Академический Документы
Профессиональный Документы
Культура Документы
I
Remerciements
Je remercie également l’équipe Devoteam pour leur accueil et leur intérêt, notamment mon
maître de stage Vincent Gervais pour ses précieux conseils, ses orientations, et aussi pour
ses qualités humaines d’écoute, de soutient et de compréhension tout au long de ce stage.
Dans un cadre plus personnel, je remercie mes très chers parents, pour leur soutien incon-
ditionnel, leur amour et sacrifices inestimables et pour m’avoir inlassablement poussé à
aller de l’avant. Tout mot dit, je ne les remercierais jamais assez. Je remercie également
mes adorables soeurs: Cylia, Akila, Liza et notre ange Yasmine, sans lesquelles rien ne
serait autant agréable.
Je ne saurais terminer mes remerciements sans remercier toute ma famille qui a cru
en moi ainsi que tous mes amis, notamment ceux du master ACN et mes collègues de
Devoteam auprès desquels j’ai passé les meilleurs moments durant cette année.
II
Abstract
Abstract
This report presents an overview of my work during my internship. This internship was a
part of Advanced Communication Networks Master operated by Telecom ParisTech and
Ecole Polytechnique within the Paris-Saclay university. I worked at Devoteam in the Risk
and Security division based in Levalloit-Perret, France. I joined for 22 weeks the Cloud
and Security team on April 2018.
The topic of this internship was the study of the security of multicloud infrastructures. I
was new in both security and Cloud computing, so I had first to study the cloud and the
related technologies. Then, in a second part, I had to go deeper by studying the security
issues related to the cloud and the solutions offered by different cloud providers. A final
part is devoted to Multicloud.
1
Table des matières
Remerciements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II
Table des figures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Introduction Générale 1
2
Abstract
3 Le Multicloud 26
3.1 Les avantages du Multicloud . . . . . . . . . . . . . . . . . . . . . . . . . . 26
3.2 Les challenges du multicloud . . . . . . . . . . . . . . . . . . . . . . . . . . 27
3.2.1 La sécurité du multicloud . . . . . . . . . . . . . . . . . . . . . . . 28
3.2.1.1 SLA : Service-Level Agreement . . . . . . . . . . . . . . . 28
3.3 Les fournisseurs de cloud publics . . . . . . . . . . . . . . . . . . . . . . . 29
3.3.1 Comparaison entre les services de sécurité des fournisseurs Cloud . 29
3.3.1.1 AD as a service . . . . . . . . . . . . . . . . . . . . . . . . 30
3.3.1.2 Certificate Manager . . . . . . . . . . . . . . . . . . . . . 30
3.3.1.3 Dedicated HSM . . . . . . . . . . . . . . . . . . . . . . . . 30
3.3.1.4 IAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
3.3.1.5 Key Storage Management . . . . . . . . . . . . . . . . . . 31
3.3.1.6 Security assessment . . . . . . . . . . . . . . . . . . . . . . 31
3.3.1.7 Threat detection and monitoring . . . . . . . . . . . . . . 31
3.3.1.8 Web Firewall . . . . . . . . . . . . . . . . . . . . . . . . . 31
3.3.1.9 ACL et groupes de sécurité . . . . . . . . . . . . . . . . . 31
3
Abstract
4 DEVOLAB 33
4.1 Presentation of DEVOLAB . . . . . . . . . . . . . . . . . . . . . . . . . . 33
4.2 Architecture de DEVOLAB . . . . . . . . . . . . . . . . . . . . . . . . . . 34
4.2.1 Cas d’usage de Devolab : Dans les universités . . . . . . . . . . . 34
4.3 Sécuriser DEVOLAB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
4.3.1 Terraform . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
4.3.1.1 Infrastructure as a code IAC . . . . . . . . . . . . . . . . 36
4.3.2 Construction d’une plateforme Multicloud . . . . . . . . . . . . . . 36
4.3.2.1 Découverte de service et répartition de charge . . . . . . 37
4.3.2.2 Stockage et réplication des données en mode Multicloud . 37
4.3.2.3 Réplication synchrone et asynchrone . . . . . . . . . . . . 38
4.3.3 La sécurisation de la plateforme . . . . . . . . . . . . . . . . . . . . 38
Sytnthèse et Conclusion 39
Références 40
4
Table des figures
5
Introduction Générale
Introduction Générale
Les technologies de l’information et de la communication évoluent et révolutionnent nos
modes de vie et de travail. Le cloud computing ou informatique virtuelle, est apparu ces
dernières années comme un nouveau modèle de gestion et d’utilisation des systèmes in-
formatiques. Le concept consiste à déporter sur des serveurs distants les traitements et
stockages habituellement effectués en local afin d’y accéder sous forme de service.
En fonction des besoins, les services du cloud computing peuvent s’étendre du simple
approvisionnement de machines virtuelles, services IaaS (Infrastructure as a service) aux
services de type applications SaaS (Software as a service). Plusieurs modes de déploie-
ment de ces services peuvent être employés selon l’ « institut national des normes et de
la technologie » des Etats-Unis (National Institute of Standard and Technology NIST)
parmi lesquels on peut distinguer le mode public et le mode privé.
