Cloud Computing Security

23
Cloud Computing et les Nouveaux Défis Sécuritaires Ing. Dir Mohamed Wassel Belhadj CISSP, Enterprise Architect, ICT & Infrastructure Expert

description

In the Cloud Era, how can entreprises mitigate cloud security challenges

Transcript of Cloud Computing Security

Page 1: Cloud Computing Security

Cloud Computing et les Nouveaux Défis Sécuritaires

Ing. Dir Mohamed Wassel Belhadj CISSP, Enterprise Architect, ICT & Infrastructure Expert

Page 2: Cloud Computing Security

Agenda

Cloud Economics

Cloud Computing Concepts

Les nouveaux Challenges Sécuritaires du Cloud

Les avantages sécuritaires du Cloud

La Démarche sécurisée vers le Cloud

La Culture Cloud

Q&A

Page 3: Cloud Computing Security

Cost of Traditional Data Centers

11.8 million servers in data centers

Servers are used at only 15% of their capacity

800 billion dollars spent yearly on purchasing and maintaining enterprise software

80% of enterprise software expenditure is on installation and maintenance of software

Data centers typically consume up to 100 times more per square foot than a typical office building

Average power consumption per server quadrupled from 2001 to 2006.

Number of servers doubled from 2001 to 2006

3

Page 4: Cloud Computing Security

Energy Conservation and Data

Centers

Standard 9000 square foot costs $21.3 million to build with $1

million in electricity costs/year

Data centers consume 6% worldwide Electricity in 2000 and 1% in

2005

Green technologies can reduce energy costs by 50%

IT produces 2% of global carbon dioxide emissions

“If you move your data centre to a cloud provider, it will cost a

tenth of the cost.” – Brian Gammage, Gartner Fellow

4

Page 5: Cloud Computing Security

Charactéristiques du Cloud

• On-demand self-service

• Ubiquitous network access

• Resource pooling

• Location independence

• Rapid elasticity

• Measured service

Page 6: Cloud Computing Security

Modèles de Services

• Cloud Software as a Service (SaaS)—Use provider’s

applications over a network.

• Cloud Platform as a Service (PaaS)—Deploy customer

created applications to a cloud.

• Cloud Infrastructure as a Service (IaaS)—Rent

processing, storage, network capacity, and other

fundamental computing resources.

Page 7: Cloud Computing Security

Modèles de Déploiement

• Private cloud—Enterprise owned or leased

• Community cloud—Shared infrastructure for specific

community

• Public cloud—Sold to the public, mega-scale

infrastructure

• Hybrid cloud—Composition of two or more clouds

Page 8: Cloud Computing Security

Cloud Architectures Les Ingrédients

Utility

Computing Autonomic

Computing

Grid

Computing SOA

Software /

Apps

Infrastructure

+ Broadband

Page 9: Cloud Computing Security

Cloud Architectures Jericho Cloud Cube

• Point out that not everything is best implemented in

clouds; it may be best to operate some business

functions using a traditional non-cloud approach.

• Explain the different cloud formations that the Jericho

Forum has identified.

• Describe key characteristics, benefits and risks of each

cloud formation.

• Provide a framework for exploring in more detail the

nature of different cloud formations and the issues that

need answering to make them safe and secure places

to work in.

Page 10: Cloud Computing Security

Cloud Architectures Jericho Cloud Cube

The Jericho Cloud Cube Model describes the model for cloud computing as

having four “dimensions”:

• Internal (I)/External (E) — Defines the physical location of the data. If it is

within your own physical boundary then it is Internal, if it is not within your

own physical boundary then it is External.

• Proprietary (P)/Open (O) — Proprietary means that the organization

providing the service is keeping the means of provision under their

ownership.

• Clouds that are Open are using technology that is not proprietary, meaning

that there are likely to be more suppliers.

• Perimeterized (Per)/De-perimeterized (D-p) Architectures — Inside your

traditional IT perimeter or outside it? De-Perimeterization has always

related to the gradual failure/removal/shrinking/collapse of the traditional

silo-based IT perimeter.

• Insourced/Outsourced — Outsourced: the service is provided by a third

party Insourced: the service is provided by your own staff under your

control.

