Scurit et Cloud computing

Roger Halbheer, conseiller en chef pour la scurit, secteur public, EMEA Doug Cavit, conseiller principal pour la stratgie de scurit, Trustworthy Computing, tats-Unis Janvier 2010

Introduction
Ce document passe en revue les principaux enjeux lis la scurit du cloud computing ainsi que ses avantages. Il relve galement certaines des questions que les prestataires de services en nuage et leurs clients doivent se poser lorsqu'ils souhaitent adopter de nouveaux services ou dvelopper ceux qu'ils utilisent dj. Ce document s'adresse un public familier des concepts cls du cloud computing et des principes de base de la scurit du nuage. Son but n'est pas de rpondre toutes les questions relatives la scurit du nuage ni de proposer une solution de scurit exhaustive.

Questions cls sur la scurit

Comme chaque avance technologique, le cloud computing apporte son lot de risques qu'il convient de prendre en compte avant de pouvoir bnficier de tous les avantages de la solution. Les questions de gestion de la conformit et des risques, de gestion des identits et des accs, d'intgrit des services et des points de terminaison, ainsi que de protection des informations doivent tre tudies lors de l'valuation, de l'implmentation, de la gestion et de la maintenance des solutions de cloud computing .

Gestion de la conformit et des risques : les entreprises qui font basculer une partie de leurs
activits sur le nuage restent responsables de la conformit, de la scurit et des risques lis leurs oprations.

Gestion des identits et des accs : les prestataires de services peuvent par exemple fournir des
identits leurs clients. Ces prestataires doivent ensuite pouvoir grer les accs aux services en nuage via leur infrastructure et permettre une collaboration sans contrainte de frontire.

Intgrit des services : les services bass sur le nuage doivent tre conus et excuts avec
pour priorit la scurit, tandis que les processus oprationnels doivent tre intgrs au systme de gestion de la scurit de l'entreprise.

Intgrit des points de terminaison : puisque les services bass sur le nuage sont demands
puis consomms sur site, la scurit, la conformit et l'intgrit du point de terminaison doivent tre scrupuleusement tudies.

Protection des informations : les services en nuage requirent des processus fiables de
protection des informations avant, pendant et aprs la transaction.

Bien qu'ils offrent de nombreux avantages potentiels, les services fournis par le biais du cloud computing peuvent galement crer de nouvelles problmatiques, dont certaines ne sont pas encore totalement comprises. En adoptant un service en nuage, les entreprises informatiques doivent par exemple s'adapter au fait que la gestion des donnes n'est plus sous leur contrle direct. Ceci est notamment vrai dans le cas d'un modle hybride , dans lequel une partie des processus est effectue sur site et l'autre partie sur le nuage, requrant ainsi la mise en place de processus de scurit nouveaux et tendus qui prennent en charge de multiples prestataires de services et assurent une protection complte des informations. La gestion des risques et de la scurit reste sous la responsabilit de l'entreprise consommant les services en nuage, et doit tre tendue pour inclure les prestataires de ces services.

2010 Microsoft Corporation. Tous droits rservs.

Des stratgies bien dfinies autour des cinq questions susmentionnes 1 ainsi qu'une infrastructure solide de services garantiront que les services implments fournissent des fonctions de cloud computing qui respectent les exigences de scurit et commerciales de l'entreprise.

