Cloud computing

Le Cloud Computing est la fourniture à la demande de capacités informatiques sur des services mesurés. Il s’agit d’utiliser un réseau de serveurs distants hébergés sur Internet pour stocker, gérer et traiter des données, plutôt qu’un serveur local ou un ordinateur personnel.

I. Concepts CLOUD

I.1. CARACTÉRISTIQUES DU CLOUD INFORMATIQUE

Le Cloud Computing est un modèle permettant un accès réseau omniprésent, pratique et à la demande aux ressources informatiques, ses caractéristiques sont les suivantes

-> Libre-service à la demande : Cette fonctionnalités permet à l’utilisateur de surveiller en permanence la disponibilité du serveur, les capacités et le stockage réseau alloué mais également surveiller les capacités de calcul.

-> Accès réseau étendu : L’utilisateur peut accéder aux données du cloud ou télécharger les données sur le cloud de n’importe où à l’aide d’un appareil et d’une connexion Internet. 

-> Stockage distribué : L’emplacement n’est pas unique cela entraine une accessibilité des données même en cas d’incidents

-> Mise en commun des ressources : le fournisseur Cloud possède des ressources informatiques qu’il utilise pour fournir des services à plusieurs clients via un modèle multi-locataire. Ces différentes ressources physiques et virtuelles sont affectées dynamiquement en fonction de la demande.

-> Élasticité rapide : les services cloud s’appuient sur des technologies telles que la virtualisation des serveurs et du stockage pour répondre rapidement à l’augmentation et à la baisse de la charge des utilisateurs et de la demande de services.

-> Service mesuré : Les systèmes de cloud computing contrôlent et optimisent l’utilisation des ressources par une capacité de mesure abstraite appropriée au type de service utilisé, comme le stockage, la puissance de traitement, la bande passante du réseau ou le nombre de comptes d’utilisateurs actifs. L’utilisation des ressources peut être surveillée, contrôlée et rapportée, offrant une transparence à la fois pour le fournisseur et le consommateur du service utilisé.

-> Gestion automatisée : Le cloud computing analyse automatiquement les données nécessaires et prend en charge une capacité de mesure à un certain niveau de services d’où le fait de pouvoir surveiller, contrôler et signaler l’utilisation.

-> Technologie de virtualisation : Le cloud permet de créer une plate-forme virtuelle de système d’exploitation serveur et de périphériques de stockage. Cela aidera l’utilisateur en fournissant plusieurs machines en même temps, il permet également de partager une seule instance physique de ressource ou une application avec plusieurs utilisateurs.

I.2. TYPES DE SERVICES D’INFORMATIQUE CLOUD

Sur la base des services proposés, les clouds sont classés de la manière suivante :

->SYS ADMINS, Infrastructure en tant que service (IaaS) : consiste à fournir des machines virtuelles, du matériel abstrait et des systèmes d’exploitation utilisant les principes du cloud computing et pouvant être contrôlés via une API de service, par exemple : Amazon EC2, Amazon S3, Rackspace Cloud Servers et Flexiscale.

->DÉVELOPPEURS, Platform as a Service (PaaS) : consiste à fournir une plate-forme de développement, et de gestion de la configuration sur le cloud. Les plates-formes fournies par différents fournisseurs ne sont généralement pas compatibles, par exemple Googles Application Engine, Microsoft Azure, Salesforce.com, etc.

->CLIENTS, Logiciel en tant que service (SaaS) : Fournit une offre logicielle complète sur le cloud. Les utilisateurs peuvent utiliser à la demande, par exemple Salesforce.com, Google DOcs, Freshbooks, calendrier, etc.

I.3. MODÈLES DE DÉPLOIEMENT CLOUD

Le cloud Computing est généralement classé des trois manières suivantes :

Cloud public : dans le cloud public, l’infrastructure informatique est hébergée par le fournisseur de cloud dans les locaux du fournisseur, elle est ouverte à un usage public.

Cloud privé : l’infrastructure informatique est dédiée à une organisation particulière et n’est pas partagée avec d’autres organisations. Les clouds privés sont plus chers et plus sécurisés que les clouds publics.

