présentation 1 f trouille

Bienvenue à la Cloud Academy

François TrouilletDirecteur Marketing, CAParis, le 10 Mars 2010

2 February 27, 2009 [Enter presentation title in footer] Copyright © 2009 CA

8:30 - Accueil café 9:00 - Introduction à la Cloud Academy

François Trouillet – Directeur Marketing, CALe Cloud et la sécurité : quelques feedbacks des utilisateursKareen Frascaria – Rédactrice en Chef de CloudNews

9:10 - Concepts généraux du Cloud Computing : Définitions, enjeux, usages

Louis Nauges – President, Revevol 9:30 - Gouvernance et sécurité dans le Cloud Computing : avantages et

inconvénientsYves Le Roux– Principal Consultant, CA

10:00 - Différents enjeux de sécuritéArnaud Gallut, Directeur des Ventes Sécurité, CA

10:30 - Solutions de sécurisation pour le Cloud ComputingArnaud Gallut, Directeur des Ventes Sécurité, CA

11:00 - Comment contribuer à la Cloud Academy

Copyright © 2010 CA, France

Agenda

Les directions informatiques sont sous (la) pression !

3

66% of IT resources are used to run versus 34% to Grow/Transform--Gartner, Inc. .

Customers

Business

Executives Staff Compliance

IT

CIOPMOCISOSupportStrategic Sourcing

Infrastructure

Operations Network

Deliver a superior customer experience

Increase agility

Effectively manage change

Ensure security and compliance

Reduce costs, increase productivity

Improve business-IT engagement

Mainframe Distributed Virtual Cloud


4

"Buzz", "Hype Cycle from Cloud Computing"



C’est pour cela que CA a lancé “la Cloud Academy”Objectif: en associant leurs expertises, CA, Amazon web services, Capgemini et Revevol vous invitent à partager et adopter les meilleures pratiques, processus et technologies informatiques afin de définir et exécuter avec succès votre stratégie

Cloud Computing.


Le Cloud …


Le Spectre de la Sécurité


8 :30 - Accueil café 9 :00 - Introduction à la Cloud Academy


9 :10 - Concepts généraux du Cloud Computing : Définitions, enjeux, usages







Agenda

Le Cloud et la sécurité : quelques feedbacks des utilisateurs

Kareen FrascariaRédactrice en chef de Cloudnews

Paris, le 10 Mars 2010











Agenda

Concepts Généraux du Cloud Computing

Louis NaugèsPrésident - Revevol












Agenda

Gouvernance et sécurité dans le Cloud Computing : avantages et inconvénients

Yves Le RouxPrincipal Consultant - CA












Agenda

Différents Enjeux de la Sécurité

Arnaud GallutDirecteur des Ventes Sécurité - CA


La Sécurité dans le Cloud Computing…

Cloud Academy - CA Sécurité - Copyright © Mars 2010 CA

Un défi majeur.

16

Des Enjeux communs (1/2)

Le contrôle d’accès et la protection de la donnée

Qui à accès à quoi?

Quel niveau de contrôle pour quel service?

Quelles informations et données partagées?

Quel moyen et quel standard d’accès?

Comment intégrer le contrôle d’accès avec le SI existant?

Quels moyens de protection pour quelles populations?

Quels moyens de traçabilité et d’audit?

Cloud Public et Cloud Privé :

Cloud Academy - CA Sécurité - Copyright © Mars 2010 CA17

Des Enjeux communs (2/2)

Le contrôle d’accès et la protection de la donnée

La Sécurisation des plateformes du Cloud (VM)

L’identification des utilisateurs dans le Cloud

Le Contrôle d’accès aux informations dans le Cloud

La traçabilité et l’audit des accès au Cloud

Identité, Accès, Contrôle et Audit

Cloud Public et Cloud Privé :


Les Enjeux de sécurité du Cloud Privé

Le Cloud Privé est synonyme d’une maitrise intégrale de la sécurité: Identification native des utilisateurs Contrôle de l’accès sécurisé en interne Protection de la donnée basée sur le SI existant. Capacité de traçabilité des actions basées sur le SI existant Audit libre et complet de l’infrastructure à tout moment Application de la politique de sécurité de l’entreprise

Le Cloud Privé


Le Cloud Privé Virtuel


Les Enjeux de sécurité du Cloud Privé Virtuel

Le Cloud Privé Virtuel limite les risques de sécurité encourus grâce à un accès restreint à des ressources externes

Connexion sécurisé entre le SI Interne et l’externe Application de la politique de sécurité interne permettant:

La maitrise des identités utilisateurs accédant au cloud l’accès restreint aux Applications ou Infrastructures La mise en œuvre de moyens de protections « proches »

de l’interne (ex: SOD d’accès applicatif, sgbd, etc.) La traçabilité et l’auditabilité des accès à la demande

20

Le Cloud Public


Les Enjeux de sécurité du Cloud Public (externe)

Le Cloud Public pose le plus grand nombre de risques Authentification des utilisateurs Maîtrise des moyens de contrôle d’accès aux

environnements Maitrise de la protection des données dans le Cloud Contrôle des accès privilégiés au Cloud (ex: Administration) Traçabilité et Audit des environnements mutualisés

21

Différents enjeux de sécurité:

Virtualisation et Cloud Computing

Virtualisation et Cloud Computing


Les Enjeux de sécurité de la Virtualisation

La Virtualisation est un support essentiel du Cloud Computing.