Gestion de la conformit et des risques

Une entreprise dote d'un systme informatique sur site a le contrle total de la conception et de l'excution de son environnement. Dans le cas d'un nuage hors site (excut par un systme non gr et non possd par l'entreprise), cette responsabilit est dlgue au prestataire des services en nuage. mergent alors de nouveaux dfis, uniques en leur genre, comme par exemple la dlgation d'une partie des processus cls de gestion de la Les exigences de conformit conformit et des risques de l'entreprise au prestataire de peuvent tre respectes grce services en nuage. une quipe interne comptente et un certain Une telle dlgation n'entrane en aucun cas la niveau de transparence des dresponsabilisation de l'entreprise informatique quant ses processus assur par les tches de gestion de la conformit et des risques. Qui plus est, prestataires de services en nuage. les prestataires de services en nuage indiquent souvent explicitement dans leurs contrats qu'ils ne sont pas responsables des tches lies la conformit. Autrement dit, l'entreprise est et demeure responsable de sa mise en conformit rglementaire par le biais de ses propres processus mtier. L'acquisition de services en nuage pour l'intgration et/ou la distribution des tches de gestion de la conformit et des risques ncessite que les prestataires de ces services assurent leurs oprations avec un certain niveau de transparence. Cependant, trouver le juste quilibre entre transparence et confidentialit du prestataire constitue un rel dfi. La transparence est un lment essentiel pour tablir une relation de confiance avec les prestataires de services et maximiser la capacit des entreprises respecter leurs obligations lgales. Ainsi, le client doit disposer d'un niveau de transparence suffisamment important pour prendre des dcisions optimales (ce niveau varie en fonction de la sensibilit des donnes protger) et suffisamment encadr pour permettre au prestataire d'assurer la protection de ses systmes et processus propritaires. Lorsque l'quipe interne de l'entreprise dispose dune relle visibilit sur les oprations du prestataire de services en nuage, elle peut intgrer les donnes extraites dans son propre environnement de gestion de la scurit, de la conformit et des risques. Du fait de son expertise et de sa connaissance complte des exigences de conformit qui psent sur l'entreprise, cette quipe doit tre prsente chaque ngociation de contrat avec tout prestataire de services en nuage. Au cours de la planification des services, l'entreprise doit analyser d'autres questions de logistique pour les oprations futures. Il peut s'agir de questions telles que : l'entreprise garde-t-elle le pouvoir de faire revenir une partie ou la totalit du service sur site dans le futur ou de transfrer une partie ou la totalit du service vers un prestataire de services en nuage diffrent ? Quels sont les cots associs un tel changement ? Comment l'entreprise peut-elle s'assurer que les donnes (y compris les sauvegardes) stockes dans l'infrastructure du prestataire sont compltement supprimes ? Quelle garantie d'accs au donnes conserve l'entreprise en cas de conflit avec le prestataire ?

Ceci n'est qu'un chantillon des questions tudier. Davantage de dtails et de conseils sur le cloud computing figurent dans les documents rdigs par The Cloud Security Alliance et l'ENISA.

2010 Microsoft Corporation. Tous droits rservs.

Gestion des identits et des accs

Les services bass sur le nuage requirent des fonctions de collaboration interfonctionnelles scurises ainsi qu'un systme de protection contre l'utilisation abusive des identits des personnes et des priphriques. Les systmes de contrle des identits et Tout systme de gestion des des accs, notamment ceux ddis aux actifs forte valeur identits numriques sur le ajoute, doivent se baser sur une infrastructure qui utilise des nuage doit tre interoprable informations d'identification personnelles et chiffrement fort. entre plusieurs entreprises et prestataires et reposer sur des Ces informations d'identification permettent l'excution d'un processus fiables. systme de contrle des accs bas sur les dclarations, qui identifie les dclarations effectues par toutes les entits du systme. La puissance de ce systme d'authentification doit tre quilibre de faon raisonnable avec le besoin de confidentialit des utilisateurs du systme. Pour arriver un tel quilibre, le systme doit permettre de transfrer et de vrifier les dclarations sensibles sans rvler plus d'informations que ncessaire pour toute transaction ou connexion au sein du service. La gestion scurise des identits est critique dans les environnements de toute sorte, mais peut prendre une dimension plus complexe dans un modle de cloud computing . Les divers prestataires qui fournissent des dclarations d'identit pour leurs services en nuage et les diffrents processus qu'ils utilisent doivent tre compris et valids comme fiables. Le transfert de services vers le nuage suscite plusieurs questions : qui est le dtenteur de l'identit ? Quels contrles encadrent la gestion des identits et des accs ? L'entreprise peut-elle changer de prestataire de dclarations d'identit ? Quelles sont les diffrences entre les mthodes de gestion des identits de chaque prestataire ? De quelle manire l'authentification et les autorisations sont-elles lies l'identit ? Comment la collaboration ad hoc avec un partenaire tiers utilisant un fournisseur d'identit diffrent est-elle possible ? Les environnements de gestion des identits doivent tre compatibles avec les applications traitant des rclamations d'identit et tre capables d'assurer la migration scurise des donnes de contrle d'accs entre le nuage et le systme du client ou du prestataire. Ces environnements doivent galement permettre la gestion des identits dans l'ensemble de l'entreprise et de chaque identit individuellement. Les systmes de certification et de rputation jouent un rle important auprs des fournisseurs d'identits : ils aident les clients comprendre les niveaux de scurit maximum que peut assurer chaque fournisseur. Dans cette optique, un systme de gestion des identits numriques offrant une authentification chiffrement fort et des fonctions interoprables de validation des dclarations sur site ou sur le nuage pourraient considrablement amliorer la scurit et l'intgrit des donnes.

