud Computing a été redéfini de manière à y inclure tout ce qui se fait d ores et déjà. Je ne vois rien qui ne relève pas du Cloud Computing dans toutes les annonces actuelles. L industrie informatique est la seule à être plus soumise à la mode que la mode féminine elle-même «je ne comprends pas ce que faisons différemment à la lumière du Cloud, à part changer les mots utilisés dans nos annonces publicitaires.» - Larry Ellison, CEO, Oracle «Beaucoup de gens sautent dans le train du Cloud, mais je n ai pas entendu deux personnes dire la même chose sur ce sujet Il existe de multiples définitions de ce qu est le Cloud.» - Andy Isherwood, VP en charge des service logiciels pour l Europe, HP 3
L histoire du Cloud Computingest plutôt simple 2000 Services d hébergement 2010 Services de Cloud Fournisseur de services applicatifs Hébergement administré (Managed Hosting) Hébergement partagé et dédié Logiciel en tant que service (Software-as-a-Service - SaaS) SalesForce, Microsoft Hotmail, NetSuite, Google Docs Plate-forme en tant que service (Platform-as-a-Service - PaaS) Google AppEngine, RackSpace, Microsoft Azure Infrastructure en tant que service (Infrastructure-as-a- Service - Iaas) Amazon EC2 Augmentation de valeur Machine dédiée Processeur single-core Paiement à l application Généralement mono-utilisateur Evolution Plate-forme partagée, virtualisée Processeur multi-core Paiement à l usage Multi-utilisateurs 4
Même l interprétation la plus simple reste complexe : les 3 couches du Cloud Selon qui consomme les services de Cloud Computing, le concept incorpore des combinaisons variables des trois modèles de services suivants : Collaboration CRM etc. Logiciel en tant que service Services & plates-formes pour développer de nouvelles applications (via de nouvelles API) Facturation Sécurité Middleware Bases de données Plate-forme en tant que service Serveurs Réseau Tissu de data centers Stockage Éléments partagés, virtualisés Adaptation dynamique aux besoins Infrastructure en tant que service S3 EC2 5
De même que les modèles de distribution Navigation dans le Cloud Une première proposition de taxonomie Niveau de partage Public : partagé avec d autres entreprises Cloud public d infrastructure CPU, stockage : EC2/S3, IBM Cloud Serveurs de Clouds publics Cloud OS : Microsoft Azure, Google App Engine PaaS Plate-forme applicative : Force.com, NetSuite-BOS SaaS public Applications : Workday, RightNow Privé virtuel : partagé mais fiable Clouds privés virtuels évolutifs CPU, stockage : outsourcing partagé Clouds privés virtuels de serveurs Cloud OS : outsourcing partagé SaaS privé virtuel Applications métiers ; appli. SaaS second tiers Privé : sur site Clouds privés Infrastructure virtualisée : interne Concepts ASP Plates-formes d applications métiers Oracle Fusion Middleware, IBM WebSphere Sur site Packaged apps: SAP Business Suite Infrastructure de base Serveur d entreprise Plates-formes métiers Applications métiers Valeur économique pour l entreprise Source: Forrester Research, Inc. Public : services fournis par l extérieur, via un WAN ou Internet Privé : à l intérieur du firewall de l entreprise Hybride : combinaison d applications fournies par les plates-formes et l infrastructure propres de l entreprise, complétée par les offres de prestataires extérieurs pour certains usages ou applications 6
Donc Il n existe PAS ENCORE de standards et de bonnes pratiques généralisées Pour l instant chaque consultant ou fournisseur vous dira : Cloud = ce que je dis que c est = notre produit recommandé 7
Ce que nous pensons du Cloud en termes simples Logiciel en tant que service (SaaS) Tous les équipements matériels et les logiciels habituellement associés à un centre de données Plate-forme en tant que service (PaaS) Infrastructure en tant que service (IaaS) 8
Facteurs d adoption du Cloud Efficacité Productivité Economies Accès aux applications et données indépendant du terminal, de n importe où, à tout moment Utilisation plus efficace des ressources informatiques Services évolutifs, à la demande Pas de CAPEX OPEX Prévisibles Consommation mesurée, paiement à l utilisation Le Cloud Computing est possible grâce à (enablers) : Connectivité, Virtualisation, Data centers 9