Cloud hybride : il s’agit d’un hébergement combiné de deux ou plusieurs clouds. Les organisations peuvent héberger des applications critiques sur des clouds privés et d’autres applications sur le cloud public. Les entités sont uniques mais liées entre elles.

Cloud communautaire : implique le partage de l’infrastructure informatique entre plusieurs organisations d’une communauté spécifique ayant des préoccupations communes.

I.4. ARCHITECTURE DE RÉFÉRENCE DE DÉPLOIEMENT NIST CLOUD

L’architecture de référence du cloud computing NIST identifie les acteurs majeurs, leurs activités et leurs fonctions dans le cloud computing. Les cinq acteurs de l’architecture sont les suivantes : 

->Consommateur Cloud : Le consommateur du cloud est la principale partie prenante du service de Cloud Computing. Un consommateur de cloud représente une personne ou une organisation qui entretient une relation commerciale avec un fournisseur Cloud en utilisant ses services cloud.

->Fournisseur de Cloud : Un fournisseur de cloud est une personne, une organisation représentant l’entité chargée de mettre un service cloud à la disposition des parties intéressées.

->Opérateur Cloud : Un opérateur de cloud agit en tant qu’intermédiaire qui fournit la connectivité et le transport des services cloud entre consommateurs de cloud et fournisseurs de cloud. Les opérateurs de cloud offrent un accès aux consommateurs via le réseau, télécommunications et autres dispositifs d’accès.

->Auditeur Cloud : Un auditeur cloud est une partie qui peut effectuer des évaluations indépendantes, des contrôles des services cloud dans le but d’exprimer une opinion à ce sujet. Des audits sont effectués pour vérifier la conformité aux normes en examinant des preuves objectives.

->Courtier Cloud : Un courtier cloud est une entité qui gère l’utilisation, les performances et la livraison du cloud services et négocie les relations entre les fournisseurs de cloud et les consommateurs de cloud. Un consommateur de cloud peut demander des services cloud à un courtier cloud, au lieu de contacter un cloud fournisseur directement.

I.5. AVANTAGES DE L’INFORMATIQUE CLOUD

Le cloud présente des avantages dans les domaines suivants :

  • ÉCONOMIQUE : Le coût de l’infrastructure est considérablement réduit, il y a moins de frais de maintenance, moins de coût de possession, moins de dépenses en capital, etc.
  • OPÉRATIONNEL : Du fait de la flexibilité, l’efficacité sur les sauvegardes et reprises après sinistre, des mises à jour automatiques, du déploiement rapide des applications, etc.
  • RECRUTEMENT : Dans ce cadre, il nécessite moins de personnel, moins d’apprentissage du personnel, moins de partage des ressources, etc.
  • SÉCURITÉ : 

       *Application de patch automatique et mises à jour.

       *Moins de coûts sur les configurations de sécurité.

       *Réponses rapides reçues sur les failles de sécurité.

       *Meilleure reprise après sinistre.

                     *L’audit et la surveillance ont été effectués du côté du fournisseur.

      *Meilleure gestion des systèmes de sécurité.

  • VIRTUALISATION : La virtualisation est la capacité d’exécuter plusieurs systèmes d’exploitation dans un seul système physique et de partager les ressources sous-jacentes telles que le serveur, le stockage ou le réseau. Cela assure une isolation, une encapsulation, une efficacité, réduit les coûts d’installation et fournit une meilleure sauvegarde et protection des données.

II. MENACES sur le CLOUD

Le cloud étant une technologie utilisée mondialement présente aussi des menaces qui sont les suivantes :

– Infraction ou perte de données : accès illégal aux données, les données sont effacées, mauvaise utilisation des données, clé de cryptage perdue, etc.

-Utilisation abusive et néfaste du cloud : Création d’accès anonyme aux services cloud, Craquage de mots de passe, Contrôle des botnets, le DDOS, les exploits d’hébergement sur les plates-formes cloud, etc.