Le Cloud génère de nouveaux risques, tant du côté du prestataire que du côté du client,
notamment au niveau de la pérennité des données. Il est donc nécessaire de s’assurer que
ces nouveaux risques sont maîtrisés avant de choisir sa solution Cloud.
Le déploiement de plusieurs plateformes Cloud offre plus de marge de manoeuvre et de
choix. Mais, pour les responsables IT, cette gestion multicloud reste un point épineux.
Contexte et Objectifs
L’objectif de ce stage consiste à intérvenir dans la sécurisation d’une plateforme multi-
cloud au sein de l’équipe "Cloud Architecture" de Vincent Gervais et de participer au
développement de l’offre Cloud Cyber Security ainsi qu’aux activités de conseil réalisées
pour des prospects ou des clients de grands comptes.
Le présent rapport fera l’objet d’une description synthétique de ce que j’ai pu acquérir
comme compétences durant le stage, il comporte plusieurs parties organisées comme suit :
La première partie est consacrée à la présentation de l’organisme d’accueil "Devoteam" et
à la présentation du contexte du stage et de la problématique traitée. Puis vient la seconde
partie, elle comporte essentiellement les généralités sur le cloud ainsi que des problèmes de
sécurité qui y sont liés. La troisième partie traite les plateformes multicloud. Finalement,
le rapport est clôturé par un cas pratique : sécurisation de DEVOLAB, une plateforme
multicloud de Devoteam.
1
Chapitre 1
Actuellement Devoteam compte plus de 5200 collaborateurs engagés dans la bataille digi-
tale des clients. Les collaborateurs sont présents dans 17 pays majoritairement en Europe
et Moyen Orient. Le groupe présente cependant une volonté de développement à l’interna-
tional forte d’ici 2020, l’objectif étant de doubler le nombre de pays dans lequel Devoteam
est implanté d’ici 2 ans.
2
Chapitre 1 : Organisme d’accueil, Devoteam
3
Chapitre 1 : Organisme d’accueil, Devoteam
Devoteam est une société majeure dans le monde du conseil. Il n’y a pas de production
de bien car il s’agit d’une entreprise du secteur tertiaire.
En 2016 Devoteam a enregistré un chiffre d’affaire de 479 M réparti au travers des filiales
internationales. Devoteam a fait le pari fou de doubler leur chiffre d’affaire, nombre d’em-
ployés ainsi que nombre de pays dans lequel elle est représentée d’ici 2020, ce programme
se nomme Scale !2020. Ce programme ambitieux est une opportunité pour développer le
business rapidement, en 2017 le chiffre d’affaire était de plus de 540 M, dans la ligné de
ce programme.
Le leitmotiv de Devoteam est la proactivité, une volonté d’être perpétuellement actif
même lorsque les consultants ne sont pas en mission est inculquée. Voici la répartition des
activités de RD en 2017.
4
Chapitre 1 : Organisme d’accueil, Devoteam
elle regroupe les Offer Units (OU) les plus développées, notamment l’OU Risk Security
que j’ai intégrée au cours de mon stage.
Cette organisation par branche permet d’adopter une stratégie de management plus di-
recte. Chaque directeur d’OU possède une équipe de managers et d’opérateurs dépendants
d’eux, l’intérêt de séparer les branches en OU est que toute personne de l’OU aura au
maximum deux managers entre lui et la direction ce qui facilite les relations de proximité.
Au sein même de chaque OU, tous les consultants sont encadrés par :
5
Chapitre 1 : Organisme d’accueil, Devoteam
• Un Skill Center Manager (SCM) il s’agit d’un manager proche du consultant, qui
s’occupe de superviser le consultant dans les phases d’avant-vente et de production.
6
Chapitre 1 : Organisme d’accueil, Devoteam
• Sensibilisation : Produire des contenus pour des modules d’e-learning avec des ap-
proches spécifiques prenant en compte les besoins des clients (pédagogie, matériels,
etc.).
J’ai intégré l’équipe « Cloud Architecture » de Vincent GERVAIS pour participer au dé-
veloppement de l’offre Cloud Cyber Security et participer aux activités de conseil réalisées
pour des prospects ou des clients grands comptes.
Ma principale mission au sein de l’équipe était dans un premier temps connaitre et mai-
triser les risques associés au Cloud Computing et pour ce faire avoir donc une bonne
compréhension du domaine du cloud, afin de proposer des solutions et des bonnes pra-
tiques pour sécuriser de la plateforme multicloud DEVOLAB.
7
Chapitre 2
Le recours au Cloud Computing est devenu de plus en plus remarquable compte tenu de
plusieurs services qu’il offre, notamment le service PaaS qui représente une plateforme
optimisée pour développer, tester, déployer et gérer le fonctionnement des applications et
des logiciels, tout en assurant un cout réduit.