Intgrit des services

L'intgrit des services comprend deux composantes : 1) l'ingnierie et le dveloppement de services, et 2) la prestation de services. L'ingnierie et le dveloppement de services englobe les mthodes qu'utilise le prestataire pour garantir la scurit et la confidentialit tous les stades de dveloppement. La prestation de services, quant elle, couvre la faon dont le service est gr et excut pour respecter les niveaux contractuels de fiabilit et de support.

2010 Microsoft Corporation. Tous droits rservs.

Ingnierie et dveloppement de services

Les entreprises qui dveloppent des logiciels doivent suivre un processus d'ingnierie et de dveloppement spcifique pour intgrer les fonctions de scurit et de confidentialit dans leurs produits. L'ingnierie et le dveloppement dans le cadre d'un Le prestataire doit suivre un environnement de cloud computing n'chappent pas la processus clair, dfini et rgle, et ncessitent mme des niveaux de scurit et de auditable pour assurer la confidentialit plus levs, que ces application et logiciels scurit et la confidentialit de ses services ds leur soient dits par lquipe de dveloppement d'une entreprise, conception et pendant toute par le prestataire de services en nuage ou par des tiers. Bien leur dure de vie. que les prestataires de services en nuage soient mme de proposer une expertise de scurit consolide, il est galement important de s'assurer que la prservation de la scurit et de la confidentialit est au centre de leurs processus de dveloppement et de maintenance. Microsoft a adopt le cycle de vie de dveloppement de la scurit (ou SDL, Security Development Lifecycle) pour le dveloppement de ses applications et a optimis les tapes dcrites ci-dessous pour les appliquer aux environnements de cloud computing . Exigences. Le but principal de cette tape est d'identifier les objectifs cls de scurit pour obtenir le niveau de scurit maximal tout en limitant les interruptions qui pourraient nuire l'utilisation du logiciel ainsi qu'aux projets et plannings du client. Conception. Lors de cette tape, il est ncessaire de documenter les risques potentiels d'attaque et de modliser les menaces. Implmentation. Au cours de cette tape, l'quipe de dveloppement doit s'assurer qu'elle a bien respect les normes de codage spcifiques et qu'il n'existe aucune vulnrabilit dans le code du logiciel en le testant grce des outils d'analyse. Vrification. Au cours de cette tape, l'quipe doit s'assurer que le code rpond toutes les exigences de scurit et de confidentialit tablies dans les tapes prcdentes. L'quipe doit galement procder une vrification des fonctions de confidentialit du logiciel avant sa distribution au public. Distribution. Une dernire vrification des fonctions de scurit est mene cette tape. Cette vrification permet de dterminer si le produit rpond toutes les exigences de scurit standard et aux exigences de scurit spcifiques au projet avant qu'il ne soit commercialis. Rponse. Une fois le logiciel commercialis, un groupe de scurit doit tre constitu par le prestataire de services, dont la mission est d'identifier, de surveiller, de rsoudre et de rpondre chaque incident de scurit et tout problme de vulnrabilit des logiciels Microsoft dtect. Le prestataire de services doit galement mener un processus de distribution des mises jours de scurit l'chelle de l'entreprise et constituer le point central de coordination et de communication.

2010 Microsoft Corporation. Tous droits rservs.

Lors de l'valuation d'un prestataire de services en nuage, il est ncessaire de le questionner sur les spcificits de la scurit de son processus de dveloppement. Celui-ci doit reflter chacune des tapes gnriques susmentionnes ; celles-ci sont en effet critiques pour la scurit globale du processus de dveloppement. La discussion doit galement porter sur les actions concrtes issues de ce processus de scurit, comme par exemple la frquence laquelle les modles de risque sont mis jour, le champ d'action du groupe de scurit, la manire dont le client est inform des mises jour de scurit, etc.

Prestation de services
Si une entreprise transfre les processus critiques de son activit vers un modle de cloud computing , elle doit transformer ses processus de scurit internes pour permettre aux prestataires de services d'y contribuer. Parmi ces processus, Les capacits du prestataire de sont inclus la surveillance de scurit, l'audit, les tudes services doivent tre alignes approfondies, les rponses aux incidents et la continuit des sur les besoins de scurit et activits. Les dtails de cette collaboration doivent tre dfinis d'audit du client. au cours des discussions prliminaires la prestation entre le client et le prestataire de services en nuage, et prendre en compte les besoins de chacune des parties. Si, pour certaines applications ou certains services, les exigences de scurit sont simples dfinir et appliquer, d'autres types de services (tels que ceux qui mettent en jeu des actifs forte valeur ajoute), doivent satisfaire des exigences beaucoup plus svres. Il s'agit notamment des exigences de scurit physique, des fonctions de journalisation complmentaires et des vrifications plus approfondies de la fiabilit des administrateurs. Tous les contrats de prestation de services en nuage doivent inclure un plan dtaill pour la gestion des problmes de performance et l'analyse approfondie des rseaux et images. Ils doivent galement comprendre les coordonnes des personnes contacter en cas d'interruption de la prestation ainsi que les procdures de restauration. Enfin, ces contrats doivent dfinir clairement les tches de surveillance et d'audit qui devront tre ralises par le prestataire et le tarif correspondant.

