La sécurité du Cloud entre mystification et réalité

Cette année sera celle de la sécurité avec l’arrivée de la RGPD et de la certification HDS. Ce vilain mot Cyber-Sécurité, aussi abrégé en Cyber, est omniprésent et les RSSI n’ont jamais été autant mis en avant. Le secteur est tellement demandé que les personnes compétentes se font rares, tout comme c'est le cas pour les experts du Cloud. Et justement, cet article va traiter du cas de la sécurité dans le Cloud. Il est le premier d’une longue série orientée SecOps et FinOps.

Un peu d'histoire

cloud-offer

Photo by lionel abrial

Amazon est une société basée sur un marketplace bien connu, qui a ressenti une croissance exponentielle et mondiale, depuis sa création en 1994. Pour faire face à cette montée en charge, Amazon a dû faire appel au meilleur de l’IT, de l'ingénierie et des mathématiques sans parler des financiers et des juristes. Il y a notamment beaucoup d’anciens de Sun Microsystems qui ont rejoint l’entreprise de Seattle après le rachat par Oracle. Un tel niveau de compétences et de moyens financiers a permis à l’actuel marchand numéro 1, d’avoir (d’après Gartner) la meilleur solution de Cloud. En 2006, Jeff Bezos décide de vendre son IT comme un service, avec son premier service SQS, suivi de S3 et des fameuses EC2.

Google, quant à lui, a mis un peu plus de temps à démarrer avec une offre qui vient rapidement prendre des parts de marché à Microsoft et Amazon. De plus Google Cloud Platform (GCP) semble être le Cloud Public le plus attractif pour les petits budgets.

Mais le Cloud Public n’a pas que des admirateurs comme vous allez le constater.

Le grand débat

En 2018, le Cloud Public fait encore peur. Un nombre considérable d’entreprises s'inquiètent de l’aspect sécurité, en particulier au niveau des données. Peur infondée ou préoccupation réelle ? Comment faire la part du vrai dans cet univers en constante évolution ? Je vais essayer de vous présenter ma vision du Cloud Public - partagée par bien d'autres architectes - basé sur mes années d’expériences, aussi bien techniques que commerciales. J’ai eu la chance de réaliser l’architecture de dizaines d’infrastructures de grandes envergures : on-premises, Cloud Privé et surtout Public.

Pour la partie Cloud Public, je prendrai en exemple essentiellement le cas d’AWS. J’ai en effet plus de légitimité en tant que certifié et utilisateur quotidien. J'intégrerai toutefois quelques références sur les Clouds GCP et Azure.

Tout d’abord, j’aimerais vous présenter quelques remarques que j’ai pu entendre et qui résume bien cette peur du Cloud Public.

Les arguments

Sur le marché de l’infrastructure, le Cloud Public, on l’adore (surtout les techos) ou on le déteste. Bien souvent et fort malheureusement, on se rend compte que les arguments anti-Cloud se basent sur tout sauf de la technique :

  • Amazon est mon concurrent, je ne vais pas en plus leur donner mon argent.
  • Mes données sont accessibles au provider.
  • Un gouvernement étranger est maître de mes données.
  • Une infrastructure dans le Cloud est beaucoup plus facilement piratable.
  • Je ne sais pas où sont mes données.
  • Mon on-premises [legacy] est beaucoup plus sécurisé que n’importe quel Cloud Public.
  • etc... dont des arguments à la 1984 de G.Orwell

Ces arguments peuvent tous être discutés, que ce soit d'un point de vue technique ou juridique. Ce n'est cependant pas le but de cet article. Je vais me contenter de vous présenter, dans un premier temps, l'état de l’art. Tout en gardant en tête que pour un nombre très limité de cas, le Cloud n’est vraiment pas la bonne solution.

Regardons de plus près l’intérêt des Cloud Providers pour la sécurité.

Que pense les Cloud Providers de la sécurité ?

Les priorités d’AWS

La priorité numéro 1 d’AWS est la sécurité et sa préocupation principale est la confiance clients. Rappelons-nous la citation de Jeff Bezos qui pour moi résume la situation : “Nous sommes à un incident de la faillite”. En regardant plus en détail, on se rend compte que tout est pensé sécurité et qu’elle n’a pas été ajoutée juste avant de rendre le service disponible :

  • isolation réseau ;
  • gestion des autorisations très poussée ;
  • chiffrement systématique ;
  • gestion des clés avec rotation et des certificats ;
  • règle de sécurité fermée par défaut ;
  • authentification à multiples facteurs ;
  • etc ....