Au cours de ce chapitre, nous allons présenter les différents aspects liés au cloud, à savoir
les caractéristiques, les modèles de déploiement, les modèles de services et les problèmes
de sécurité liés au cloud.
2. Accès ubiquitaire au réseau : l’ensemble des services offerts par le Cloud Com-
puting sont mis à disposition sur l’internet. L’accès se fait à travers des techniques
8
Chapiter 2 : Généarlités sur le cloud
standardisées qui permettent de s’en servir aussi bien avec un ordinateur qu’un
téléphone ou une tablette.
3. Mise en commun des ressources : A l’aide d’un modèle multi-locataire, des res-
sources telles que la bande passante, les machines virtuelles, la mémoire, la puissance
de traitement et la capacité de stockage sont partagées entre plusieurs consomma-
teurs. ces ressources sont affectées dynamiquement et réaffectées en fonction des
besoins des clients.
4. Élasticité rapide : Les utilisateurs peuvent rapidement et automatiquement aug-
menter et diminuer les ressources informatiques selon le besoin. Cela donne aux
consommateurs l’impression que les ressources sont infinies. Lorsque les ressources
ne sont plus utilisées, elles sont renoncées dans le réservoir des ressources.
5. Service mesuré : la quantité des ressources consommées (stockage, CPU, bande
passante, comptes utilisateurs actifs, etc.) dans le Cloud est mesurée de façon précise,
à des fins de contrôle, d’adaptation des moyens techniques et de facturation. Par
conséquent les clients paient seulement ce qu’ils utilisent réellement.
9
Chapiter 2 : Généarlités sur le cloud
gérée par l’organisme lui-même, un tiers ou une combinaison des deux, et elle peut exister
dedans ou en dehors des locaux. Elle fournit un contrôle maximum sur les données, la
sécurité et la qualité du service. Cependant, elle est souvent critiquée pour être similaire
aux serveurs propriétaires traditionnels.
10
Chapiter 2 : Généarlités sur le cloud
11
Chapiter 2 : Généarlités sur le cloud
Amazon Web Services (AWS) avec Elastic Compute Cloud (EC2), Microsoft avec Azure
et Google avec Compute Engine.
12
Chapiter 2 : Généarlités sur le cloud
Il faut savoir que la sécurité du cloud n’est pas en la délégation de la sécurité aux four-
nisseurs. Les clients, en plus des fournisseurs, ont une responsabilité non négligeable dans
la sécurité du cloud. Il est donc important d’insister sur le fait que la sécurité du cloud
n’est pas une sécurité déléguée.
Le client doit donc appliquer un certain nombre de pratiques qu’on peut résumer dans la
liste non exhaustive suivante :
13
Chapiter 2 : Généarlités sur le cloud
• Performance
• Control
• Complexité de construire un cloud privé
• Gestion de couts
C’est vrai que chacune de ces questions affecte l’adoption du Cloud mais le problème
majeur, qui est souvent considéré comme le frein principal à l’adoption du Cloud, est
le problème de la sécurité. Les principales menaces de sécurité affectant le paradigme
du Cloud qui ont été identifiées par le Cloud Security Alliance (CSA) sont les douze
suivantes :
14
Chapiter 2 : Généarlités sur le cloud
10. Déni de service : les attaques basées sur le déni de services (ou DOS pour Deny
of service) se sont avérées être viables contre de nombreux types d’infrastructures,
y compris celles des fournisseurs de Cloud.
Il convient, toutefois, d’indiquer que, bien que les services en Cloud soient vulné-
rables aux attaques (distribuées) de déni de services, ils offrent également une cer-
taine protection contre les DOS dans leur nature élastique qui peuvent être exploités
par les CSP pour fournir une meilleure protection des consommateurs.
11. Problèmes de technologie partagée : causés par le partage des services évolu-
tifs en termes d’infrastructure, de plate-forme et d’application entre plusieurs utili-
sateurs.
12. Les initiés malveillants : Cela peuvent être décrits par plusieurs définitions.
Le CSA utilise la définition du CERN qui dit que : " Un initié malveillant est un
employé actuel ou ancien, un entrepreneur ou un autre partenaire qui a ou a eu
un accès autorisé au réseau, au système ou aux données d’une organisation et qui
il a excédé ou fait mauvais usage de ce pouvoir et qui a une incidence négative
sur la confidentialité, l’intégrité ou la disponibilité des systèmes d’information de
l’organisation ".
Une autre définition qui peut être donnée à un malveillant initié est celle qui décrit
le modèle« honnête mais curieux ». Ce modèle est un modèles de menaces populaire
dans la majorité des schémas. Dans ce modèle, chaque entité est honnête dans le
sens où elle ne fournit pas de fausses entrées ou sorties, mais curieuse dans le sens
qu’elle essaie d’obtenir des informations supplémentaires, si le protocole le permet.
15
Chapiter 2 : Généarlités sur le cloud
• Protection contre les coupures et les variations de courant, ceci avec l’utilisation des
ondulateurs et des générateurs
• Climatisation : s’assurer que les salles sont équipées d’un système de climatisation
avec des capteurs de chaleur, détecteur d’incendie, etc.
