Cloud Computing : Problèmes de sécurité de type Cloud

Alors que garantir la sécurité des données demeure une préoccupation essentielle, une infrastructure d'informatique en nuage peut réellement augmenter votre sécurité globale.

VIC (J.R.) WINKLER

Adapté de « sécurisation le nuage du"(Syngress, une empreinte du Elsevier)

Bien que certains d'entre vous peuvent toujours abritent des préoccupations approfondies sur le cloud computing à partir d'un point de vue sécurité, qui est essentiellement une conclusion inexacte. Avec ses qualités inhérentes cloud computing a énorme potentiel pour les organisations à améliorer leur sécurité informations globale.

Il existe de nombreuses raisons à cela. Le modèle de nuage permet le retour d'un contrôle efficace et d'opération professionnelle sur les ressources informatiques, de traitement et d'informations. En vertu de l'échelle du nuage public, locataires et les utilisateurs peuvent obtenir une meilleure sécurité car le placement du fournisseur dans la réalisation d'une meilleure sécurité coûte moins cher par consommateur.

Un nuage privé offre les avantages de sécurité importantes pour les mêmes raisons. Il existe cependant des inconvénients : vous aurez l'avantage sans investissement, et pas chaque modèle est approprié pour toutes les organisations. Indépendamment de quel modèle de prestation de services ou de modèle de déploiement que vous choisissez, vous transférerez certain degré de contrôle pour le fournisseur de nuage. Ceci est complètement raisonnable si le contrôle est géré de manière et à un coût qui répond à vos besoins.

Suivi de sécurité

Il existe plusieurs domaines de préoccupation en matière de cloud computing :

• Disponibilité du réseau : vous pouvez réaliser uniquement la valeur de type cloud computing lorsque votre connectivité réseau et bande passante répondent à vos besoins minimaux. Le nuage doit être disponible lorsque vous en avez besoin. Si ce n'est pas le cas, les conséquences ne diffèrent pas une attaque par déni de service.
• Viabilité du fournisseur de nuage : fournisseurs nuage étant relativement nouveau pour l'entreprise, il y a des questions relatives à leur viabilité et l'engagement. Ce problème approfondit lorsqu'un fournisseur requiert locataires utiliser les interfaces propriétaires, conduisant à tenant de verrou.
• Reprise après sinistre et continuité d'activité : locataires et les utilisateurs nécessitent que leurs opérations et services seront poursuivra si environnement de production du fournisseur de services cloud est soumis à un incident de confiance.
• Incidents de sécurité : le fournisseur doit informer les locataires et les utilisateurs de toute violation de sécurité. Locataires ou les utilisateurs peuvent nécessiter la prise en charge du fournisseur pour répondre à l'audit ou résultats de l'évaluation. En outre, un fournisseur peut proposer pas un appui suffisant aux locataires ou les utilisateurs pour la résolution des enquêtes.
• Transparence : lorsqu'un fournisseur de services cloud n'expose pas les détails de sa propre politique interne ou de la technologie, les locataires ou les utilisateurs doivent approuver les revendications de sécurité du fournisseur. Locataires et les utilisateurs peuvent toujours exiger certains transparence par les fournisseurs à la manière dont ils gèrent des incidents de sécurité, confidentialité et sécurité nuage.
• Perte de contrôle physique : dans la mesure où les utilisateurs et des locataires de perdre le contrôle physique sur leurs données et applications, cela donne lieu à un éventail de questions :
  • Confidentialité des données : avec nuages public ou de la Communauté, données peut ne pas constituent le même système, déclencher plusieurs problèmes juridiques.
  • Contrôle de données : données pourraient être entrant dans le fournisseur de diverses façons avec des données appartenant à d'autres personnes. Un administrateur locataire a limité contrôler la portée et la responsabilisation au sein d'une Infrastructure publique comme une implémentation de Service (IaaS) et encore moins avec une plate-forme en tant que Service (PaaS) une. Locataires doivent avoir confiance leur fournisseur offre un contrôle approprié, tout en reconnaissant la nécessité d'adapter leurs attentes en matière de degré de contrôle est raisonnable au sein de ces modèles.
  • Nouveaux risques et vulnérabilités : il est à craindre que cloud computing apporte de nouvelles catégories de risques et vulnérabilités. Il existe de nouveaux risques hypothétiques, mais les exploits réels seront largement fonction de l'implémentation du fournisseur. Tous les logiciels, matériels et équipements réseau sont soumis à dénicher de nouvelles vulnérabilités. En appliquant une sécurité multiniveau et des financements des processus opérationnels, vous pouvez protéger un nuage contre les attaques courantes, même si certains de ses composants sont intrinsèquement vulnérables.
  • Juridique et conformité réglementaire : il peut être difficile, voire irréaliste d'utiliser les nuages publics si vos données sont soumise à restrictions légales ou de la conformité réglementaire. Vous pouvez vous attendre des fournisseurs pour construire et certifient les infrastructures de type cloud pour répondre aux besoins des marchés réglementés. Obtenir la certification peut être difficile en raison de nombreux facteurs non techniques, y compris l'état actuel des connaissances générales nuage. Mieux pratiques de cloud computing englober une plus grande portée, cette préoccupation doit disparaître.

