Dans les précédents articles nous avons vu les bénéfices d'une architecture cloud en terme de sécurité mais aussi les risques induits. Mais quelles sont réellement les bonnes questions a se poser dans le cadre de l'adoption de ce type d'architecture ? qu'est ce qui est de la responsabilité du cloud provider et du client dans ces infrastructures ?
Les risques ne sont pas négligeables et peuvent avoir un impact fort sur le business.
Premier point : il existe différents types de cloud :
- Software As A Service (SaaS)
- Platform As A Service (PaaS)
- Infrastructure As A Service (IaaS)
Chacun de ces types traine son lot de risques et d'avantages, du coup les points clés à considérer d'un point de vue responsabilités diffèrent d'une architercture à l'autre.
Software As A Service :
Les points suivants seront de la responsibilité du client :
La conformité du stockage des données et leur traitement face aux lois et normes régissant son activité
La définition et la maintenance du système d'habilitation utilisateurs
La définition et la maintenance du système d'authentification utilisateurs
De la responsabilité du cloud provider :
Les éléments d'infrastructure du datacenter (chassis, refroidissement, énergie, cablage, ...)
Le support et la résilience de ces éléments ainsi que les serveurs, le stockage, le réseau et la bande passante.
La gestion des patchs et le durcissement des socles (posant parfois des problèmes vis à vis de celle du client)
La gestion, la configuration et la maintenance des équipements de sécurité (Firewall, système de détection d'intrusion, ...)
La supervision des équipements, éléments d'infrastructure et serveurs.
Platform As A Service
De la responsabilité du client :
La définition, la gestion et la maintenance du système d'habilitation utilisateurs
La définition, la gestion et la maintenance du système d'authentification utilisateurs (y compris les politiques de mot de passe)
De la responsabilité du Cloud Provider :
En plus des élements à la charge du cloud provider de la section précédente, il faut ajouter :
La collecte et le traitement des logs
Infrastructure As A Service
De la responsabilité du client :
La définition, la gestion et la maintenance du système d'habilitation utilisateurs
La définition, la gestion et la maintenance du système d'authentification utilisateurs (y compris les politiques de mot de passe)
La gestion et la mise a jour des OS des machines hébergées (la plupart du temps virtuelles)
Le durcissement des socles des machines hébergées
La configuration des équipements de sécurité hébergées (Firewall, antivirus, ...)
La maintenance de ces équipements
La collecte et l'exploitation des logs.
De la responsabilité du Cloud Provider :
Les hyperviseurs et systèmes d'hébergement
Les éléments d'infrastructure du datacenter (chassis, refroidissement, énergie, cablage, ...)
Le support et la résilience de ces éléments ainsi que les serveurs, le stockage, le réseau et la bande passante.