• Accorder les autorisations nécessaires aux utilisateurs intervenant sur des ressources
spécifiques.
• Contrôler l’accès aux ressources cloud et leur visibilité afin de centraliser la gestion.
• Offre une vue unifiée des règles de sécurité pour l’ensemble de l’organisation, avec
un système d’audit intégré qui simplifie les processus de conformité.
16
Chapiter 2 : Généarlités sur le cloud
• L’identité fédérée : un système qui s’appuie sur l’identité fédérée pour authentifier
un utilisateur sans connaître son mot de passe. C’est le moyen de relier l’ identité
électronique et les attributs d’ une personne , stockés sur plusieurs systèmes de
gestion d’identité distincts. Le modèle fédéré définit des services d’identité tels que
le « Single Sign On », la fédération d’identités et l’échange d’attributs, une fois
l’utilisateur authentifié, il peut avoir accès aux services fournis par d’autres sans
authentification supplémentaire.
Avant d’établir un système IAM, il est important de se poser les questions suivantes :
3. Est-ce qu’un seul username peut être utilisé pour plusieurs connexions simultanées ?
(Cela impacte la capacité de planification)
5. Quelle est la scalability (monté en charge) requise dans les prochains mois ?
7. Quels sont les processus qui assurent que l’administrateur du système est informé
de la création et de la suppression des utilisateurs du système ?
8. Est-ce qu’un utilisateur sera supprimé ou désactivé après qu’une requête soit faite
pour ?
9. Est-ce qu’on conserve les données des anciens utilisateurs ou on ne garde aucune
trace ? ( Pour savoir si les anciens comptes peuvent être réinitialiser ou pas)
17
Chapiter 2 : Généarlités sur le cloud
• Le service de gestion des identités définit les identités des utilisateurs et des res-
sources, et fournissent une gestion centralisée pour stocker et lire les identités.
• Le service de gestion des accès qui fonctionne avec le service de gestion des identités
pour contrôler quels utilisateurs ont accès à quelleS ressources. Ces services peuvent
utiliser la connexion unique (SSO/ Single Sign-On), la gestion d’accès basée sur les
rôles et d’autres fonctionnalités.
• Le service de gouvernance d’identité créé des stratégies pour la gestion des identités
afin de garantir le respect des exigences de conformité et de gouvernance.
• Le service d’authentification améliore la sécurité grâce à l’authentification multifac-
teur ou hors bande pour vérifier l’identité.
En plus du contrôle des autorisations relatives aux ressources, il est important de mettre
à la disposition des administrateurs l’historique complet des attributions, suppressions et
délégations des autorisations. Pour simplifier le contrôle et l’audit de l’IAM, un ensemble
de pratiques sont mises à disposition des administrateurs et qu’on peut regrouper dans
les points suivants :
Analyse et alertes :
Les fonctionnalités d’analyse et d’alerte permettent d’implémenter des indicateurs, alertes
et tableaux de bord propres au contexte client en appliquant un certain nombre de règles
de cohérence des données et des droits d’accès.
Contrôler et simplifier l’accès aux applications : L’objectif est double :
18
Chapiter 2 : Généarlités sur le cloud
• Contrôler l’accès aux applications : vérifier que l’utilisateur est bien autorisé à réa-
liser l’accès demandé, et tracer cet accès. Pour parvenir à cet objectif, il existe
plusieurs approches techniques, qui visent des situations différentes. Les solutions
associées s’appuient sur des référentiels d’identités et assurent l’audit et la traçabilité
des authentifications et des habilitations.
19
Chapiter 2 : Généarlités sur le cloud
La protection contre les pertes de données connue sous le nom de LDP pour Data Loss Pre-
vention est un outil spécialisé, géré de manière centralisée par une console de commandes
et déployé sur le réseau, qui permet de réduire le risque d’une exposition (délibérée ou
accidentelle) d’un contenu électronique. Le LDP permet d’identifier, surveiller et protéger
les données utilisées, transférées et stockées par l’inspection approfondie des contenus et
l’analyse contextuelle des transactions.
Mise en place d’une politique DLP :
Afin de mettre en place une politique DLP efficace, cinq principales étapes sont à suivre :
• Classer les données selon leur criticité, afin de définir l’ordre de protection de chacune
d’elles.
• Faire intervenir toutes les entités qui composent l’entreprise et s’assurer qu’aucune
loi n’a été enfreinte (le respect du RGDP).
20
Chapiter 2 : Généarlités sur le cloud
On peut identifier trois briques composant une solution DLP : Storage, Network et End-
point.
21
Chapiter 2 : Généarlités sur le cloud
-DLP Storage : Pour sécuriser les données, il faut être en mesure de définir leur empla-
cements ainsi que les personnes qui les manipulent, c’est ce que fait L’identification puis
dans un second temps les protéger.
