Introduction à la sécurité du Cloud

Une présentation de la sécurité du Cloud :

  • Les capacités de sécurité du Cloud englobent les technologies des couches matérielles et logicielles qui contribuent à l'informatique confidentielle : une informatique qui permet de garder les informations secrètes.

  • Les solutions de sécurité zéro confiance Intel® accélèrent le chiffrement, garantissent que les applications s'exécutent comme prévu, établissent une base de confiance dans la couche du microprogramme et offrent un stockage inviolable.

  • Intel® Software Guard Extensions (Intel® SGX) contribue à la mise en œuvre de l'informatique confidentielle, et Intel travaille en étroite collaboration avec les fournisseurs de services Cloud (CSP, Cloud Service Providers) pour intégrer des solutions comme celles-ci dans les offres de Cloud public.

author-image

Par

Qu'est-ce que la sécurité du Cloud ?

L'informatique en nuage sécurisée englobe trois capacités essentielles : la confidentialité, l'intégrité et la disponibilité. La confidentialité est la capacité de garder des informations secrètes pour les personnes qui ne devraient pas y avoir accès. L'intégrité signifie que les systèmes fonctionnent comme ils sont censés le faire et produisent des résultats qui ne sont pas inattendus ou trompeurs. La disponibilité concerne le maintien du temps de fonctionnement de l'infrastructure Cloud et des services basés sur le Cloud, ce qui inclut la prévention des attaques par déni de service (DoS, Denial of Service).

La sécurité n'est jamais aussi robuste que la couche qui la précède. Les entreprises qui élaborent leurs politiques de sécurité du Cloud doivent envisager une stratégie de « défense en profondeur ». Cela signifie qu'il faut construire à partir de zéro, avec une base fiable dans la couche matérielle. Les applications et les logiciels dans le Cloud fonctionneront de manière plus sûre s'ils sont déployés sur une base sécurisée.

Il existe de nombreux outils matériels Intel® qui répondent à ces capacités essentielles dans les plateformes d'informatique sur le Cloud, et grâce aux fonctionnalités de sécurité intégrées dans chaque pièce de silicium Intel®, il suffit de les activer. Des outils tels que le chiffrement, les microprogrammes et les protections de plateforme constituent un bon point de départ pour répondre aux préoccupations des entreprises et des organismes publics en matière de sécurité informatique. Grâce aux fonctionnalités améliorées de sécurité des données disponibles dans le Cloud, vous pouvez enfin profiter des avantages en termes de coûts et d'agilité qu'offrent les déploiements de Cloud public, privé ou hybride grâce à des technologies qui permettent une informatique confidentielle.

Pourquoi la sécurité du Cloud est-elle importante ?

Le Cloud offre des ressources de calcul et de stockage à la demande qui peuvent transformer les entreprises et accélérer le développement et le déploiement de services. Toutefois, les entreprises ne peuvent pas profiter de tous ces avantages potentiels sans une base solide qui les protège des menaces numériques, des logiciels malveillants et des pirates informatiques. L'objectif est de réduire la surface d'attaque totale, de gérer les risques liés à l'accès aux ressources du Cloud et, en définitive, de rendre l'utilisation du Cloud rentable et bénéfique.

Tous les secteurs d'activité s'efforcent de faire face à l'évolution constante du paysage des menaces, qu'il s'agisse de protéger la propriété intellectuelle, de maintenir les systèmes à jour ou de garantir la conformité aux réglementations en matière de confidentialité. Les équipes chargées de la sécurité informatique sont souvent en sous-effectif ou peinent à répondre aux besoins en constante évolution de l'entreprise. L'informatique en nuage offre une solution à ces problèmes, car de nombreux Cloud publics intègrent la cybersécurité, le chiffrement et la protection des données dans leurs offres de services.

Le Cloud est en train de devenir une plateforme de premier ordre pour les personnes soucieuses de sécurité, où les dernières technologies sont mises en œuvre, où des experts en cybersécurité sont disponibles 24 heures sur 24 et où les progrès en matière de menaces numériques sont traités en temps réel. Non seulement les entreprises peuvent bénéficier de ressources de calcul et de stockage à la demande dans le Cloud, mais elles peuvent également bénéficier de fonctionnalités de sécurité des données de classe mondiale.

Comment la sécurité du Cloud est-elle différente de la sécurité du réseau ?

La sécurité du réseau consiste à sécuriser le périmètre d'un centre de données, ainsi que le mouvement des données à l'intérieur ou à l'extérieur de celui-ci. Il s'agit d'utiliser l'infrastructure du réseau et les contrôles d'accès pour gérer le flux de données et empêcher les menaces numériques de pénétrer sur le réseau. Un exemple clé de la sécurité du réseau est l'utilisation de pare-feux pour limiter l'accès à des ports spécifiques du réseau. Mais la mise en réseau n'est qu'un élément de l'équation et le cloud computing englobe toute la gamme des appareils, des données et des logiciels. Les entreprises et les architectes du Cloud ont besoin d'un périmètre de réseau robuste et sécurisé, mais il existera toujours des menaces internes et des violations de données qui contournent les protections du périmètre. Par conséquent, il est important d'avoir une stratégie de sécurité à plusieurs niveaux, comme l'informatique confidentielle, qui touche le matériel, les logiciels et les applications.