Ce qu en dit TelecityGroup Le Cloud n est pas une technologie Le Cloud résulte de la réunion de tendances et de technologies EXISTANTES --virtualisation, développement d Internet et de la bande passante, Web 2.0 -- Combinées pour fournir des infrastructures applicatives évolutives aux entreprises mais un modèle d exploitation et de distribution de l IT Trois modèles de services dominants caractérisés par le self-service et une utilisation évolutive et mesurée des ressources Et trois modèles de distribution : privé, public et hybride Tous ces modèles reposent fondamentalement sur des centres de données de haute qualitéet hautement connectés C est une réelle opportunité de marché: Un potentiel de nouvelles affaires de 1 milliard de c.$ dans les2 à3 prochaines années pour l ENSEMBLE des services de Cloud Computing et des modèles de distribution* Le fait que le Cloud repose sur des dépenses de fonctionnement (OPEX) et non d investissement (CAPEX) a accéléré sa croissance lors de la crise économique récente Oui, le Cloud est aujourd hui mis àtoutes les sauces ( Cloud-washing ) mais certains de ses développements sont fondamentaux et vont révolutionner l informatique des entreprises à terme *Source: Forrester Research 10
Rôle du centre de données indépendant face aux défis du Cloud Computing Avantages Adoption initiale Défis Paiement à l usage Applications collaboratives Sécurité Déploiement rapide pour l utilisateur Applications Web / servers Web Disponibilité Paiement mensuel prévisible Services de sauvegarde / archivage de données Performance des applications Normalisation Applications d entreprise (RH, CRM, ERP) Evolutivité Energie Freins à l adoption Source: IDC Enterprise Panel, 3Q09, n = 263, September 2009 11
Le Cloud et la Sécurité Les centres de données, acteurs clés du Cloud Computing Conception, construction et exploitation de centres de données indépendants de tout opérateur et basés sur des concepts, des processus et des standards uniformes Fourniture d un environnement sécurisé pour l infrastructure informatique et le stockage des données des clients Accès offert à de multiples réseaux et clients dans un environnement à faible latence et à haute connectivité Accès à des opportunités de revenus Réduction des dépenses CAPEX et OPEX pour les clients Alimentation électrique continue Installations client Protection incendie Groupe électrogènes de secours Connectivité à plusieurs réseaux Tiers 1 Sécurité de la Virtualisation et du Cloud Computing / Paris Accès strictement contrôlés Supervision 24x7 Température, humidité et ventilation strictement contrôlées Respect de l environnement 12
Les CIO et les responsables informatiques doivent Se demander : Où l adoption de services de Cloud Computing a le plus de sens dans leur organisation? S il est possible d expérimenter ces services sans impact sur la production? Comprendre : Le mandat donné au niveau du board : consensus organisationnel et direction La nécessité d auditer tous les logiciels et matériels dans l optique d un passage au Cloud Développer : Une stratégie d adoption de services de Cloud Computing hybrides (privés/publics) Une feuille de route 13
Les questions que vous devez poser Est-ce que ma plateforme de Cloud privée sera suffisamment Evolutive? TelecityGroup exploite dans toute l Europe des centres de données offrant une évolutivité de premier ordre Connectée? TelecityGroup donne accès à de multiples réseaux, points d échange et fournisseurs d accès Internet en Europe Sûre et résiliente? TelecityGroup possède des installations sécurisées, dotées de systèmes d alimentation électrique et de climatisation redondants 14
La sécurité dans le Cloud 15
Etat des lieux Dans le Cloud, la sécurité dépend des contrôles et garanties apportés par des tiers, comme dans l outsourcing traditionnel Les mêmes menaces internes et externes sont présentes Il n existe pas de standard de sécurité commun pour le Cloud Computing, ce qui pose un problème supplémentaire De nombreux fournisseurs du Cloud mettent en oeuvre leurs propres normes et des technologies de sécurité propriétaires Il faut les évaluer selon leurs propres mérites Dans le modèle du fournisseur, le client doit s assurer que la sécurité du Cloud répond à ses propres règles de sécurité en faisant l inventaire de ses besoins, en évaluant les risques du fournisseur et les garanties qu il apporte Les principaux défis en matière de sécurité des informations concernent : 1. Les menaces pesant sur les informations résidant dans les environnements de Cloud Computing 2. Le type d attaquants et leur capacité à s attaquer au Cloud 3. Les risques de sécurité associés au Cloud et les mesures à prendre contre les attaques 4. Les menaces émergentes pouvant affecter la sécurité du Cloud 16
