LIVRE BLANC

Sécuriser le cloud

Updated March 23, 2010
  • Share via AddThis

Le cloud computing est un style d’informatique dans lequel des ressources dynamiquement évolutives et souvent virtualisées sont fournies sous forme de service. Les utilisateurs n’ont pas nécessairement besoin de connaissances, d’expertise ou de contrôle sur l’infrastructure technologique dans le « nuage » qui les soutient. En outre, l’informatique dans le cloud utilise un modèle permettant un accès réseau disponible, pratique et à la demande à un ensemble partagé de ressources informatiques configurables (par exemple réseaux, serveurs, stockage, applications, services) qui peuvent être rapidement provisionnées et libérées avec un minimum d’effort de gestion ou d’interaction avec le fournisseur de services.

Enquête sur le cloud F5 Networks, août 2009

Introduction

Si les entreprises voient certainement l’avantage commercial du modèle de paiement à l’utilisation des ressources informatiques, les inquiétudes liées à la sécurité semblent toujours figurer en tête des enquêtes concernant le cloud computing. Parmi ces préoccupations, on compte les services d’authentification, d’autorisation et de comptabilité (AAA), le cryptage, le stockage, les failles de sécurité, la conformité réglementaire, la localisation des données et des utilisateurs, ainsi que d’autres risques associés à l’isolement des données sensibles de l’entreprise. Ajoutez à cela la perte potentielle de contrôle sur vos données, et le modèle cloud commence à devenir un peu effrayant. Peu importe où vos applications vivent dans le cloud ou comment elles sont servies, un seul thème revient : vous hébergez et fournissez vos données critiques depuis un site tiers, et non pas entre vos quatre murs, et la sécurité de ces données est une priorité absolue.

Avancer prudemment dans le cloud

La plupart des pionniers ont commencé par tester l’hébergement dans le cloud en utilisant des données non critiques. Les performances, l’évolutivité et les ressources partagées étaient les principaux objectifs des offres initiales d’hébergement cloud. Bien que cela reste un attrait majeur, le cloud computing a mûri et est devenu une réelle alternative pour l’informatique, et davantage de données (y compris les données sensibles) font leur chemin vers le cloud. Le problème est que vous ne savez pas vraiment où se trouvent les données dans le cloud à un instant t. Les départements informatiques s’inquiètent toujours de la confidentialité et de l’intégrité des données sensibles ; l’hébergement de ces données dans le cloud met en évidence non seulement les inquiétudes relatives à la protection des données critiques dans un lieu tiers, mais aussi le contrôle de l’accès à ces données en fonction des rôles pour les fonctions commerciales normales.

Les organisations commencent à se rendre compte que le cloud ne se prête pas à des contrôles de sécurité statiques. Comme tous les autres éléments de l’architecture cloud, la sécurité doit être intégrée dans un plan de contrôle centralisé et dynamique. Dans le cloud, les solutions de sécurité doivent être capables d’intercepter tout le trafic de données, d’interpréter son contexte, puis de prendre les décisions appropriées concernant ce trafic, notamment en indiquant aux autres éléments du cloud comment le gérer. Le cloud exige d’être capable d’appliquer des politiques et des outils globaux qui peuvent migrer avec les applications et les données et en contrôler l’accès lorsqu’elles passent d’un centre de données à un autre, et lorsqu’elles se déplacent vers d’autres points du cloud.

Le rôle de la livraison des applications

D’une manière générale, les solutions F5 sont toutes axées sur la livraison des applications. Étant donné que l’objectif ultime de tout cloud, quel que soit son modèle ou son emplacement, est de fournir des applications de la manière la plus efficace, la plus souple et la plus sûre possible, les solutions F5 sont pertinentes lorsqu’il s’agit de mettre en place une infrastructure cloud. Cela est particulièrement vrai dans la mesure où la fourniture d’applications nécessite les mêmes points de contrôle stratégiques que le plan de contrôle dynamique de l’architecture cloud, et qu’elle doit fournir la même capacité d’interception, d’interprétation et d’instruction.