Nous sommes bien dans le Secure by Design ! Sans parler de la panoplie de services de sécurité fournis par AWS (WAF, Shield, Inspector, Trust Advisor, Config,...). Nous aurons le temps de nous attarder plus tard sur ces différents services.

cloud-offer

Google suit le mouvement

L'expérience de Google en termes de sécurité ne fait aucun doute et tout comme le leader du Cloud, il propose une multitude d’options et d’outils orientés sécurité :

  • authentification à multiples facteurs ;
  • chiffrement des données au repos ;
  • détection d’intrusions ;
  • analyse de sécurité ;
  • etc ....

Comme pour AWS, Google propose un grand nombre de livres blancs qui couvrent la sécurité du Cloud dans son ensemble.

Le centre de sécurité d’Azure

Azure propose une solution unifiée pour la gestion de la sécurité. Son gros avantage est que cet outil couvre à la fois le Cloud et l’on-premises.

Conformité et réglementation

Comme toujours, Amazon voit en grand et consacre beaucoup d’énergie sur le plan de la conformité. Il existe même une région AWS (Secret Region) dédiée aux institutions gouvernementales orientées défense et militaire.

Je tiens à lister quelques certifications de conformités obtenues par AWS et GCP, et bien entendu vous en profitez par défaut :

Les entreprise françaises ont cette année une préocupation particulière sur deux nouvelles réglementations.

RGPD et HDS

Côté RGPD, tous les services AWS sont prêts ! Pouvez-vous en dire autant ?
Je vous laisse découvrir les pages dédiées par :

La protection des données de santé est maintenant couverte par la fameuse norme HDS. AWS est en cours de conformité avec cette certification en sachant que cela fait déjà quelques années qu’Amazon est conforme à la législation de santé américaine.

Le partage des tâches

Les contrats de partage des responsabilités fournis par Azure et AWS résument parfaitement l’esprit Cloud, qui fournit à ses utilisateurs tous les outils nécessaires pour bénéficier du plus haut niveau de sécurité possible, avec la plupart du temps une facilité déconcertante (une case à cocher pour chiffrer sa base de données, par exemple sur AWS RDS).

AWS
AWS responsability

AZURE
Azure responsability

Nous comprenons bien, ici, que le niveau de sécurité et de disponibilité de nos infrastructures dans le Cloud dépendent des compétences de l’architecte technique en charge, C’est à lui d’utiliser les services de sécurité fournis par le Cloud Provider.
Je ne répéterai jamais assez qu’il est indispensable de s'entourer de professionnels certifiés quand vous tentez l’aventure du Cloud Public. Car le risque réel de sécurité, mais aussi financier, dépend de la variable humaine et de son actuel niveau de compétences. Je peux prendre en exemple l’affaire du moteur de recherche Gray Hat warfare, qui référence des documents personnels, dont des données de santé, rendus public par un mauvais usage du service S3. Ce service offre pourtant un haut niveau de sécurité en proposant le chiffrement en un clic et qui, surtout, est privé par défaut !

Malheureusement même un Solution Architect certifié, avec une longue expérience, n’est pas à l’abri d’une erreur. Plus votre infrastructure est importante en taille, plus le risque d’erreur augmente. La question que nous pouvons nous poser est : Existe-t-il un moyen de réduire le risque d’erreur humaine ?

Comment réduire le risque humain

Quand nous savons que le risque de sécurité principal provient du facteur humain, nous comprenons qu’automatiser les opérations réduit le risque de sécurité.
Avec l'émergence des solutions Cloud, sont apparus des outils DevOps liés aux infrastructures comme l’outil Terraform de HashiCorp ou CloudFormation d’AWS.
D’autres outils comme GCP Cloud Security Command Center, AWS Trust Advisor, AWS Config et le désormais célèbre Security Monkey permettent de vérifier la conformité de votre infrastructure.

devops-exemple

Aujourd’hui, nous pouvons complètement automatiser la création d’une infrastructure (réseaux, serveurs, règles de sécurités, …) via des lignes de codes. Versionner ce code avec des outils comme Git ou CodeCommit pour AWS. Et pourquoi pas utiliser des applications d'intégrations continues telles que Jenkins pour déployer un environnement entier en un clic de souris.

Je pense qu’atteindre un tel niveau d’automatisme, et donc indirectement de sécurité, est une utopie dans un environnement on-premises. Malheureusement nous ne sommes pas toujours en position de penser Cloud-first.

