Cloud Computing : Sécurité du Cloud

Les fondamentaux du cloud computing

• Les modèles de services du cloud computing : Software as a Service (SaaS), Platform as a Service (PaaS), Infrastructure as a Service (IaaS)
• Public
• Privé
• Privé virtuel
• Hybride
• Définir les principes de base de la cybersécurité
• Déterminer la nécessité d'un nuage privé en fonction des objectifs de sécurité

Répartition de la responsabilité sur le cloud

Gestion des risques dans le cloud

• Mettre en œuvre et gérer l'authentification et l'autorisation des utilisateurs
• Autorisation et contrôle d'accès

Vérifier les exigences de sécurité avec les fournisseurs

• Identifier les mesures de sécurité nécessaires
• Définir un accord de niveau de service (SLA)
• Veiller à ce que les SLA répondent aux exigences de sécurité de l'entreprise

Sécurisation l'infrastructure du cloud

Sécurité physique et de l'hôte

• Sécurité de l'installation du fournisseur de cloud
• Créer une résilience pour la reprise après sinistre
• Récupérer les données critiques
• Identifier le périmètre de sécurité

Compartimenter l'accès pour protégerla confidentialité des données

• Chiffrer les données sensibles
• Partitionner les fichiers système par niveau de sécurité
• Sécuriser les données en transit et les données stockées

Système d'exploitation et sécurité réseau

Verrouillage de serveurs cloud

• Renforcer les systèmes d'exploitation pour résister aux infiltrations
• Configurer les déploiements de cloud selon les bonnes pratiques
• Confirmer la bonne implémentation des protections
• Réseaux
• Systèmes d'exploitation
• Applications
• Détecter et corriger les vulnérabilités
• Contrôler et vérifier la gestion des configurations

Exploiter les options de sécurité selon le fournisseur

• Définir les règles de firewall pour contrôler l'accès
• Filtrer le trafic par numéro de port
• Sélectionner une des options de chiffrement du fournisseur
• Protéger les données archivées

Sécurité dans des clouds publics, privés et hybrides

Prendre en charge l'intégralité de la cybersécurité

• Gérer les risques des clouds publics
• Identifier et attribuer des tâches liées à la sécurité dans chaque modèle de service : SaaS, PaaS, IaaS

Choix du produit le mieux adapté

• Comparer les fonctionnalités de sécurité spécifiques à chaque produit
• Prendre en compte les exigences d'implémentation

VPC (Virtual Private Cloud)

• Simuler un cloud privé dans un environnement public
• Connecteur de données sécurisé Google (Google SDC)
• Amazon VPC
• Connectivité dédiée avec Amazon Direct Connect
• Connexions standards chiffrées par VPN

L'alternative du cloud hybride

• Connecter les données locales aux applications cloud
• Pontage sécurisé avec VPC
• Augmenter la capacité de manière dynamique afin de répondre à une forte augmentation des besoins

Satisfaire aux exigences de sécurité

Gestion de la gouvernance du cloud

• Conserver la responsabilité de l'exactitude des données
• Vérifier l'intégrité des données stockées et transmises
• Faire preuve d'attention et de diligence
• Soutenir la découverte dans le domaine de l'électronique
• Conserver une chaîne de preuves

Conformité aux certifications et réglementations

• HIPAA
• Sarbanes-Oxley
• Data Protection Act
• PCI DSS
• Limiter l'emplacement géographique des données
• Suivre les normes d'audit des systèmes d'information
• Permettre l'audit des données et des processus

Maintien de la disponibilité

Exploiter le cloud pour la résilience

• Connexion fiable au cloud via l'Internet public
• Anticiper une perte ou un changement soudain de fournisseur
• Portabilité et interopérabilité des données en vue d'un changement de fournisseur

Options efficaces de reprise après sinistre dans le cloud

• Atteindre les objectifs de durée pour la reprise
• Utiliser la redondance pour mieux résister aux attaques DoS