La Virtualisation pose plusieurs questions: Chaque système physique devient plus critique Les frontières physiques d’un système sont supprimées La dimension temporelle est déstructurée Un nouveau niveau d’administration est introduit

23

Les Enjeux de sécurité de la Virtualisation (1/3)


La disparition des frontières physiques du système Les Machines Virtuelles peuvent être copiées ou clonées Les données, informations sensibles et applications volées Les espaces disques VM sont accessible depuis le stockage

La Gestion de la dimension temporelle L’utilisation de snapshots déstructure la notion temporelle

des systèmes, induisant la perte d’éléments de conformité: Evènements d’audit Information de configuration Règles de sécurité

24



Un nouveau niveau d’administration est introduit Les pouvoirs d’administration sont décuplés sur l’hôte L’utilisateur à forts privilèges bénéficie d’un niveau d’abstraction

(non nominatif) depuis l’hôte: Comptes de services Comptes root, system, Administrator, sys…

L’utilisateur à fort privilège Est anonyme Peut contourner la sécurité applicative Peut visualiser et altérer les données Peut modifier la configuration système Peut altérer et effacer des Logs Peut récupérer des données critiques

Sécurité Applicative

Securité de l’OS

Utilisateur à fortsPrivilèges

Données client Services critiques

Fichiers & Logs

25


26

La Virtualisation pose un risque encore plus fort par l’introduction d’une couche supplémentaire d’accès privilégiés.

Arrêt de machinesVirtuelles critiques Erreurs de configurations ou de manipulations Perte ou vol de données

Utilisateur à forts privilèges


Solutions de Gestion des identités et des accès (IAM)

La Gestion des identités et des accès supporte: l’Authentification des utilisateurs L’accès aux services

L’adoption de solutions de gestion des identités pour le cloud computing a pour objectif:

L’ouverture d’un service à une population cible L’identification des utilisateurs La traçabilité de leurs actions La gestion des niveaux d’autorisations d’accès aux services

Solutions de sécurisation du Cloud Computing



Prochaines étapes de l’IAM pour le Cloud Computing

Questions à se poser pour l’adoption de l’IAM dans le cloud Disposez-vous d’un standard pour synchroniser vos identités internes? Votre SI interne permet-il la mise en place d’une infrastructure d’identités

fédérée? Votre fournisseur de Cloud Computing est-il interopérable avec un Identity

Provider tiers? Est-il possible d’incorporer une fonction de SSO (Single SignOn) dans vos

services cloud? Votre gestion des identités incorpore-t-elle la notion de Séparation des rôles

et des responsabilités? Supportez-vous un mécanisme de Federation d’identités pour

l’authentification de vos utilisateurs





Quelques remarques sur l’évolution de l’IAM dans le Cloud

La complexité de gestion des applications en mode SaaS et les relations de dépendance au Cloud forcera l’adoption de solutions alternatives

Les Services d’IAM natifs au Cloud émergeront tels que « l’Identity As A Service » et la « Fédération As A Service » en s’appuyant sur l’authentification forte

29 Cloud Academy - CA Sécurité - Copyright © Mars 2010 CA

Identity as a Service

Enterprise LAN

IAM

Utilisateurs

Applications

Internes

CorporateDirectory“Identity Provider”

CorporateDirectory“Identity Provider”

DirDir

X DirDir

DirDir

Public

Utilisateur distant

Cloud IM Service


30 Cloud Academy - CA Sécurité - Copyright © Mars 2010 CA

Federation as a Service

Cloud Academy - CA Sécurité - Copyright © Mars 2010 CAEnterprise

As a Service

31

DirDir

DirDir

DirDir

Administrator

Employee

WebApp WebApp

IdentityManagement

IdentityStore

Policy Store




Protection des données, Traçabilité et Audit (1/2)

Protection des données et des informations sensibles La Gestion des utilisateurs à forts privilèges est un élément clé

dans l’infrastructure Cloud

S’assurer de l’alignement des règles de séparation des rôles avec les règles métiers propres au SI internes

Utiliser les moyens natifs de l’infrastructure concernant la sécurisation des couches du Cloud (Application, SGBDR, système, etc.)

32



Protection des données, Traçabilité et Audit (2/2)

Traçabilité et Audit des actions utilisateurs Tracer et Auditer tous les accès systèmes sur les

environnements du Cloud.

Vérifier à fréquence régulière les processus et règles du fournisseur de Cloud, notamment concernant la séparation des taches pour les utilisateurs à forts privilèges

Exiger la séparation des pouvoirs d’accès aux traces d’audit des services de Cloud délivré par votre fournisseur.

33

Comme nous l’avons discuté, ces solutions ne couvrent pas la totalités des problématiques...

La sécurité “traditionelle”, (Sauvegarde, plans de continuité et de reprise, gestion de configuration) sont des prérequis.

La clé du pilotage de la sécurité du Cloud peut se résumer en deux aspects: La confiance et le risque, tout en trouvant le bon équilibre et les moyens de mesure.

Pour aller plus loin...


Merci de votre attention.

35

Q&R












Agenda

Contribuer à la Cloud Academy

François TrouilletDirecteur Marketing - CA


> Un site pour vous inscrire : www.ca.com/fr/thecloudacademy

Inscrivez-vous aux différentes sessions de la « Cloud Academy France »

38

Pour participer ...


39

Rejoignez-nous sur et suivez-nous sur

Près de 200 membres !


> Site web thecloudacademy.com

> White paper Corporate Disponible sur www.ca.com

> A venir Le baromètre du Cloud (en

partenariat avec IDC)

Accès privilégié à du contenu

40 Copyright © 2010 CA, France

Bienvenue à la Cloud Academy

Merci pour votre participation !

présentation 1 f trouille

Documents