Cette article est de la catégorie Innovation et du dossier CloudServices d'infrastructure

La sécurité existe-t-elle dans le Cloud?

Tout le monde en parle. Mais dans quelle mesure le Cloud Computing est-il sûr en réalité?

Texte: Rüdiger Rissmann, publié le 17.07.2014

Chez SWITCH, nous avons lancé notre pilote Cloud Computing en 2012. Et maintenant, nous en sommes au point où nous construisons notre niveau de production Cloud Infrastructure dans le projet SCALE et offrons de premiers services à la communauté, comme SWITCHdrive. La sécurité sur le Cloud n'est qu'un des principaux sujets que nous traitons en constituant l'architecture Cloud.

Pour ce qui est de mes expériences en matière de sécurité sur le Cloud, la question qui me paraît la plus intéressante est probablement celle de savoir dans quelle mesure les Clouds peuvent être sûrs et ce que les gens entendent par sécurité. On peut partager la réponse à cette question en deux domaines, à savoir les aspects techniques et les aspects non techniques.

Aspects techniques

Dans le domaine technique, nous devons comparer les modèles de fourniture de services Cloud aux modèles de fourniture " à base de matériel ". Le tableau ci-dessous montre que la surface d'attaque augmente à mesure que l'on ajoute des couches. Les applications à base de métal nu offrent aux attaques une surface moindre que les applications virtualisées et Cloud. Chacune de ces couches apporte ses propres problèmes et risques, et l'on peut dire que la sécurité diminue chaque fois que nous y ajoutons une couche. Mais ce n'est pas tout. En même temps, chacune de ces couches peut ajouter à la sécurité de l'environnement Cloud:

 Surface / degré de visualisation  Base métal nu Virtualisation Cloud
Cloud Frontend     X
Cloud Infrastructure     X
Couche de virtualisation   X X
Système d'exploitation hyperviseur   X X
Management hypervisor   X X
Application X X X
Intergiciel X X X
Système d'exploitation X X X
Matériel X X X
  Surface d'attaque. Crosses stand for possible vulnerabilities

Comme di ci-dessus, le Cloud Computing offre de nouvelles caractéristiques de sécurité et les ressources Cloud peuvent être retracées jusqu'à leur propriétaire. Par exemple sur la couche de virtualisation, chaque machine virtuelle peut être retracée vers un compte utilisateur et le Cloud a un inventaire intégré de machines virtuelles. Ces machines virtuelles peuvent être sécurisées au moyen de cloisons pare-feu virtuelles et autres caractéristiques de sécurité Cloud.

Et il y a encore des offres Cloud spéciales pour les industries régulées, comme les pharmas et les banques, où les exigences de sécurité sont extrêmement élevées.

Aspects non techniques

Dans le domaine non technique, l'utilisation des services Cloud lance des défis de plus en plus complexes (par exemple dans le domaine juridique, organisationnel et les procédures). On dit souvent aussi que les exigences de sécurité pour l'infrastructure informatique restent inchangées quelle que soit la mise en œuvre technique. Peu importe que les services soient fournis par les services informatiques internes ou par des fournisseurs externes qui offrent généralement des conventions de niveau de service ou Service Level Agreements (SLAs) standardisées au niveau mondial.
Dans ce dernier cas, nous devons nous assurer que le contrat passé avec le fournisseur externe couvre toutes nos exigences de sécurité. Aux dires de beaucoup de membres de notre communauté, la sécurité va vite au-delà des filtres pare-feu, des snapshots, de la redondance, etc. Dans le monde actuel, diverses formes d'intervention compromettant la protection des données sont possibles, sans toucher aux formes de base de la sécurité technique. Il devient de plus en plus important de savoir quelles lois s'appliquent au fournisseur et à ses produits et services, ce qui dépend des pays dans lesquels il opère.

C'est ici que SWITCH peut proposer, outre le savoir-faire technique, une valeur ajoutée considérable et une grande expérience avec ses offres Cloud. Le modèle de gouvernance de SWITCH permet aux parties prenantes de participer à la conception des offres Cloud. A ce sens, elle a pour but de devenir une extension de l'infrastructure d'une institution. C'est là un rôle tout différent de celui d'un fournisseur externe. Cela permet à la communauté SWITCH de participer à la gouvernance du Cloud SWITCH et à son exploitation.

Cloud pour la communauté scientifique suisse

Chez SWITCH, nous sommes en train de construire une infrastructure Cloud destinée à la communauté scientifique suisse. Lors d'une première phase, nous nous adresserons aux projets de recherche et aux chercheurs. Suivant le feedback reçu de la communauté et notre expérience avec l'infrastructure Cloud, nous serons en mesure d'adapter les services de l'infrastructure Cloud aux futurs besoins de sécurité de notre communauté. Nous nous concentrerons particulièrement sur une vue intégrée de la sécurité englobant les aspects aussi bien techniques que surtout non techniques de l'exploitation d'un Cloud, comprenant des exigences spéciales d'ordre juridique et de gouvernance des institutions suisses de formation supérieure.

Personne de contact: ruediger.rissmann@switch.ch
L'auteur
Rüdiger   Rissmann

Rüdiger Rissmann

Après avoir obtenu son diplôme de physique de l'Université de Heidelberg en 1999, Rüdiger Rissmann a travaillé comme architecte informatique et spécialiste en sécurité pour la recherche IBM avant d'entrer au service de SWITCH en 2013. Il travaille maintenant sur le projet SCALE afin de constituer l'infrastructure Cloud de SWITCH.

E-mail

Autre liens

Le projet SCALE:

https://www.switch.ch/uni/projects/cloud/

https://www.switch.ch/drive/

Aspects juridiques du Cloud:

http://stories.switch.ch/de/stories/cloud_legal/

Sources externes importantes concernant la sécurité sur le Cloud:

Cloud Security Alliance (CSA): https://cloudsecurityalliance.org/

European Network and Information Security Agency (ENISA): Report

Zdnet.com: Hypervisors: Le talon d'Achille potentiel du Cloud pour la sécurité

The Guardian: Yahoo, Google et Apple prétendent également au droit de lire les e-mails d'utilisateurs

Autres articles