-DLP Network : Les données en transit, via la messagerie électronique et le web, sont
plus vulnérables que d’autres (perte de données malveillantes et accidentelles découlant
d’attaques externes ou de menaces internes). Deux opérations sont à prévoir : la sur-
veillance des données en transit ainsi que les comportements et les anomalies afin d’iden-
tifier les utilisateurs présentant un risque dans le réseau ainsi que la protection de ces
dernières.
-DLP Endpoint : sert à contrôler les données aux terminaux qu’ils soient ou non connec-
tés au réseau. Il doit permettre aussi le partage en toute sécurité des données présentes
sur un dispositif de stockage amovible grâce à un chiffrement des fichiers basé sur des
politiques.
En cas de perte de données dans l’entreprise, il est primordial d’appliquer les contre-
mesures suivantes afin d’amortir les conséquences :
• Conduite du changement
• Étendre les mesures aux autres entités de l’organisation et communiquer auprès des
équipes.
22
Chapiter 2 : Généarlités sur le cloud
• Chiffrement des données côté client Les clients ont une grande part de res-
ponsabilité concernant la sécurité de leur propres données et doivent se conformer
aux règles européennes et internationales vis à vis de la protection des données et
leur non divulgation, spécialement celles comportant des caractères personnels. Le
chiffrement des données côté client doit se faire à la fois sur les données locales,
allant vers le cloud et transitantes sur le réseau de l’organisation.
Le chiffrement est basé sur des algorithmes avancés de chiffrement. La majorité d’entre
eux sont fondés sur des algorithmes basés sur des clés, utilisant soit une clé partagée ou
une paire de clés publique-privée. Sinon, il est aussi possible d’utiliser la segmentation en
unités, un processus qui consiste à substituer aux champs de valeurs précises des valeurs de
données anonymes (ce qui peut permettre ou non la récupération des données originales).
Pour choisir une solution de chiffrement, il faut prendre en compte la capacité de l’appli-
cation ainsi que le fournisseur cloud auquel on fait appel.
Une stratégie de gestion de clés porte sur la manière dont une organisation contrôle les
clés de chiffrement. De nombreux fournisseurs intègrent des solutions de gestion des clés
dans leurs services. Cela fait perdre le contrôle aux clients en délégant à quelqu’un d’autre
le contrôle de l’accès à l’information.
Le mieux est donc de garder le contrôle des clés au sein de l’organisation. Grâce à une
bonne solution de gestion de clés, on peut garantir une meilleure atténuation des risques.
Un HSM est un module de sécurité matérielle qui permet de générer et d’utiliser facile-
ment ses propres clés de chiffrement. C’est un appareil considéré comme inviolable offrant
des fonctions de cryptographie. Il s’agit d’un matériel électronique offrant un service de
sécurité qui consiste à générer, stocker et protéger les clés.
Les HSMs apportent beaucoup de flexibilité puisqu’ils intègrent plusieurs API standards
en plus de répondre aux standards de sécurité internationaux.
23
Chapiter 2 : Généarlités sur le cloud
L’anonymisation est une opération qui consiste à transformer des données personnelles de
façon à ne plus permettre l’identification de la personne concernée. Cette transformation
doit être irréversible. C’est-à-dire qu’il ne doit pas exister de méthode directe ou indirecte
permettant de rattacher les données à la personne d’origine.
Pratiquement, il existe plusieurs méthodes pour anonymiser les données, les plus connues
sont :
• Algorithme de généralisation
• Remplacer chaque quasi-identifiant par des valeurs moins spécifiques jusqu’à
obtenir un groupe de k valeurs identiques
• Plusieurs algorithmes ont été définis
24
Chapiter 2 : Généarlités sur le cloud
La sécurité des VPC se fait à travers les ACL et les groupes de sécurité. Il est de la
responsabilité des clients de définir les listes ACL associées aux différents sous réseaux
afin de contrôler le trafic autorisé dans le sous-réseau. Les règles du groupe de sécurité
quant à elles, sont associées à une instance bien précise pour contrôler le trafic autorisé
sur une instance et donc avoir une granularité plus fine.
25
Chapitre 3
Le Multicloud
Une stratégie multicloud consiste à faire appel à plusieurs fournisseurs de services cloud
pour profiter des avantages de chacun et élaborer des solutions parfaitement adaptées aux
besoins de l’entreprise.
En d’autres termes, c’est l’utilisation de plusieurs services de calcul et de stockage dans
une seule architecture hétérogène. Avec une architecture multicloud typique utilisant deux
clouds publics ou plus ainsi que plusieurs clouds privés, un environnement multicloud vise
à éliminer la dépendance vis-à-vis d’un seul fournisseur de cloud et de tirer d’avantage
profit des avantages de chacun.
Selon une récente étude faite en 2018 par RIGHT SCALE, plus de 81% des entreprises
ont une stratégie multicloud au sein de leur infrastructure cloud. La figure 14 illustre celà.