1. Menaces Confidentialité Menaces internes : utilisateurs malintentionnés Menaces externes : attaque à distance des logiciels et/ou machines Fuite de données : Brèche au niveau des droits d accès sur plusieurs domaines Brèche au niveau des systèmes de transport électronique et/ou physique des données et/ou sauvegardes Intégrité Ségrégation des données Définition incorrecte des périmètres de sécurité (machines virtuelles, hyperviseurs, stockage) Accès utilisateurs Insuffisance des procédures de gestion des identités et des accès Qualité de données Introduction de composants applicatifs ou d éléments d infrastructures défaillants Disponibilité Gestion des changements Modification d infrastructure ou tests réalisés par un client et ayant un impact sur les autres clients du Cloud Menace de déni de service Déni de service réseau & bande passante / DNS / applications & données Interruption physique Interruption de l accès physique du fait du fournisseur de Cloud, d un client ou du fournisseur de WAN Procédures de restauration insuffisamment robustes Recours à des processus de restauration de données ou de continuité d activité inappropriés 17
2. Types d attaquants Attaquant interne Attaquant externe Ces deux types d attaquants peuvent être catégorisés en menaces : Aléatoires Balayage systématique d Internet pour trouver des ordinateurs vulnérables Attaques à l aide d outils simples et de techniques connues devant pouvoir être détectés facilement Faibles Attaquants expérimentés ciblant des serveurs / fournisseurs spécifiques du Cloud Attaques à l aide d outils disponibles dans le commerce mais personnalisés Fortes Groupes organisés d attaquants expérimentés et bien financés Spécialisés dans l attaque ciblée de certaines applications et catégories d utilisateurs de services du Cloud Organisations criminelles agissant souvent à grande échelle Substantielles Attaquants motivés et adroits, difficiles à détecter par les organisations attaquées et par les services officiels en charge de la cybercriminalité et de la cybersécurité Leur détection demande une meilleure compréhension des attaques et des ressources spécialisées, à même de réagir aux incidents et aux menaces 18
3. Risques de sécurité Accès des utilisateurs privilégiés Les fournisseurs du Cloud doivent mettre en œuvre des contrôles spécifiques pour leurs utilisateurs privilégiés Localisation et ségrégation des données Les clients peuvent ignorer où sont stockées leurs données Risque lié aux données stockées avec les informations d autres clients Elimination des données Risque que les données ne soient pas effacées de tous les entrepôts de données, système de sauvegarde et autres supports physiques en cas de résiliation Investigation électronique et contrôle de protection Les clients ne peuvent pas déployer leurs propres systèmes de contrôle et d investigation : ils doivent faire confiance à ceux de leurs fournisseurs de services de Cloud Computing Les clients doivent recourir aux SLA et auditer les contrôles de sécurité pour assurer la sécurité des services du Cloud 19
4. Menaces émergentes pour la sécurité du Cloud Attaques latérales Client malintentionné infiltrant une infrastructure de Cloud partagée pour accéder aux données des autres clients Attaques de déni de service Consommation des ressources partagées Exploitation d hyperviseurs et de machines virtuelles Attaques des réseaux sociaux Les grands entrepôts de données clients transforment les plates-formes de Cloud Computing en cible Attaques des terminaux mobiles La plupart des appareils mobiles ne bénéficient pas de fonctionnalités de sécurité équivalentes à celles des PC (de bureau et portables) : protection contre les logiciels malveillants, anti-virus et chiffrement complet du disque Menaces internes et crime organisé Risque d accès aux différents types de données agrégées à partir de plusieurs clients : informations des cartes de crédits et autres données financières et personnelles 20
En synthèse Conseils pour limiter les risques Obtenir des garanties concernant la sécurité dans le Cloud Evaluer les menaces existantes dans le Cloud Chiffrer (crypter) les données Evaluer les contrôles mis en place par le fournisseur pour séparer les données des différents utilisateurs du Cloud Vérifier que l élimination des données peut être effectuée correctement dans le Cloud Identifier la localisation géographique de tous les sites de stockage, de traitement et de transfert de données Evaluer l efficacité de la surveillance de la protection du Cloud Evaluer les questions de gestion d identité et d interopérabilité 21
Merci de votre attention Stéphane Duproz stephane.duproz@telecity.com 01 49 97 39 68 22