Bien que le modèle public cloud est adapté à de nombreux besoins non sensibles, le fait que le déplacement des informations sensibles dans un nuage non certifié pour ce type de traitement introduit risque inapproprié. Vous devez être parfaitement limpide sur certaines méthodes conseillées : il est déconseillé d'utiliser un nuage public pour le traitement des données sensibles, critiques ou propriétaires. Il est coûteux et excessive aux systèmes de charge non sensibles et à faible impact avec assurance de haute sécurité. Enfin, il est irresponsable faire disparaître le cloud computing comme étant non sécurisée par nature ou de prétendre qu'il soit plus sécurisé que les offres concurrentes.

Suivez une évaluation des risques raisonnables lors du choix d'un modèle de déploiement de nuage. Vous devez également vous assurer que des contrôles de sécurité approprié est déjà en place. La liste de vos problèmes de sécurité afin que vous pouvez faire disparaître ou les valider et contrer les contrôles de compensation.

Le rôle de la virtualisation

Que vous considérez les problèmes de sécurité autour de cloud computing, vous avez également à prendre en compte les problèmes de sécurité autour de la virtualisation et son rôle dans le cloud computing. Vous devez comprendre comment la virtualisation est implémentée dans une infrastructure de nuage.

Commençant au niveau de notre objectif, une machine virtuelle (VM) est généralement un système d'exploitation standard capturée dans une image système entièrement configuré et prêt sur le plan opérationnel. Montants de cette image à un snapshot d'un système en cours d'exécution, y compris un espace dans l'image pour le stockage du disque virtuel.

Prise en charge de fonctionnement de cette machine virtuelle est une forme quelconque de l'activation de fonction. Il s'agit généralement d'un hyperviseur qui représente elle-même à la machine virtuelle que le matériel sous-jacent. Les implémentations de virtualisation différentes varient, mais en règle générale, il existe plusieurs types :

• Type 1: il est également appelé « native » ou « bare metal » de la virtualisation. Elle est implémentée par un hyperviseur qui s'exécute directement sur matériel vierge. Systèmes d'exploitation invité exécuté sur le haut de l'hyperviseur. Exemples Microsoft Hyper-V, Oracle VM, LynxSecure, VMware ESX et IBM z/VM.
• Type 2: il est également appelée la virtualisation hébergée. Cela a un hyperviseur en cours d'exécution en tant qu'application au sein d'un système d'exploitation hôte. Machines virtuelles s'exécutent également au-dessus de l'hyperviseur. Exemples : VirtualBox d'Oracle, parallèles, Microsoft Windows Virtual PC utilisera la, Fusion de VMware, VMware Server, Citrix XenApp et Citrix XenServer.
• Système d'exploitation mis en œuvre la virtualisation : il est implémenté dans le système d'exploitation lui-même, en tenant lieu de l'hyperviseur. Des exemples Solaris Containers, prisons BSD, OpenVZ, Linux-V Server et Parallels Virtuozzo conteneurs.

Il existe des problèmes de sécurité intéressants autour de l'utilisation de la virtualisation, avant même que vous envisagez d'utiliser pour le cloud computing. Tout d'abord, en ajoutant chaque nouvelle machine virtuelle, vous ajoutez un système d'exploitation supplémentaire. Cela implique uniquement des risques de sécurité supplémentaires. Chaque système d'exploitation doit être convenablement corrigée, maintenu et contrôlé comme il convient par son utilisation prévue.

Second, détection des intrusions réseau typique ne fonctionne pas correctement avec les serveurs virtuels de coexister sur le même hôte. Par conséquent, vous devez utiliser des techniques avancées pour surveiller le trafic entre les machines virtuelles. Lorsque vous déplacez des données et des applications entre plusieurs serveurs physiques pour l'équilibrage de charge ou de basculement, systèmes de surveillance du réseau ne peut pas évaluer et reflètent ces opérations pour qu'ils sont. Cela est exagéré lorsque vous utilisez le clustering en conjonction avec la virtualisation.

Troisièmement, à l'aide de la virtualisation exige des approches de gestion différents pour de nombreuses fonctions, y compris la gestion de la configuration, de gestion des capacités et de placement de la machine virtuelle. De même, vos problèmes d'allocation de ressources peuvent rapidement devenir des problèmes de performances. Par conséquent, les pratiques de gestion des performances raffinée sont critiques pour l'exécution d'un environnement virtualisé sécurisé, efficace.

VIC (J.R.) WINKLER est consultant associer au Booz Allen Hamilton, fournissant des conseils techniques principalement aux États-Unis clients du secteur public. Il est une sécurité de l'information publiée et chercheur en sécurité cyber, ainsi qu'un expert en détection d'intrusion/anomalie.

© 2011 Elsevier Inc. Tous droits réservés. Imprimé avec l'autorisation de Syngress, une empreinte de Elsevier. Copyright 2011. « Sécurisation de nuage » par Vic (J.R.) Winkler. Pour plus d'informations sur ce titre et d'autres ouvrages similaires, visitez elsevierdirect.com.

Contenu associé

• Sécurité de type cloud : Partage en toute sécurité des Solutions informatiques
• Microsoft Forefront : Sécuriser l'accès à vos Services Cloud
• Cloud Computing : Tête Off dans le nuage