Figure 14 – Statistiques sur l’utilisation des stratégies multicloud par les entreprises en
2018
26
Chapiter 3 : Le Multicloud
clients d’avoir plus de choix et plus de flexibilités en termes de services. Ci-dessous une
liste non exhaustive des avantages recensés auprès des clients :
• Risque de sécurité lié au transfert de données cross-cloud (pour les scénarios dyna-
miques uniquement)
27
Chapiter 3 : Le Multicloud
1. Ils doivent fournir une sécurité d’accès pour les applications et les composants hé-
bergés dans n’importe quel cloud public, quel que soit le cloud utilisé et le nombre
d’applications déplacées ou diffusées parmi les fournisseurs de cloud public.
2. Les outils de sécurité doivent fournir une sécurité de l’information pour les données
de l’entreprise hébergées ou connectées à chaque fournisseur pour assurer la sécurité
de l’ensemble de l’infrastructure multi-cloud.
3. Ils doivent maintenir la sécurité que ça soit lors d’une défaillance ou d’une montée
en charge (mise à l’échelle).
Afin de garantir aux clients certains niveaux de sécurité dans le stockage et la gestion des
données à caractère personnel. Il faut définir de façon très précise différents indicateurs
de qualité pouvant être mesurés, analysés et contrôlés régulièrement. Il convient enfin de
prévoir des sanctions qui seront appliquées si le prestataire ne répond pas à ses obligations
mentionnées dans le SLA.
Dans le Cloud, les SLAs peuvent être exprimés entre différentes couches contractualisant
de fait des dépendances de ressources entre les différentes couches XaaS et faisant émerger
les différents protagonistes des contrats.
SLA pour Service-Level Agreement est un contrat passé entre un fournisseur de service et
ses clients internes ou externes. Ce contrat documente les services que le fournisseur met
à disposition et des paramètres comme leurs disponibilités ou les temps de réponse.
Les SLA mesurent les performances et la qualité du fournisseur de services de différentes
manières. Ainsi, un SLA peut spécifier les éléments de mesure ou indicateurs suivants :
28
Chapiter 3 : Le Multicloud
29
Chapiter 3 : Le Multicloud
3.3.1.1 AD as a service
L’objectif principal de l’AD est de fournir des services centralisés d’identification et d’au-
thentification à un réseau d’ordinateurs utilisant le système Windows. Il répertorie les
éléments d’un réseau administré tels que les comptes utilisateurs, les serveurs, les postes
de travail, les dossiers partagés et les imprimantes.
Cela permet aux utilisateurs de retrouver facilement les ressources partagées, et les admi-
nistrateurs peuvent contrôler leur utilisation grâce à des fonctionnalités de distribution, de
duplication, de partitionnement et de sécurisation de l’accès aux ressources répertoriées.
Le certificate Manager est un service qui permet de mettre en service, de gérer et de dé-
ployer facilement des certifications Secure Sockets Layer/Transport Layer Security (SSL/TLS)
afin de les utiliser avec les services et les ressources internes connectées.
Les certificats SSL/TLS sont utilisés pour sécuriser les communications réseau et pour
établir l’identité des sites Web par Internet ainsi que celle des ressources présentes sur des
réseaux privés.
Posséder un Certificate Manager évite le processus manuel d’achat et de changement et
de renouvellement de certificats en le rend plus facile et moins coûteux.
HSM (Hardware Security Module) est un module de sécurité matérielle qui permet de
générer et d’utiliser facilement vos propres clés de chiffrement sur le cloud. Il permet de
gérer les clés de chiffrement à l’aide des HSM validés. Les solutions HSM apportent, grâce
aux API (les bibliothèques PKCS#11, Java Cryptography Extensions JCE, et Microsoft
CryptoNG), la flexibilité nécessaire pour s’intégrer aux applications.
30
Chapiter 3 : Le Multicloud
3.3.1.4 IAM
La sécurité dans tout système consiste principalement à s’assurer que les données sont
uniquement accessibles à qui de droit dans le format, l’endroit et à l’instant autorisé.
La gestion des identités et des accès, abrégée en IAM pour Identity Access Management
en anglais, désigne le processus interne d’une entreprise permettant d’administrer et de
gérer les comptes utilisateurs et les ressources du réseau de l’entreprise, y compris les
droits d’accès des utilisateurs aux applications et aux systèmes.
L’IAM comporte principalement l’authentification des utilisateurs sur le réseau ainsi que
la traçabilité des droits d’accès (Autorisations).
C’est un service géré qui permet de créer et contrôler facilement les clés de chiffrement
utilisées pour chiffrer les données. C’est un service offert par les
Intégré par les fournisseurs cloud Amazon, Azure et Google, Threat Detection and mo-
nitoring est un service de détection intelligente des menaces, qui surveille en continu
les comportements malveillants ou non autorisés pour la protection des comptes et des
charges de travail.
Le Web Firewall est un système de sécurité qui contrôle le trafic entrant et sortant des
applications et sites Web hébergés dans le Cloud public. Il protège ces applications et
sites des attaques Web courantes susceptibles d’avoir une incidence négative sur leurs
performances et leur disponibilité.