S’il est vrai que le cloud nécessite différents composants (dont beaucoup ne sont pas du ressort de F5) pour créer un environnement capable d’apporter de l’évolutivité, les solutions d’infrastructure qui se rapportent à la fourniture d’applications relèvent du domaine d’expertise de F5. Ces solutions d’infrastructure fournissent l’évolutivité, l’extensibilité, l’adaptabilité, la gérabilité, la sécurité, la mobilité et les performances en temps réel requises dans le plan de contrôle dynamique.

L’accent mis par F5 sur la fourniture de points de contrôle intelligents et stratégiques utilisant des proxys (interception), des politiques (interprétation/instruction) et des services (interprétation/instruction) dans une infrastructure de livraison unique et modulaire est bien adapté à la gestion du trafic de haut volume associé au cloud computing. Les solutions F5 peuvent être déployées sur un large éventail de plates-formes matérielles, offrant une flexibilité en termes de capacité et de performances globales qui permet aux organisations de taille moyenne et grande, ainsi qu’aux fournisseurs de services, de choisir une solution de livraison d’applications ou de données adaptée aux besoins uniques de l’organisation.

Le cloud sécurisé par F5

Bien qu’on puisse assimiler le contrôleur de diffusion d’applications F5 BIG-IP Local Traffic Manager (LTM) à un équilibrage de charge avancé, il inspecte également tout le contenu entrant et sortant des applications. En outre, LTM BIG-IP est un outil de sécurité puissant qui contrecarre les attaques de protocole basées sur le réseau et les applications. BIG-IP LTM protège dès le départ à la fois les applications qui en sont issues et le réseau auquel elles sont connectées. De plus, BIG-IP LTM offre une approche unifiée des solutions de sécurité, qui comprennent, entre autres, le filtrage des paquets, le verrouillage des ports, la protection contre les attaques par déni de service (DoS), l’isolation réseau/administrative, la validation des protocoles, la régulation du débit, la terminaison SSL, etc.

Bien que cette liste d’avantages en matière de sécurité soit impressionnante, il existe des attaques qui ne peuvent être détectées ni par les appareils du réseau, ni par l’application elle-même et, de plus en plus, les voleurs s’attaquent aux données des applications par le biais d’attaques basées sur le web. Comme les attaques DoS de couche 7, les attaques XSS, les injections SQL et les attaques par force brute peuvent facilement compromettre une application web, des mesures de sécurité supplémentaires doivent être mises en place.

F5 BIG-IP Application Security Manager (ASM), pare-feu pour applications web, protège non seulement contre les vulnérabilités courantes telles que celles répertoriées dans le Top 10 de l’OWASP, mais il renforce également le contrôle des données grâce à des politiques précises. Les modèles BIG-IP ASM Application Security pour de nombreuses applications populaires vous permettent de déployer rapidement la sécurité des applications avec les paramètres optimaux. Avec BIG-IP ASM, la possibilité de contrôler qui a accès aux données, le type de données disponibles et si les données peuvent être échangées, ainsi que la possibilité d’obtenir des journaux et des rapports détaillés, vous aident à respecter les mandats de conformité réglementaire, même dans le cloud. BIG-IP ASM offre des protections supplémentaires telles que la suppression des numéros de sécurité sociale, des numéros de carte de crédit et du contenu d’autres champs personnalisés, ainsi que le masquage des données sensibles, le cryptage sélectif des cookies du serveur et des champs de mot de passe, les restrictions au niveau du répertoire ou du type de fichier, et le masquage des ressources pour cacher les informations de version de votre serveur IIS.

L’un des principaux sujets d’inquiétude pour les fournisseurs et les clients du cloud est l’authentification, l’autorisation et le cryptage des données vers et depuis le cloud.