– Interfaces et api insécurisés : Contournement des politiques définies par l’utilisateur, dépendances d’API inconnues, existence de mots de passe réutilisables, la validation des données d’entrée insuffisante, etc.

– Diligence raisonnée insuffisante : L’ignorance de l’environnement cloud du CSP présente des risques dans les responsabilités opérationnelles

– Problèmes de technologie partagés : N’offre pas de fortes propriétés d’isolation.

– Profil de risque inconnu : les clients ne peuvent pas avoir une image claire des procédures de sécurité internes, car ils sont impliqués avec moins de maintenance.

– Horloges système non synchronisées : Les horloges non synchronisées peuvent affecter le fonctionnement des travaux automatisés ainsi lees administrateurs ne pourraient pas noter l’activité malveillante.

– Infrastructure et planification inadéquats : le manque de ressources informatiques, une mauvaise conception du réseau donnent lieu à une latence inacceptable du réseau.

– Conflits entre les procédures de durcissement du client et l’environnement cloud : certaines procédures de durcissement du client peuvent entrer en conflit avec l’environnement du fournisseur de cloud, rendant leur mise en œuvre par le client impossible

– Perte de journaux opérationnels et de sécurité : la perte de journaux de sécurité pose un risque pour la gestion de la mise en œuvre du programme de gestion de la sécurité des informations

– Initiés malicieux : les anciens employés mécontents ayant accès au cloud peuvent compromettre les informations disponibles dans le cloud.

– Accès illégal au cloud : faible authentification, faible demande d’autorisation

– Perte de réputation professionnelle en raison des activités de Co-tenant : les ressources sont dans le cloud, de sorte que l’activité malveillante d’un locataire affectera l’ensemble du cloud.

– Escalade de privilèges : Une erreur dans le système d’attribution des accès entraîne un accès root du client.

– Catastrophes naturelles : les centres de données peuvent être exposés à des catastrophes naturelles pouvant affecter les services cloud.

– Défaillance matérielle : pannes sur les matérielles telles que les commutateurs, les serveurs, etc.

– Echec de la chaîne d’approvisionnement : panne causée par des tiers comme l’indisponibilité des services, la perte de confidentialité et d’intégrité.

– Modification du trafic réseau : la modification du trafic réseau peut entraîner la perte, l’altération des données et communications confidentielles.

– Echec de l’isolation : en raison d’un échec d’isolement, les attaquants tentent de contrôler les opérations d’autres clients du cloud.

– Lock in : incapacité du client à migrer d’un cloud à un autre

– Risques de licence : cela peut entraîner d’énormes frais de licence

– Perte de clés de gouvernance et de cryptage : le client cède le contrôle au fournisseur de services en ce qui concerne les problèmes de sécurité et la perte de clés de chiffrement.

Autres menaces :

  • Manipulation et élimination incorrectes des données
  • Perte de données de sauvegarde
  • Risques de conformité
  • Refus économique de la durabilité.

III. ATTAQUES sur le CLOUD

Parmi les attaques, il y a :

->SERVICE HIJACKING À L’AIDE D’ATTAQUES D’INGÉNIERIE SOCIALE : Intrusion non technique qui repose fortement sur l’interaction humaine, et oblige le fournisseur de services cloud à réinitialiser le mot de passe, deviner le mot de passe, craquer le mot de passe, ce qui entraîne l’exposition des informations sensibles.

->SERVICE HIJACKING À L’AIDE  d’un reniflement du RÉSEAU: Capturer des paquets de données tels que des mots de passe, des cookies de session dans le transfert de données entre des nœuds de cloud à l’aide de renifleurs de paquets pour intercepter et surveiller le réseau.

->SESSION HIJACKING À L’AIDE DE XSS: Les attaquants utilisent XSS pour voler les cookies qui sont utilisés pour authentifier les utilisateurs.

->SESSION HIJACKING À L’AIDE DE FAUX  DEMANDE DE SITE CROISÉ

->ATTAQUES DU SYSTÈME DE NOM DE DOMAINE : En effectuant une attaque DNS, on peut obtenir des informations d’authentification des internautes.