Comme déjà mentionné dans le chapitre précédent, les listes de contrôle d’accès réseau
font office de pare-feu pour les sous-réseaux associés en contrôlant le trafic entrant et
sortant au niveau du sous-réseau. Les groupes de sécurité compte à eux font office de
pare-feu pour les instances, en contrôlant le trafic entrant et le trafic sortant au niveau
de l’instance.
31
Chapiter 3 : Le Multicloud
Figure 16 – Comparatif des services de sécurité des providers cloud ( AWS, Azure, GCP
& IBM Cloud
32
Chapitre 4
DEVOLAB
• La mise en place de véritable PoC (pour toutes les entités du groupe) pour tester
des outils, des OS, des distributions, des hyperviseurs et toutes solutions techniques
arrivant sur le marché.
• De permettre à nos clients de tester les outils que nous leur recommandons
33
Chapiter 4 : DEVOLAB
• Switch/Routeur, Firewall
• Des Serveurs
34
Chapiter 4 : DEVOLAB
important de mettre en place les souscriptions auprès des trois grands providers de Cloud
Public et d’assurer le management centralisé dans un outils CMP (Cloud Management
Platform).
Devolab sera déployée au travers de Terraform, dont l’une des forces est de centraliser tous
ces providers dans un outil unique, et surtout, d’en décrire leur configuration seulement.
Le descripteur de ressources utilise le Hashicorp Configuration Language (Syntaxe utilisée
par Terraform), permettant de profiter des spécificités de chaque provider, même s’ils
proposent le même type de service. Dans ce qui suit nous présentons l’outil Terraform
utilisé ainsi qu’un exemple de déploiement d’une plateforme multicloud (AWS et Google).
35
Chapiter 4 : DEVOLAB
4.3.1 Terraform
Terraform est un outil open source d’infrastructure as code, il permet la définition d’une
architecture aussi hétérogène que possible ainsi faire cohabiter des instances de différents
fournisseurs cloud(Amazone EC2 et Google Cloud Engine par exemple).
Il permet de décrire, dans une syntaxe unique, basée sur un formalisme JSON légèrement
simplifié pour une meilleure lisibilité, de l’infrastructure à provisionner chez différents
fournisseurs.
Terraform enregistre les plans d’exécution sous forme de fichier, afin de pouvoir les relire
et de les vérifier.
3. Lancer terraform
4. Créer les points d’entrée d’administration dans chaque VPC, ainsi que les points de
sortie pour les machines virtuelles qui seront hébergées.
36
Chapiter 4 : DEVOLAB
5. Configurer les composants de routages afin de permettre la connexion entre les deux
VPC.
Le but est de permettre aux applications de se découvrir mutuellement dans les deux
cloud. Deux outils sont utilisés au sein de chaque fournisseur :
• Træfik : Modern HTTP reverse proxy and load balancer. It’s made to deploy
microservices and supports several backends (Docker, Swarm mode, Kubernetes,
Marathon, Consul, Etcd, Rancher, Amazon ECS, and a lot more) to manage its
configuration automatically and dynamically.
Il faut indiquer à Traefik de se connecter à un Consul local pour retrouver la liste des
backend et des frontend à configurer. Pour assurer une haute disponibilité, on peut choisir
de déployer deux instances de Traefic au sein de chaque fournisseur.
Un des éléments les plus importants à prendre en compte lors de la construction d’un
stockage répliqué est de prendre en compte l’état du réseau reliant les différents cloud.
Pour ce faire, des tests de latence et de débits sont effectués et permettent d’orienter le
choix d’une solution de stockage.
37
Chapiter 4 : DEVOLAB
L’objectif est de s’assurer d’une disponibilité maximale même en perdant un des fournis-
seurs cloud, c’est pour ça qu’il est très important de bien choisir le stockage et la conception
des applications. Aussi, il faut prendre en compte la particularité de l’infrastructure pour
garantir une compatibilité multicloud.
Il existe deux types de réplications du stockage des données :
La réplication du stockage conditionnée par l’état du réseau, ce point est critique dans les
infrastructures multicloud par le simple fait que les deux cloud peuvent être potentielle-
ment déployés dans deux continents différents (Distants, plusieurs routeurs entre les deux
ce qui rend la latence peut devenir importante).
Cela impacte surtout les réplications synchrones, puisque les écritures ne sont validées
que si tous les nœuds acquissent, donc c’est la latence du cluster est importante ou/et la
quantité des données (le débit maximal) à écrire est importante, ça peut engendrer des
temps de latences trop importants..
38
Sytnthèse et Conclusion
Synthèse et Conclusion
Ce stage au sein de l’équipe Cloud Architecture de Devoteam, m’a permis de découvrir le
vaste univers qu’est le Coud. Il m’a également donné l’opportunité d’effleurer le domaine
de la sécurité en général et celle des infrastructures cloud plus précisément. J’ai eu l’oc-
casion de mettre à profit mes compétences acquises lors de mon parcours scolaire via les
tâches de recherche et d’intégration qui m’ont été confiées, lesquelles ont participé à la
mise en place de l’architecture de Devolab ainsi qu’à sa sécurisation.