Les utilisateurs et les administrateurs doivent être authentifiés — avec une authentification forte ou à deux facteurs — pour garantir que seul le personnel autorisé puisse accéder aux données. Et les données elles-mêmes doivent être segmentées pour éviter toute fuite vers d’autres utilisateurs ou systèmes. La plupart des experts s’accordent à dire que les services AAA, ainsi que les tunnels sécurisés et cryptés pour gérer votre infrastructure cloud, devraient figurer en tête des services cloud de base proposés par les fournisseurs. Comme les données peuvent être hébergées dans un endroit éloigné où vous avez moins de contrôle physique, le contrôle logique devient primordial, et l’application d’un accès strict aux données brutes et la protection des données en transit (comme le téléchargement de nouvelles données) deviennent essentielles pour l’entreprise. La perte, la fuite ou l’altération de données peuvent avoir des conséquences dévastatrices.

Ici aussi, F5 peut aider le fournisseur et le client avec des solutions comme BIG-IP Edge Gateway et BIG-IP Access Policy Manager (APM). BIG-IP Edge Gateway utilise la technologie SSL pour réunir les services de sécurité d’accès, d’accélération et de disponibilité des applications afin de permettre un accès aux applications en fonction du contexte, contrôlé par des politiques, sécurisé et optimisé. BIG-IP APM est une plateforme d’accès et de sécurité flexible et performante ; avec elle, vous pouvez gérer l’accès aux réseaux et aux applications en mettant en œuvre de solides politiques de sécurité. En rassemblant ces services et en introduisant l’identité des utilisateurs et des groupes dans le réseau, les politiques et les niveaux de service peuvent être définis en fonction de l’identité et de l’emplacement. L’accès basé sur le contexte fait d’Internet, et du cloud, un réseau plus rapide, plus prévisible et plus sûr pour l’entreprise, ce qui est particulièrement avantageux pour les utilisateurs mobiles et les administrateurs informatiques.

schéma
Figure 1 : Le cloud sécurisé F5 offre une protection complète du client au cloud.

Les utilisateurs mobiles qui sont dispersés aux quatre coins du globe ont besoin d’un accès rapide et sécurisé aux applications ; les administrateurs informatiques doivent gérer l’architecture et les applications dans le cloud. BIG-IP Edge Gateway et BIG-IP APM sont dotés de nombreuses fonctions de sécurité pour répondre aux besoins des utilisateurs mobiles et des administrateurs informatiques.

Les services sécurisés basés sur le VPN SSL offrent une sécurité au niveau des points d’accès, permettant aux administrateurs informatiques de voir qui accède à l’organisation et quelle est la posture du dispositif d’extrémité à valider par rapport à la politique d’accès de l’entreprise. De solides services AAA, des listes de contrôle d’accès des utilisateurs L4 et L7 et une sécurité intégrée des applications aident à protéger les actifs de l’entreprise et à maintenir la conformité réglementaire. Les services de disponibilité offrent aux administrateurs des capacités de gestion du trafic global pour diriger les utilisateurs vers le meilleur site en fonction de l’emplacement, la commutation L2-L4, le routage intégré et une passerelle IPv6. Les services d’accélération offrent une accélération asymétrique et symétrique du réseau et des applications, ainsi que la mise en cache, la compression et la déduplication pour une expérience utilisateur supérieure.

