[infographie] Comment optimiser la gestion des déchets ?
sécurité du cloud... un nuage à multiples facettes
1. sécurité du Cloud
…un nuage à multiples facettes
CERT-IST – Forum 2013
12/06/2013
Jean-François AUDENARD - @jeffman78
Cloud Security Advisor - Orange Business Services
2. questions from the field
“please answer our “80-100”
questions” form to explain what
security controls are in place and
how they’ve been implemented ”
- a large French company in the hotel services
- a important company in the production of TV programs/shows
“our internal policy requires a
penetration test of your cloud
infrastructure/services before using
them”
- a French company in the energy distribution sector
- a worldwide company in the oil & gas industry
“how is secured my corporate
IPVPN network when connecting it
together with VPN Galerie ?”
“how are secured data stored in your
cloud platforms from Orange
administrators prying eyes ?”
- a European company in the public works sector
- a service provider in the telecom industry
“we require our data to stay in France and
to be sure that they won’t be impacted by
the Patriot-Act”
- a French company in the industry
2
6. 6
IaaS & PaaS
La DSI poussent les
usages
Démarche unifiée car
peu de fragmentation
des fournisseurs
Nécessité de
promouvoir le
catalogue de services
Interne auprès des
directions
Mise en œuvre
possible en interne
DSI : au volant
SaaS
Ce sont les directions
métiers qui poussent
devant le fait
accompli (Shadow-IT)
Solutions internes
rarement
envisageables
Sécurisation
compliquée
DSI : siège passager
un monde bipolaire
7. Safe Harbor
7
Privacy
Program
Verification
Amazon None In house
Google None In house
LinkedIn TRUSTe TRUSTe
Microsoft TRUSTe In house & Third Party
SalesForce TRUSTe Third Party – (TRUSTe)
Dropbox None Third Party (TRUSTe)
http://en.wikipedia.org/wiki/TRUSTe
8. entre vie privée et intelligence économique
8
FISA
1978
Patriot-Act
2001 (2006)
FISAA
2008 (2012)
?
9. données à caractère personnel
la tendance EU
9
Déclaration des brèches
Vers un équilibrage Contrôleur/Processeur
Contrôleur
Analyse de risque en amont
Stratégie de sécurité formalisée dans contrat
Processeur
Co-responsable si pas en mesure de montrer
que ce qui était demandé a été fait
11. construire ou souscrire ?
niveau de partage
infrastructuredédiée
+ -
-
+
maitrisedelasécurité
-
+
+ -
Private cloud
Public Cloud
risques potentiels
Community
cloud
Hybrid cloud
11
12. répartition et transparence
Définir le niveau de
management
Préciser les rôles et
responsabilités (RACI)
Contractualiser
Procéder à sa mise en œuvre
En assurer le pilotage &
reporting
IaaS « Fully Managed »
Level of responsability
Datacenter
Network & servers
Hypervisor
VM
OS
Application server
Application
Managed by the provider
Managed by the customer
1
1 « Pure » Iaas
2
2 Iaas « OS managed »
3
3
IaaS « AppSvr managed »
4
4 IaaS « Fully Managed »
12
13. Standardisation - ISO
13
ISO/IEC 27017
Guidelines for information security controls
associated with cloud computing services by
providing:
- additional implementation guidance for relevant
information security controls specified in ISO/IEC
27002, and
- additional controls and implementation guidance
that specifically relate to cloud computing services.
ISO/IEC 27018
Code of practice for data protection
controls for public cloud computing
services
(Code of practice for PII protection in public
clouds acting as PII processors)
14. CSA – STAR Certification
14
The open certification framework is structured on 3 LEVELs of
TRUST, each one of them providing an incremental level of
visibility and transparency into the operations of the Cloud Service
Provider and a higher level of assurance to the Cloud consumer.
17. 17
IaaS – Challenges & leviers
Criticité des accès réseau Redondance, interco privée
Elasticité, protection contre DDoS
Portabilité/réversibilité
Format ouverts
Disponibilité d’API
Clauses contractuelles
Conformité/transparence tests d’intrusion
Auditabilité, certifications
Sécurité périmétrique
Inter-VM threats
Interfaces de gestion (www/API)
Firewalling & IPS virtualisés/phys.
Accès aux logs (Mgt / flux)
Contrôle d’accès, confidentialité
Fédération d’identité
Authentification double facteur
Accès aux logs
Chiffrement « Full VM »
18. sécurité IaaS – 3 approches (1/3)
18
FW
Tenant A
Switch(s)/Routeur(s)
Firewall matériel
Contextes virtualisés
Interfaces réseau
FW
Tenant B
Management
Interfaces réseau
vswitch
Tenant A
VM-1
NIC
VM-2
NIC
VM-3
NIC
Tenant B
VM-1
NIC
VM-2
NIC
…
Virtualisation
N N N N N N
vswitch
Hyperviseur
Virtualisation
Réseau
physique
@
firewall matériel avec contextes virtualisés
19. sécurité IaaS – 3 approches (2/3)
19
Switch(s)/Routeur(s)
Interfaces réseau
vswitch
Tenant A
VM-1
NIC
VM-2
NIC
VM-3
NIC
Tenant B
VM-1
NIC
VM-2
NIC
…
vswitch
Hyperviseur
Virtualisation
Réseau
physique
@
VM
Firewall
N N N
Hyperviseur
appliance virtuelle firewall
20. sécurité IaaS – 3 approches (3/3)
20
Switch(s)/Routeur(s)
Interfaces réseau
vswitch
Tenant A
VM-1
NIC
VM-2
NIC
VM-3
NIC
Cloud Provider
vswitch
Hyperviseur
Virtualisation
Réseau
physique
@
Hyperviseur
VM
Firewall
N N NN…N
Firewalling intégré à l’hyperviseur
22. éléments essentiels d’un contrat cloud
France Telecom confidential22
Transparence de la
stratégie sécurité Disponibilité et
redondance
Clauses de
réversibilité
sécurité des
consoles de
gestion et API
IAM
Accès réseaux
are you
cloud ready ?
localisation
géographique &
nationalité du CSP
gouvernance
Intégration de la sécurité
dans le contrat
23. le coin du documentaliste
23
données à caractère personnel
contractualisation
appréhender les risques, définir sa
stratégie et la dérouler
Cloud Computing
Risk Assessment
CIGREF
26. Build security-in
from
the start of the
project
Train your team
and educate
others to cloud
security
Integrate security in
existing processes
Get intimate with
cloud IT & ops
Take network & IT
convergence as
an opportunity
Select your compliance
frameworks & stick with
them
6 recommandations clefs
26
27. la sécurité au coeur d'un projet Cloud
27
Security Managers
review changes
enforce the policy
manage incidents
ensure compliance
lead the 27K ISMS
Cloud Security Architects
own security design
define mitigation measures
validate implementation
ensure manageability
Governance
define security strategy
global oversight
security risk
assessment
risks mitigation plan
high-level risks assessment
legal
obligations
assessment
design
thinkcloud security strategy definition
security impl.
assistance security
reviewssecurity penetration
tests
build
&
deploy
operational security &
continuous improvement
operate
build