Cloud pour les secteurs réglementés

S'il est important de protéger les ressources du Cloud, la priorité est encore plus élevée dans les secteurs réglementés tels que la santé, la finance et l'administration. Par exemple, les organisations de soins de santé aux États-Unis doivent se conformer à la Health Insurance Portability and Accountability Act (HIPAA, Loi sur la portabilité et la responsabilité en matière d'assurance maladie) pour protéger les données sensibles des patients contre tout accès non autorisé. Les fournisseurs de services financiers doivent se conformer à la loi Sarbanes-Oxley pour rendre des comptes au public tout en employant leurs propres méthodes de cybersécurité pour aider à détecter et à prévenir la fraude.

Les agences fédérales doivent respecter un ensemble strict de normes de conformité pour l'informatique en nuage au sein du gouvernement. Il s'agit notamment du Programme FedRamp (Federal Risk and Authorization Management Program) et cadre du NIST (National Institute of Standards and Technology). Intel a participé au développement du cadre NIST et continue d'aider les organisations à s'aligner sur ses exigences.

La présence d'une racine de confiance matérielle peut contribuer à garantir, tant aux entreprises de ces secteurs réglementés qu'aux autorités de réglementation elles-mêmes, qu'une diligence raisonnable est exercée pour protéger les données sensibles dans le Cloud.

Souveraineté des données

La souveraineté des données est un autre domaine hautement réglementé dont doivent tenir compte les organisations qui utilisent des ressources de Cloud public ou hybride. Le concept de souveraineté des données désigne la manière dont les gouvernements nationaux imposent des exigences, des restrictions ou des moyens d'accès différents aux données en fonction de l'endroit où elles sont physiquement stockées. La réglementation peut stipuler que les charges de travail ou les données concernant les citoyens d'un pays ne peuvent pas quitter le pays ou reposer sur un serveur qui ne se trouve pas à l'intérieur des frontières de ce pays. Les fonctionnalités activées par le matériel, comme le démarrage sécurisé, peuvent contribuer à la souveraineté des données. Au lancement de l'application, le démarrage sécurisé permet de vérifier que les données sont exactement à l'endroit où elles sont censées se trouver, ou d'empêcher une application de fonctionner avec des données migrées.

Sécuriser les Cloud publics, hybrides et privés

Les entreprises qui investissent dans une infrastructure de Cloud privé ou public peuvent bénéficier de la sécurité matérielle Intel®, qui crée une base fiable pour les données au repos, en vol et en cours d'utilisation. Les principales innovations d'Intel contribuent à l'accélération du chiffrement, à l'exécution fiable des applications, à l'établissement d'une base de confiance dans la couche du microprogramme et à un stockage inviolable.

  • Les processeurs Intel® Xeon® Scalable offrent des fonctionnalités matérielles améliorées, notamment l'Intel® Total Memory Encryption (Intel® TME). Intel® TME contribue à garantir que toute la mémoire accessible à partir du processeur Intel® est cryptée, y compris les informations d'identification du client, les clés de cryptage et autres informations d'identification personnelle.
  • Intel® Software Guard Extensions (Intel® SGX) sur certains systèmes permet de protéger l'intégrité des applications et la confidentialité des données. Cette technologie établit des « enclaves de données » dans la mémoire pour aider à isoler les données en cours d'utilisation. Intel® SGX est une technologie clé qui assure la confidentialité des modèles de traitement Cloud et multipartites, ce qui est particulièrement pertinent pour les charges de travail de données sensibles dans les secteurs réglementés tels que les services financiers, la santé et le gouvernement.
  • Intel® Platform Firmware Resilience (Intel® PFR), disponible exclusivement sur les processeurs Intel® Xeon® Scalable, permet de renforcer la protection contre l'interception des microprogrammes, de détecter leur altération et de rétablir les systèmes compromis dans un état connu.

Activer l'informatique multipartite

L'initiative relative à l'informatique confidentielle contribue à la mise en œuvre d'un nouveau cas d'utilisation dans le cadre de la collaboration interorganisationnelle, connu sous le nom d'informatique multipartite. Par exemple, l'Université de Californie à San Francisco (UCSF, University of California San Francisco) a créé une plateforme optimisée par Intel® SGX pour garantir la confidentialité des patients tout en utilisant des algorithmes pour exploiter des ensembles de données sélectionnées. Cela permet à différents hôpitaux de combiner leurs données et d'accélérer la recherche, ce qui pourrait conduire à la détection précoce de maladies ou à l'accélération des essais cliniques. Le Confidential Computing Consortium est une initiative communautaire qui continue d'explorer des possibilités comme l'informatique multipartite, rendue possible par des innovations comme Intel® SGX.

Sécurité collaborative

Intel travaille en étroite collaboration avec les fournisseurs de services Cloud (CSP) afin de fournir le matériel et les technologies Intel® les plus récents pour aider à se défendre contre les menaces. Cela inclut la mise en œuvre de nouvelles générations de matériel avec des innovations telles qu'Intel® SGX et des mises à jour des microprogrammes ou des bases de données sur les menaces afin de garantir que les plateformes fonctionnent avec les correctifs de sécurité les plus récents. L'utilisation d'un Cloud public permet aux entreprises de bénéficier d'une technologie de pointe tout en déchargeant les CSP de la charge de la recherche et de la mise en œuvre des technologies les plus récentes. Néanmoins, les entreprises qui souhaitent concevoir et déployer leur propre infrastructure de Cloud privé, ou travailler avec des CSP pour accéder à des ressources du Cloud public, peuvent commencer par demander conseil à Intel.