Les utilisateurs qui se connectent via la BIG-IP Edge Gateway recevront leurs applications rapidement, où qu’ils se trouvent, grâce à un débit crypté SSL de plusieurs gigabits par seconde avec HTTP et HTTPS aux vitesses de BIG-IP LTM. Les services côté client permettent aux utilisateurs d’accéder dynamiquement au réseau et aux applications de l’entreprise lorsqu’ils sont mobiles grâce au système d’intelligence d’accès aux connexions. L’accès par connexion intelligente, qui est fourni avec la passerelle BIG-IP Edge Gateway, donne aux utilisateurs itinérants un accès sécurisé instantané en leur faisant savoir lorsqu’ils ne sont pas connectés au domaine de l’entreprise. L’accès par connexion intelligente permet également d’accélérer les applications grâce à la régulation du trafic pour une compression dynamique et adaptable. Grâce à la mise en forme du trafic côté client, les administrateurs peuvent donner la priorité à des protocoles particuliers, comme le Server Message Block (SMB), ce qui garantit que les transferts de fichiers et le trafic VoIP peuvent passer.

Grâce aux iSessions intégrées activées par le module d’optimisation WAN BIG-IP, les services informatiques peuvent se connecter à leur environnement cloud par le biais d’un tunnel crypté et optimisé. Comme il est primordial de garder le contrôle des données dans le cloud, certaines organisations préfèrent héberger leurs données dans le centre de données de l’entreprise et avoir accès au cloud sur demande. Ce processus peut certainement avoir des conséquences sur les performances, mais là encore, le tunnel iSessions sécurisé et optimisé fournit le tuyau qui relie les données au cloud. La compression symétrique et adaptative permet au tunnel d’utiliser le meilleur taux de compression pour la bande passante disponible et d’ajuster le flux de données pour mieux utiliser la bande passante, le processeur et les taux de compression. Les succursales locales bénéficient également des services d’accélération. Que ce soit pour des scénarios de sauvegarde ou simplement pour garder les informations à jour, la déduplication symétrique des données ne fait que mettre à jour les modifications apportées aux données (plutôt que de transférer le fichier entier), ce qui permet d’économiser de la bande passante. L’accélération CIF et MAPI, ainsi que l’accélération matérielle (SSL et compression) et la régulation de débit L7, y compris le mode QoS, sont également prises en charge.

La gestion du cloud a toujours été un défi pour les services informatiques. Un point de contrôle d’accès central pour la gestion de l’accès au web et le SSO permet de déployer rapidement et de gérer facilement le contrôle d’accès aux ressources basé sur des politiques pour une mise en réseau contextuelle. Les politiques de la passerelle BIG-IP Edge peuvent être importées et exportées, les applications web sont sécurisées et accélérées et offrent des modes d’accès à distance, de contrôle interne du réseau local et de communications sans fil publiques et privées.

Conclusion

Le cloud computing, bien qu’il évolue rapidement, peut offrir aux services informatiques une alternative puissante pour la fourniture d’applications. Le cloud computing promet des ressources évolutives et à la demande, un déploiement flexible en libre-service, un coût total de possession plus faible, un délai de commercialisation plus rapide et une multitude d’options de service qui peuvent héberger l’ensemble de votre infrastructure, faire partie de votre infrastructure ou simplement servir une seule application.

Où que vous en soyez dans le cloud, qu’il s’agisse d’un cloud public, privé ou hybride, les solutions F5 peuvent vous aider à rendre votre infrastructure ou votre déploiement dans le cloud plus sûr, plus fiable et plus résilient. La technologie d’accès à distance sécurisé fournit un accès contextuel et sécurisé aux applications basées sur le cloud ; les pare-feu des applications web fournissent le moyen de centraliser la sécurité des applications ; les scripts côté réseau offrent une méthode agile et immédiate pour remédier aux vulnérabilités de sécurité à la demande, le tout contribuant à conserver un cloud dynamique, fluide et sécurisé. Les administrateurs informatiques peuvent isoler la configuration et la gestion pour un contrôle fin de l’accès à l’infrastructure de cloud computing, et peuvent isoler le trafic des applications pour une meilleure sécurité des données d’application qui utilisent des ressources partagées.

La sécurisation du cloud avec F5 comprend un ensemble de solutions flexibles et unifiées, chacune ayant sa propre expertise pour répondre à vos besoins spécifiques de fourniture d’applications cloud.