->INJECTION SQL : les attaquants ciblent les serveurs exécutant des bases de données vulnérables pour attaquer avec des commandes SQL.

->ATTAQUES Par CYPTANALYSE : Un cryptage non sécurisé ou obsolète rend le cloud vulnérable à la cryptanalyse des failles critiques dans l’algorithme cryptographique.

->ATTAQUE D’EMBALLAGE: Elle est effectuée lors de la traduction des messages SOAP dans la couche TLS, l’attaquant modifie le corps du message et l’envoie au serveur en tant qu’utilisateur légitime.

-> DOS ET DDOS

-> ATTAQUE MITM

IV. SECURITE DANS LE CLOUD

La sécurité s’applique à ces niveaux suivants :

1) APPLICATIONS                                         – SDLC, PARE-FEU WEB APP, SEC TRANSACTIONNEL.

2) INFORMATIONS                                      – DLP CMF, SUIVI DE L’ACTIVITÉ DE LA BASE DE DONNÉES

3) GESTION                                                   – GRC, IAM, VA / VM, GESTION DES PATCH

4) RÉSEAU                                                     – NIDS / NIPS, pare-feu, DPI, anti-DDoS

5) INFORMATIQUE DE CONFIANCE          – RoT et API matériels et logiciels

6) ORDINATEUR ET STOCKAGE                 – Pare-feu basés sur l’hôte

7) Sécurité physique PHYSIQUE

Cloud security est responsable à la fois du consommateur et du fournisseur de cloud.

IV. 1. MEILLEURES PRATIQUES POUR SÉCURISER LE CLOUD

-> Appliquer la protection des données, la rétention des sauvegardes, etc

-> Appliquer les SLA

-> Implémenter une authentification forte, une autorisation et un audit

-> Vérifier son propre cloud dans les listes noires du domaine public

-> Faire respecter les contrats légaux

-> Surveiller le trafic du client pour toute activité malveillante.

-> Divulguer les journaux et données applicables aux clients.

-> Analyser les politiques de sécurité des fournisseurs de cloud

-> Contrôle de sécurité réguliers et mises à jour

-> Assurez-vous que la sécurité physique est dans les normes

-> Vérifier le processus de notification de violation de sécurité

-> Appliquer un processus d’enregistrement et de validation rigoureux

-> Effectuer une évaluation des risques.

-> Employer IDS, IPS

-> Appliquer une gestion stricte de la chaîne d’approvisionnement

-> Utiliser VPN

-> Assurez-vous que SSL est utilisé pour la transmission.

-> Assurer les procédures d’audit

-> Mettre en place des mécanismes de détection et de signalement des incidents

-> Mettre en place des objectifs de sécurité à atteindre

-> Renseignez-vous sur les responsables des problèmes de confidentialité et de sécurité des données.

OUTILS DE SÉCURITÉ CLOUD : QUALYS CLOUD PLATFORM, CLOUD PASSAGE HALO, CORE CLOUDINSPECT, NESSUS, ALERT LOGIC, DEEP SECURITY.

IV.2. Test de pénétration sur un CLOUD (CLOUD PENTESTING)

Le Cloud Pentesting est une méthode d’évaluation active de la sécurité d’un système cloud. Il permet de déterminer le type de cloud, la présence de vulnérabilités et les risques qu’elles présentent.

Pour faire un test de pénétration sur le cloud, il faut suivre les étapes suivantes :

1) Tester les problèmes de verrouillage

2) Tester les problèmes de gouvernance

3) Tester les problèmes de conformité

4) Tester le cloud pour l’isolation des ressources

5) Vérifier si des applications anti-malware sont installées et mises à jour sur chaque appareil

6) Vérifier si des pares-feux sont installés à tous les points d’entrée du réseau

7) Vérifier si une authentification forte est déployée pour chaque utilisateur à distance

8) Vérifier si les fichiers transférés vers ou depuis les serveurs cloud sont cryptés.

<<< piratage d’objets iot