Infrastructure on-premises, Cloud Public ou hybride

Pour les nouveaux projets nous pouvons être séduits par le Cloud-first, surtout si nous ne disposons pas de nos propres centres de données. Dans un contexte “grande entreprise” le choix est beaucoup plus délicat et les politiques internes peuvent être une barrière. Il faut donc disposer des bons arguments pour justifier de son utilisation.
Pour le cas des migrations, la réponse se complexifie encore car les plateformes hybrides (on-premises + Cloud) peuvent paraître complexes à sécuriser.

On-premise VS Cloud Public

Si nous partons du principe :

  • Que pour des raisons de coûts, la majorité des centres de données sont mutualisés du type Cogent, Equinix, Iliade ou SFR.
  • Qu’ils sont donc accessibles physiquement par un grand nombre de personnes.
  • Que l’infrastructure est montée avec du matériel hétérogène en termes de constructeurs et d'âges, avec une installation réseaux maison.
  • Que quand le NOC (centre d'opérations du réseau) n’est pas géré par des équipes de prestataires tournants tous les 2 ans, il est fortement affaibli par le turn-over inévitable en ce moment dans l’IT.
  • Que l’automatisation de l’ensemble de l’infrastructure est impossible ou partiellement réalisée avec des scripts bash.
  • Que dans la majorité des cas les outils de sécurité sont quasi-inexistants (sauf le bon vieux firewall).

Pour toutes ces raisons, je suis persuadé que le Cloud est plus sûr que la grande majorité des infrastructures on-premises et probablement aussi sécurisable que les centres de données les plus haut de gamme.

Les solutions d'hybridation

Les transformations numériques vers le Cloud Public nécessitent forcément une hybridation le temps de la migration. Cette hybridation peut être rapide, quelques semaines, comme beaucoup plus longue pour des applications legacy.

AWS répond présent en proposant une ribambelle de services (Direct Connect, Import/Export, SnowBall, …). Google a choisi de couvrir les plateformes hybrides en s’associant avec Cisco. Ces deux géants du Cloud ne sont pas les seuls à avoir compris l’intérêt de l’hybridation, Azure axe sa stratégie commerciale sur cette offre.

Encore faut-il pouvoir sécuriser les données en transit entre l’on-premises et le Cloud. Rien de plus efficace qu’un lien direct associé à une solution VPN pour remplir cette condition (AWS Direct Connect par exemple)

Pour aller plus loin avec AWS

Régionalisation des données

aws-region
Concernant la localisation de votre infrastructure, AWS est le seul du top 3 Cloud Providers à garantir la localisation de vos données. Avec un réel effort sur le positionnement des régions AWS, dont l’ouverture de la Région Paris pour les besoins de nationalisation des données (HDS, restriction légales, …).

L’IA dans tout ça

Les derniers sommets AWS ont frappés très fort côté intelligence artificielle. Les RSSI ont été gâté avec Amazon GuardDuty pour la détection automatique des menaces et Macie pour la sécurité de vos données.
Je ne m’attarde pas volontairement, sur ses fabuleuses solutions, en préférant leur consacrer un article complet.

Un peu de lecture

Pour les heureux détenteurs de Kindle ou autre liseuse, AWS fournit assez de livrables pour vous occuper durant vos vacances d’été. Je vous partage cette mine d’informations : Livres blancs Amazon web services.

Ippon lance la AWS Academy

Les personnes intéressées pour découvrir AWS, se perfectionner et passer les certifications, apprécieront le lancement par Ippon de la AWS Academy à partir de septembre 2018.
Si vous souhaitez intégrer Ippon Technologies et travailler sur AWS, voici une présentation qui vous intéressera.

Conclusion

J’espère que ce premier article, axé sécurité du Cloud Public, vous aura convaincu que nous sommes très loin du “zéro sécurité”, que les outils et procédures sont là et que les mesures de conformité ont été prises. Je me permettrai même de dire que les solutions Clouds sont précurseurs en termes de sécurité avec l’Infrastructure as a Code et l’arrivée de l’IA à grande échelle.

Le Cloud Public n’est pas toujours la solution de facilité, face aux contextes politico-techniques et aux aprioris de personnes non évangélisées. Ce qui est certain, c’est qu'il offre des avantages considérables en termes de Time to Market et de coût.
Il ne reste donc plus qu’à vous faire conseiller dans votre transformation numérique, par des professionnels du Cloud et de sa sûreté.

Si vous n’êtes toujours pas convaincu ou que vous souhaitez en apprendre plus, je présenterai un retour d'expérience (REX) dédié à la sécurité sur AWS, dernier trimestre 2018. Alors restez vigilant !