Sécuriser le cloud, c'est possible pour Amazon Web Services

• Imprimer

Selon AWS, en installant les systèmes de détection des intrusions et de prévention dans le cloud, il est possible de limiter l'impact des attaques par déni de service. Le spécialiste du cloud pousse aussi le service de chiffrement, ainsi que ses différentes certifications pour garantir une sécurité importante du cloud.

Amazon Web Services (AWS) veut que les utilisateurs de cloud bénéficient d'un meilleur niveau de protection et cherche à étendre ses offres de sécurité en proposant des appliances hébergées avec des systèmes de protection contre les intrusions et davantage de fonctionnalités de chiffrement. Amazon entend prouver que sa plate-forme cloud est capable d'offrir le même niveau de sécurité qu'un matériel et des logiciels traditionnels.

Selon Stephen Schmidt, directeur de la sécurité des systèmes d'information d'AWS (en photo), « on entend souvent dire que les entreprises ne peuvent pas bien répondre à leurs exigences de sécurité dans le cloud. Par exemple, en matière de contrôle d'accès, de contrôle des périphériques dans un périmètre réseau ou quand elles doivent construire des réseaux cohérents avec leurs exigences de conformité ou d'application. Or, dans la plupart des cas, nous constatons qu'elles pourraient non seulement faire la même chose tout de suite dans le cloud, mais qu'elles pourraient en plus bénéficier de contrôles plus granulaires ».

Rassurer avec des appliances de sécurité dans le cloud

Le directeur de la sécurité des systèmes d'information d'AWS pense qu'il y a aussi un malentendu sur la question de la séparation des ressources informatiques dans le cloud. « Certains ouvrages universitaires disent qu'il est, par exemple, théoriquement possible d'ajouter un canal entre hyperviseurs pour faire passer des informations entre machines virtuelles. Mais ces articles se basent sur des expériences de laboratoire, et ne se réfèrent pas au monde réel », a affirmé Stephen Schmidt. « Le service Virtual Private Cloud, qui permet aux utilisateurs de configurer une section logiquement isolée du cloud d'Amazon, contredit totalement ce genre d'idées », a ajouté le dirigeant d'AWS.

Le fournisseur travaille actuellement avec des partenaires pour permettre aux entreprises d'installer des appliances de sécurité dans le cloud, y compris des appliances virtuelles dont le travail sera dédié à la détection et à la prévention des intrusions. « Le déplacement de ces fonctions de sécurité dans le cloud peut fortement intéresser des entreprises concernées par les attaques par de déni de service (DDoS) dont un des objectifs est de saturer au maximum la bande passante », a expliqué Stephen Schmidt. « Il est certain que, contrairement à nous, les petites entreprises ne peuvent pas se permettre d'avoir ce type de connectivité à Internet. Par ailleurs, elles n'ont pas forcément l'expertise réseau nécessaire pour contrer des attaques à grande échelle comme nous pouvons le faire », a-t-il ajouté.

Une extension du service de chiffrement

Le groupe va aussi étendre la façon dont les solutions de chiffrement peuvent être utilisées pour protéger l'information. « À court terme, nous envisageons d'ajouter le chiffrement sur des morceaux de données plus petits et plus granulaires », a encore déclaré Stephen Schmidt.



Amazon a déjà entrepris d'améliorer la fonction de chiffrement, notamment avec l'intégration récente de Oracle Transparent Data Encryption à son service de base de données relationnelle Relational Database Service (RDS), et avec l'introduction de CloudHSM, un service qui s'appuie sur une appliance distincte pour protéger les clés cryptographiques utilisées pour le chiffrement. « Vous pouvez constater que nous mettons en place un certain type de service afin d'offrir aux clients les outils nécessaires pour créer une infrastructure de chiffrement qui leur permet de s'assurer que seules les personnes autorisées, dans ou hors de l'entreprise, ont accès à ces données », a déclaré Stephen Schmidt.

Informer sur les certifications

L'un des points forts de la sécurité d'Amazon a été de réunir différents types de certifications. « Pour certaines industries, c'est un must absolu. Par exemple, pour migrer Amazon.com vers AWS, nous devions être conforme aux normes PCI, à cause des volumes de transaction par carte de crédit. Pour que les administrations américaines puissent migrer vers AWS, il a fallu se hisser au niveau de leurs règles et de leurs spécificités, de même pour ce qui est des règles de conformité exigées par le gouvernement britannique, », a encore déclaré le RSSI d'AWS. « Les entreprises pour lesquelles la conformité n'est pas une nécessité absolue, des certifications comme l'ISO 27001 leur permettent de situer les pratiques d'Amazon en matière de sécurité ».

Amazon travaille toujours sur la certification Federal Risk and Authorization Management Program (FedRAMP), un programme du gouvernement américain dont le but est de standardiser l'évaluation de la sécurité, l'autorisation, et la surveillance en continu des services cloud. « C'est un processus en évolution. Le gouvernement américain n'a pas encore décidé ce qu'il veut faire avec FedRAMP, et il ne cesse de changer certains critères d'évaluation, mais j'espère que ce sera bientôt réglé, car nous sommes vraiment impatients de pouvoir la mettre en oeuvre », a déclaré Stephen Schmidt.

Les entreprises et les administrations publiques pourront se reposer sur FedRAMP au lieu de réaliser leurs propres évaluations, ce qui entraînera pour elles des économies de coûts et permettra de rendre les évaluations plus uniformes. « Aujourd'hui, certaines entreprises sont plus capables que d'autres de faire cette évaluation, mais le programme de FedRAMP va aplanir ces différences et augmenter la barre en matière de sécurité dans l'espace public », a déclaré Stephen Schmidt.