Page 11: Cloud Computing Security

Cloud Architectures Jericho Cloud Cube

Page 12: Cloud Computing Security

Nouveaux Challenges Sécurité

Page 13: Cloud Computing Security

Les Risques Spécifiques du Cloud

Page 14: Cloud Computing Security

Les Risques Spécifiques du Cloud

Protection des données en transit

Sécurité des données sur site

Maintenir la conformité

Assurer la protection des données privées

Disponibilité et restauration des données

Page 15: Cloud Computing Security

Les Challenges Sécuritaires du Cloud Privacy Issues

Cloud Forensics / Incident Response (tools, organisation)

Cloud Sourcing Perimeter: how to select data/process/system to

migrate

Centrally Managing Identity and Access (Federation)

Data Encryption (at-rest, in-flight), Key Management

Knowledge / Architecture / Asset Management including Cloud

Procurement Management all along cloud standardisation (non

proprietary implementation of cloud / Cloud Portability: how to make

sure?)

How to define efficient Roll-Back at no charge

Cloud security issues may drive and define how we adopt and deploy

cloud computing solutions

Page 16: Cloud Computing Security

Les Avantages de la Sécurité dans le

Cloud Les Fournisseur de Cloud peuvent déployer les meilleures solution

sécuritaires du marché et recruter les meilleures ressources et experts.

Les grands fournisseurs de Cloud ont souvent les moyens de détecter

et de se défendre contre des risques et des vulnérabilités d’une

manière plus rapide et plus efficace que de petites institutions

individuelles.

Les infrastructures offertes par les fournisseurs du Cloud permettent

une meilleure résilience et disponibilité du service du à leur scalabilité

et leur modularité (virtualisation) Meilleure défence contre les attack

DOS.

Les entreprises peuvent économiser leur budget de Sécurité ICT en

transférant quelques responsabilités sécuritaires vers le Cloud.

Les entreprises gagnent plus de disponibilité de leurs services à

travers la haute disponibilité dispercée des plateformes Cloud.

Page 17: Cloud Computing Security

Aller vers le Cloud

Page 18: Cloud Computing Security

La Démarche Sécurisée vers le Cloud Etude Financière de la démarche vers le Cloud (TCO,

ROI, Risk Analysis, etc) By-In

Injecter la démarche dans la stratégie entreprise

Disposer d’une méthodologie de Sourcing (avec mesure

des KPIs)

Définir le scope et les métriques (SLA) de la “Cloudisation”

(Jericho Cube)

Définir des critaires de sélection des fournisseurs /

partenaires Cloud

Négocier un Bon Contrat (SLA, KPI, Roll-Back)

Réorganiser les équipes en conséquence (Procurement,

Controle, Architecture, Audit, SMO) COBIT

Page 19: Cloud Computing Security

La Démarche Sécurisée vers le Cloud Diffuser la culture Cloud (risque de Boycotting, sabotage,

désintéressement)

Politiques de Sécurité révisées

Processus (ITIL), Standards , Baselines révisés

Démarche par étapes (POC)

Assurer une démarche d’Architecture et de Knowledge

Management parallèle

Contrôler , Communiquer, Apprécier..

Page 20: Cloud Computing Security

Politique Sécurité du Cloud

Senior Management Statement of

Policy

General Organizational Policies

Functional Policies

Mandatory Standards

Recommended Guidelines

Detailed Procedures

Baselines

Page 21: Cloud Computing Security

La Culture Cloud Client:

Gèrer les SLA et le Procurement Culture SMO

Gérer le Knowledge Management

Sécurité Physique versus Cyber versus Cloud (pas uniquement la sécurité

périmétrique)

Fournisseur:

Cryptage des données sur site ou en transit

Certifications et Audits (ISO 27000, SAS 70, etc)

Rôle des MSSP

Gouvernement / Marché / Règlementations

Modèle qui s’apprête bien au e-Gov

Institution de cadre juridique pour la fourniture et la consommation des services cloud

Institution de cadre juridique d’import/export des services Cloud

Institution de cadre juridique pour l’encryptage des données / Protection des données

à titre privé

Institution de cadre juridique pour le commerce et le payement électronique

Insitation à la consommation des Services Cloud Cost Saving + Green

Page 22: Cloud Computing Security

La Culture Cloud Opérateurs Télécoms:

Certains sont Prêts pour le cloud vu la modularité de leur infrastructure et la

culture Service Delivery et SLA

Jouer le rôle de fournisseur (Service, Bande) / d’intermédiaire de confiance

Enrichir les SVA et augmenter la marge par client tout en proposant des

services sécurisés et certifiés

Banques:

Assurer les moyens de payements sécurisés, modernes, rapides et efficaces

Soutenir la consommation sécurisée des services clouds (Packaging des

services de sécurité pour mitiger le risque)

Page 23: Cloud Computing Security