Intgrit des points de terminaison

Les discussions inhrentes la scurit du nuage se concentrent souvent davantage sur le service en lui-mme ainsi que sur les pratiques et les niveaux de Il est trs important d'inclure scurit assurs par le prestataire. Cependant, toute les points de terminaison ngligence dans la prise en compte de l'intgralit de la chane dans toutes les questions de de prestation peut entraner des dfaillances dans la scurit relatives aux services en nuage. conception et la prestation du service. Les services en nuage sont dclenchs et termins au sein de l'entreprise ou sur le PC ou le priphrique de l'employ qui les consomme. Bien souvent, lorsque la scurit d'une entreprise est menace, le problme survient sur des stations de travail individuelles et non sur les serveurs principaux. Pour assurer la fiabilit complte des services de cloud computing , l'intgralit des activits doivent tre prises en compte. Ainsi, les utilisateurs seront protgs contre toutes sortes de menaces, dont l'usurpation d'identit, les attaques par piratage de site Web, les attaques par hameonnage et le tlchargement de logiciels malveillants.

2010 Microsoft Corporation. Tous droits rservs.

Pour protger leurs points de terminaison et grer la scurit de leurs informations, la plupart des entreprises disposent aujourd'hui de programmes internes de gestion des risques brids. En outre, leur infrastructure est parfaitement comprise et visible tous les niveaux de l'environnement. Il n'en va pas de mme dans un environnement de cloud computing . En effet, les approches et les mesures de scurit doivent tre adaptes car les services en nuage peuvent dpendre de plusieurs prestataires qui n'offrent pas le mme niveau de visibilit. Il est trs important de comprendre comment les diffrents services s'imbriquent et sont consomms travers les nombreux points de terminaison d'une mme entreprise. Si la scurit des points de terminaison doit tre assure par le prestataire, certaines questions cruciales doivent tre poses : de quelle manire sont appliques les exigences de scurit et de conformit ? De quelle manire les donnes sont-elles protges contre une utilisation abusive ? Le client aura-t-il toujours la possibilit d'utiliser des mcanismes de chiffrement ou de gestion des droits pour se protger contre la perte ou le vol de donnes ? Le service peut-il tre accessible uniquement sur des machines ou des points de terminaison spcifiques ?

Protection des informations

La sensibilit des donnes impliques dans un service constitue un facteur critique pour dterminer si ce service peut tre gr par un prestataire, et, le cas chant, quel niveau de contrle le service sera soumis pour garantir le respect des exigences de L'implmentation d'une conformit tout au long de la transaction. Pour prendre ces classification des donnes dcisions, les entreprises peuvent adopter une approche solide permet de dterminer les donnes qui peuvent tres de classification des donnes, qui leur permettra d'identifier les transmises sur le nuage, dans groupes de donnes lis la transaction et de dterminer les quelles circonstances et sous mcanismes de contrle appliquer en fonction des quel niveau de contrle. circonstances. Les entreprises doivent tre libres de choisir jusqu' quel degr leurs donnes peuvent tre gres et manipules, o qu'elles soient stockes et quel que soit le moyen par lequel elles sont transfres. Cette rgle de base s'applique galement aux environnements sur site actuels. De plus, il est important de prendre conscience des nombreux dfis inhrents la prestation de services en nuage, notamment la souverainet des donnes, l'accs aux informations et le partitionnement et le traitement des donnes. Au fil des annes, de nombreuses rglementations ont t dveloppes dans le domaine de la protection des donnes. Ces rglementations divergent selon les juridictions (espace ou territoire dans lequel les rglementations sont en vigueur). Avec l'apparition du cloud computing , les donnes peuvent tre stockes en dehors de leur territoire d'origine, voire dans plusieurs territoires. L'hbergement de donnes en dehors de la juridiction du client ou sur plusieurs sites peut tre synonyme de problmes de gestion et d'accs lis la question de l'appartenance des donnes ( un individu ou une entit). Certains des services en nuage offerts aujourd'hui visent surmonter ces dfis en autorisant les clients choisir o leurs donnes doivent tre stockes physiquement. Lorsque la gestion et le contrle des informations passent dans d'autres mains, les entreprises peuvent perdre leur capacit protger, rcuprer et transfrer leurs informations. Il est donc important de comprendre qui contrle le systme d'identification et d'autorisations qui permet d'accder aux informations, o les donnes de sauvegarde sont stockes, si le chiffrement des donnes est pris en charge, combien cote la solution de chiffrement (par ex. la perte de fonction)

