Dossier Gartner (1ère partie)
Evaluer et surveiller la sécurité des clouds public et privé

mardi 9 novembre 2010

Les impératifs et capacités en matière d'évaluation et de surveillance de la sécurité varient selon que l'environnement de cloud computing est privé ou public, et selon que les services consommés relèvent de la couche de l'infrastructure ou de la couche des applications. L'entité en charge de la sécurité doit s'assurer que les impératifs d'évaluation et de surveillance sont définis et que l'environnement de cloud computing peut fournir les capacités requises pour satisfaire ces impératifs.

Constat
- Les caractéristiques distinctives d'un environnement de cloud computing privé sont que l'infrastructure est détenue et exploitée en interne, et que les systèmes peuvent être dimensionnés et activés de façon dynamique.
- Les caractéristiques distinctives d'un environnement de cloud computing public qui sont les plus importantes pour l'évaluation et la surveillance de la sécurité sont que l'infrastructure n'est pas détenue par le client et que le service est dispensé via une infrastructure partagée.

Recommandations
- S'agissant des environnements de cloud computing privé, les entreprises doivent s'assurer qu'une évaluation des configurations et des vulnérabilités, avant la mise en production, est intégrée au processus de dimensionnement du système afin de garantir que les derniers correctifs logiciels ont été appliqués au système, que celui-ci ne contient pas de vulnérabilités critiques et qu'il est configuré avec les politiques de sécurité appropriées.
- S'agissant des environnements de cloud computing public, les entreprises devront s'en remettre aux attestations du prestataire de services ou aux résultats récapitulatifs des audits périodiques effectués par des tiers en tant que validation des contrôles de l'infrastructure informatique du prestataire de services.
- Incluez les impératifs de surveillance de la couche d'applications et les capacités du prestataire de services dans les décisions d'externalisation du cloud computing. S'il existe un impératif de surveillance, il convient de demander au prestataire de services de générer un flux d'audit pour les utilisateurs de cette entité, afin que le client puisse l'intégrer à son déploiement existant de gestion des informations et événements de sécurité (SIEM ou Security Information and Event Management) de sorte à obtenir une vue unifiée.

CE QU'IL FAUT SAVOIR
L'entité en charge de la sécurité doit définir les impératifs d'évaluation et de surveillance de la sécurité au niveau de l'infrastructure et des applications pour les services de cloud computing privé et public. Elle doit s'assurer que les environnements de cloud computing peuvent fournir les capacités requises pour satisfaire ces impératifs.

ANALYSE
Les entreprises qui adoptent des infrastructures et applications basées sur le cloud computing doivent définir les impératifs d'évaluation de la sécurité et de surveillance des activités, évaluer les capacités de l'environnement de cloud computing envisagé, et mettre en oeuvre les fonctions nécessaires. Le niveau de surveillance et d'évaluation de la sécurité doit reposer sur les impératifs de conformité aux réglementations et de sécurité des données et applications qui seront intégrées à l'environnement de cloud computing. Les impératifs varieront grandement selon les données et applications spécifiques, selon que l'infrastructure de cloud computing est privée ou publique, et selon que le service de cloud computing réside au niveau de la couche de l'infrastructure ou des applications.

Cloud computing privé

Bon nombre des aspects de l'évaluation et de la surveillance de la sécurité pour les environnements de cloud computing privé ne sont pas différents de ceux concernant l'informatique traditionnelle ; néanmoins, des composants supplémentaires doivent être évalués et surveillés, et les systèmes peuvent être dimensionnés et activés de façon dynamique.

Comme l'environnement est détenu et exploité en interne (ou, à tout le moins, dédié à une seule entreprise), il doit être possible d'orchestrer l'environnement de cloud computing avec les technologies standard de l'entreprise en matière d'évaluation des vulnérabilités, d'évaluation des configurations et de surveillance de la sécurité.

Un système virtuel actif sera visible et accessible aux fonctions standard d'évaluation des configurations et des vulnérabilités du réseau. Un système correctement configuré doit également inclure d'éventuels composants requis basés sur des agents. De même, les flux d'événements qui sont générés par un système virtuel actif ne sont guère différents de ceux des systèmes qui sont déployés sur du matériel dédié.

Ce qui est différent
Les principales différences dans un environnement de cloud computing privé sont les suivantes :
- l'hyperviseur et les environnements de gestion virtuels sont de nouveaux composants qui doivent être configurés, administrés et surveillés de façon sécurisée ;
- les systèmes peuvent être dimensionnés de façon dynamique et être activés après une longue période de dormance. Les processus de gestion des configurations et de contrôle des changements qui étaient orientés sur le dimensionnement physique peuvent alors être contournés ;
- le trafic réseau dans un environnement virtuel peut transiter via des connexions virtuelles qui contournent l'infrastructure réseau et de sécurité physique.

Ce qu'il faut faire
L'entité en charge de la sécurité doit définir des politiques de configuration de la sécurité pour l'hyperviseur et les environnements de gestion virtuels, et elle doit assurer une surveillance à des fins de conformité. Les entreprises doivent s'assurer qu'une évaluation des configurations et des vulnérabilités, avant la mise en production, est intégrée au processus de dimensionnement du système afin de garantir que les derniers correctifs logiciels ont été appliqués à l'instance du système virtuel, que celle-ci ne contient pas de vulnérabilités critiques et qu'elle est configurée avec les politiques de sécurité appropriées.

Un système virtuel peut être inactif pendant une longue période avant son activation. Les évaluations de la sécurité doivent être effectuées avant d'autoriser l'accès réseau complet à un système qui a été dormant pendant une période où de nouvelles vulnérabilités ont été révélées afin de vérifier qu'il ne lui manque aucun correctif crucial et qu'il n'est pas exposé à des vulnérabilités récemment découvertes. Le nouveau système peut également nécessiter une surveillance, auquel cas il faudra apporter des changements de configuration et/ou augmenter la capacité de l'infrastructure de surveillance de la sécurité et de gestion des fichiers journaux afin de prendre en compte les connexions du nouveau système et du réseau virtuel.

L'hyperviseur entraîne également de nouveaux impératifs de surveillance. Une surveillance des changements de configuration et de l'activité des administrateurs au niveau de l'hyperviseur est requise. Les impératifs d'intégration de la surveillance et de l'évaluation de la sécurité pour les systèmes virtuels doivent être définis dans les processus internes d'activation et de dimensionnement du cloud computing d'une entreprise. Toutefois, il doit aussi exister des notifications automatisées à l'entité en charge de la sécurité ou (mieux encore) un appel automatisé des évaluations des vulnérabilités, configurations et correctifs logiciels lorsque de nouveaux systèmes virtuels sont dimensionnés ou lorsque des images virtuelles existantes sont activées.

La notification automatisée peut également entraîner des changements dans l'infrastructure de surveillance pour ajouter dynamiquement le nouveau système, le cas échéant. Un déclencheur automatisé peut provenir de l'intégration à la couche de gestion des machines virtuelles (par exemple, vCenter dans un environnement VMware), car le dimensionnement et l'activation d'images sont des événements qui sont orchestrés via cette couche. Le contrôle d'accès au réseau peut également être utilisé pour effectuer une évaluation basique de la configuration de sécurité lorsque les systèmes virtualisés se connectent au réseau afin de s'assurer que les processus de dimensionnement fonctionnent comme prévu.

Demain 2^e partie :
Le cloud public, infrastructure et applications