Il est évident que le déploiement de plusieurs plateformes Cloud offre plus de marge de
manœuvre et de choix. Mais, pour les responsables IT, cette gestion multicloud reste un
point épineux. L’utilisation des services d’infrastructure Cloud requiert donc la mise en
oeuvre de mesures et contrôles de sécurité par leurs utilisateurs.
Les problèmes de sécurité relatifs à cette avancée ne sont pas pris à la légère, la sécurité
du Cloud tout comme celle de tout projet de digitalisation doit passer par une analyse
détaillée des risques et des éventuelles vulnérabilités auxquelles le système pourrait faire
face dans l’optique d’avoir une bonne visibilité et une maitrise absolue de son infrastruc-
ture et des données de son SI. Les entreprises doivent adapter leur politique de sécurité
à ces nouvelles technologies pour profiter de leur puissance sans augmenter leur surface
d’exposition aux cyberattaques.
Ce présent rapport englobe mes différentes participations au travers de mes missions
effectuées au cours de ma période de stage, dont la plus significative est la sécurisation
de la plateforme Devolab. Dans un premier temps, j’ai présenté l’entreprise d’accueil, le
milieu d’évolution et d’échange et exposé les motifs de choix et les valeurs de l’entreprise.
Ensuite, j’ai défini le contexte du stage ainsi que l’enjeu principal qu’est la sécurité du
multicloud. Un volet important a été dédié au cloud et à sa sécurité étant notre cœur
du sujet. La dernière partie est une illustration d’un cas pratique « Devolab » où il est
question de sécuriser la partie multicloud en mettant en application les bonnes pratiques
et les mécanismes de sécurité évoqués au préalable.
Ma participation aux projets Devolab m’a permis de prendre conscience des enjeux ma-
jeurs de la sécurité et de réaliser la complexité de sa mise en place dans les environnements
cloud. De plus cette première expérience dans une ESN, outre le fait d’avoir consolidé mes
connaissances, a renforcé mon envie d’évoluer vers un milieu à la fois technique et fonc-
tionnel. En effet, le quotidien spécifique des cabinets de conseil fait que l’effervescence
permanente des actions cariées nécessite le développement d’un large panel de compé-
tences. Au cours de ce stage, j’ai pu consolider mes compétences en les mettant en pra-
tique. Et je pourrai par la suite améliorer ces connaissances et compétences en participant
aux prochaines missions aux côtés de Devoteam en tant que Consultante Cloud Security
junior.
39
Références
Références
- Cloud Computing Top Threats in 2016 The Treacherous 12. Cloud Security Alliance,
(February), 1–35.
- Sécurité dans le Cloud AWS. Disponible sur https ://aws.amazon.com/fr/security/.
Consultée le 11/06/2017.
- Divya, S. (2017). Homomorphic Encryption : Working and Analytical Assessment.
Master’s thesis, Faculty of Computing Blekinge Institute of Technology SE-371 79
Karlskrona Sweden.
- RightScale 2016 Cloud Report. Disponible sur https ://www.rightscale.com/lp/state-
of-the-cloud. Consultée le 17/12/2016.
- Hussein, N. H., Khalid, A. (2016). A survey of cloud computing security challenges
and solutions. International Journal of Computer Science and Information Security,
14(1), 52–56.
- Kalpana, G., Kumar, P. V, Krishnaiah, R. V. (2015). A brief Survey on Security
Issues in Cloud and its service models,
- Kaur, R. (2015). Cloud Computing Security Issues and its Solution : IEEE, 0–2.
- Jia, W., Sun, S. (2013). Research on the security issues of cloud computing. Ad-
vances in Intelligent Systems and Computing, 180 AISC, 845–848.
- Samarati, P. (2014). Data security and privacy in the cloud. In Information Security
Practice and Experience (pp. 28–41). Springer.
- Mell, P., Grance, T., Grance, T. (2011). The NIST Definition of Cloud Computing
Recommendations of the National Institute of Standards and Technology.
- https ://news.digicomp.ch/fr/2017/08/30/la-gouvernance-dans-le-cloud/
- https ://blog.wescale.fr/2017/07/31/saga-de-lete-e01-construction-dune-infrastructure-
multi-cloud/
- https ://blog.wescale.fr/2017/10/16/saga-multi-cloud-e04-stockage-et-replication-des-
donnees-en-mode-multi-cloud/
- https ://www.terraform.io/
- https ://www.journaldunet.com/solutions/expert/64500/iam–dag–pam—des-outils-
indispensables-pour-une-bonne-securite-informatique.shtml
- https ://www.computerweekly.com/tip/Identity-and-access-management-IAM-in-the-
cloud-Challenges-galore
- https ://www.clusir-rha.fr/public/fichiers/presentation/2016-2017/20170225-gestion-
et-gouvernance-des-identites-et-des-acces-guide-pratique-mise-en-
- https ://searchcloudcomputing.techtarget.com/feature/How-to-get-started-with-IAM-
services-in-the-cloud
- https ://perso.liris.cnrs.fr/sara.bouchenak/publications/ComPAS-MyCloud-2013.pdf
40