2010 Microsoft Corporation. Tous droits rservs.

et comment l'accs aux donnes est accord et gr en cas de conflit avec le prestataire de services. Par exemple, le contrat inclut-il des clauses interdisant au prestataire de services de conserver les donnes ds lors que le service est annul ? Enfin, si des donnes sont stockes dans un nuage public , il est possible qu'elles rsident sur des infrastructures utilises galement par d'autres entreprises. Dans ce cas, des mesures strictes de protection des donnes peuvent tre appliques pour s'assurer que les donnes sont partitionnes et traites de faon approprie. Avant de transfrer leurs donnes sur le nuage, il est important que les entreprises comprennent qui a accs leurs donnes et qu'elles sachent si ce risque est acceptable. Elles doivent galement avoir une bonne visibilit sur l'architecture du prestataire de services en nuage et sur les mthodes employes pour protger les machines virtuelles partages contre les diverses formes d'attaques potentielles manant d'autres machines virtuelles excutes sur le mme matriel par des individus malveillants.

Conclusion
Pour pouvoir tirer parti de tous les avantages offerts par le cloud computing , plusieurs lments de scurit doivent tre analyss : les processus, les comptences, la technologie et les mcanismes de contrle. De plus, les entreprises souhaitant utiliser des services en nuage doivent prendre en compte les aspects pratiques suivants : Un programme parfaitement fonctionnel de mise en conformit pour les identits, les donnes et les priphriques doit tre dploy avant d'adopter des services en nuage. Un systme de classification des donnes constitue un lment cl pour l'valuation des risques et la dcision finale d'adoption ou non du cloud computing . Ainsi, les donnes faible risque peuvent tre injectes dans le nuage avec moins de risque que les donnes fort impact, qui ncessitent des contrles de scurit et de confidentialit plus stricts. Le choix du modle de dploiement (priv, communautaire ou public) doit se baser sur la classification des donnes, les exigences de scurit et de confidentialit ainsi que sur les besoins mtier. Une fois le cloud computing totalement intgr aux processus de l'entreprise, celle-ci a encore besoin d'une quipe interne efficace pour grer les exigences de scurit et de conformit en collaboration avec le ou les prestataires de services en nuage. La transparence, les mcanismes de mise en conformit et les capacits d'audit constituent des critres cls pour l'valuation des prestataires de services en nuage. Les entreprises doivent implmenter une mthodologie de cycle de vie de dveloppement de la scurit ddie aux applications hberges sur le nuage et pouvoir valuer le degr d'adhsion du prestataire de services en nuage un processus similaire. Les noms d'utilisateur et mots de passe habituellement utiliss dans les systmes de gestion des accs doivent tre remplacs par des informations d'identification robustes. Un systme de contrle du cycle de vie des informations doit tre mis en place pour en autoriser l'accs certaines personnes uniquement, en fonction de priodes prdfinies et ce, quelle que soit la provenance des donnes.

2010 Microsoft Corporation. Tous droits rservs.

Le contrle des accs aux donnes doit tre gr au-del des limites de l'entreprise, entre les diffrents dpartements, fournisseurs externes, gouvernements et clients. Une telle amplitude ne doit pas nuire la gestion des accs et ce, mme lorsqu'un client ne gre pas directement l'identit ni les informations d'authentification.

Documentation connexe
Cloud Security Alliance Guide de scurit pour les domaines critiques du Cloud computing (en anglais) : http://www.cloudsecurityalliance.org/csaguide.pdf ENISA Structure de protection des informations du cloud computing (en anglais) : http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-information-assuranceframework/ Scurisation de l'infrastructure en nuage de Microsoft (en anglais) http://www.globalfoundationservices.com/security/documents/SecuringtheMSCloudMay09.pdf Questions de scurit pour les applications clientes et en nuage (en anglais) http://go.microsoft.com/?linkid=9704049 Scurit de la suite Business Productivity Online Suite de Microsoft Online Services http://go.microsoft.com/?linkid=9671260

2010 Microsoft Corporation. Tous droits rservs.