Cloud et Sécurité - Mythes et réalités - partie 1 - introduction au Cloud Computing

Le Cloud fait aujourd'hui parti des mots hype que tout bon informaticien (du développeur au Directeur des Systèmes d'Information en passant par le consultant) se doit de prononcer au moins une fois par jour dans les conversations (au café?) ou encore durant les soirées Networking.

Cette "branchitude" du terme Coud Computing a donc forcément touché les équipes marketing de l'ensemble du monde IT et vous en connaissez la conséquence logique : le Cloud est mis à toutes les sauces et tout le monde fait du Cloud ou "rebrande" ses offres en Cloud-machin.

A la fin de l'année 2008, Andy Isherwood, VP de la division Software Services chez HP Europe déclarait: “A lot of people are jumping on the bandwagon of cloud, but I have not heard two people say the same thing about it” . J'adhère aujourd'hui encore avec cette déclaration :-)

L'objectif de ce premier billet de la série "Cloud & Sécurité - Mythes & réalité" est donc de poser les bases à toute bonne discussion, c'est à dire présenter et adopter un vocabulaire commun et reconnu par l'ensemble (ou une majorité) de l'industrie IT.

Bien entendu, il est hors de question de réinventer la poudre, certaines personnes et organisations ont déjà (très bien) fait ce travail de définition et je vais simplement le synthétiser pour vous.

Note : il n'existe pas à ce jour de définition officielle ou standardisée du Cloud Computing. Néanmoins, le reste de cet article va utiliser une définition largement reprise par de nombreux organismes tels que la Cloud Security Alliance (https://www.cloudsecurityalliance.org) ou encore l'European Network and Information Security Agency (ENISA : https://www.enisa.europa.eu).

Je me suis appuyé sur les définitions du NIST (National Institute of Standards and Technology) qui est une agence du Département Américain du Commerce. Le NIST a pour objectif de promouvoir l'innovation et la compétitivité de l'industrie US au travers de la technologie et des standards pour améliorer la sécurité économique et la qualité de vie. A ce titre, le NIST produit beaucoup de recommandations ou de travaux qui sont souvent suivis bien au-delà des frontières des Etats-Unis.

Informations complémentaires :

Le NIST a donc proposé la définition suivante pour le Cloud Computing :

"Cloud computing is a model for enabling convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction"

Ce que je vais traduire (pas vraiment de façon littérale) par :

"Le Cloud Computing est l’ensemble des disciplines, technologies et modèles commerciaux utilisés pour délivrer des capacités informatiques (logiciels, plateformes, matériels) comme un service à la demande"

Au-delà de cette définition qui commence à introduire certaines termes propres au Cloud Computing, le NIST complète la définition du Cloud Computing par :

- 5 caractérisques essentielles
- 3 modèles de services
- 4 modèles de déploiement

----

Les 5 caractéristiques du Cloud Computing

Accès réseau universel : un environnement de type Cloud Computing nécessite et est accessible via le réseau, quelque soit le périphérique (PC, Mac, Tablette, SmartPhone...)

Mise en commun (Pooling) de ressources : dans un environnement de type Cloud Computing, on ne pense pas en nombre de serveurs, taille de disques, nombre de processeurs... en puissance de calcul, capacité totale de stockage, bande passante disponible.

Elasticité : grâce au Cloud, il est possible de disposer de plus de ressources très rapidement pour soutenir une forte demande (ex: pour garantir une bonne expérience d'achat sur une plateforme Web de e-commerce durant les fêtes de fin d'année). Inversement, au-delà du provisionning de ressources, il est possible avec le Cloud de diminuer les ressources utilisées (ex: en cas de baisse d'activité sur cette même plateforme Web de e-commerce) si celles-ci sont supérieures à ce qui est nécessaire.

Libre-Service (Self-Service) : dans un environnement de type Cloud Computing, il est possible à un utilisateur de consommer les services ou ressources sans pour autant nécessiter une demande d'intervention auprès du fournisseur : équipe IT ou fournisseur externe (ex : un développeur qui souhaite tester son application sur une machine virtuelle représentative d'un poste standardisé de son entreprise peut, au travers d'un portail Web, provisionner et utiliser une machine).

Service mesurable et facturable : dans un environnement de type Cloud Computing, le fournisseur de la solution de Cloud est capable de mesurer de façon précise la consommation des différentes ressources (CPU, Stockage, bande passante...); cette mesure lui permet de facturer à l'usage le client.

----

Les 3 modèles de services du Cloud Computing

Le Cloud Computing peut être décliné sous la forme de 3 offres de services : SaaS, PaaS et IaaS. Voyons ce qui se cache derrière ces acronymes.

SaaS : Software as a Service = Logiciel qu'on consomme sous la forme d'un service. Le fournisseur de Cloud de type SaaS est propriétaire et gère entièrement sa plateforme (du matériel au logiciel). Dans ce modèle, le client du Cloud utilise le logiciel mais ne s'occupe pas de la pile en dessous (plateforme applicative, matériel...) ni de l'installation du logiciel. Quelques exemples d'utilisation du modèle SaaS : de la messagerie électronique, un CRM... Dans une solution de type SaaS, le contrôle des données est partagé entre le client (qui crée et utilise les données) et le fournisseur de Cloud (qui héberge les données, les stocke, les sécurise, les sauvegardes...)

PaaS : Platform as a Service = Plateforme sur laquelle des développeurs ou éditeurs de logiciels peuvent déployer des applications. La pile en dessous (le socle applicatif, le système d'exploitation, le matériel, le réseau) appartient et est gérée par le fournisseur de service. Exemple de PaaS : une plateforme Web avec les 5 caractéristiques du Cloud Computing (cf. ci-dessus).

IaaS : Infrastructure as a Service = Plateforme sur laquelle des administrateurs IT vont pouvoir déployer une infrastructure (machine(s) virtuelle(s) + socle applicatif + applications...). Ce modèle qui est une évolution des centre de données virtualisés permet au client de faire abstraction du modèle physique (gestion des serveurs physique, des éléments relatifs aux centres de données comme l'électricité, la climatisation, la sécurité physique). Dans ce modèle, le fournisseur contrôle le matériel et la couche de virtualisation. Au niveau des données, le contrôle est partagé au niveau de la machine virtuelle (qui est stockée et sauvegardée par le fournisseur de Cloud de type IaaS)

———

Les 4 modèles de déploiement du Cloud Computing

- Le Cloud Public : dans ce modèle de déploiement, le fournisseur de la solution de Cloud est externe, il est propriétaire de son infrastructure et ses services sont accessibles à tout le monde (sous réserve de payer bien entendu).

- Le Cloud Privé : ce modèle de déploiement est interne aux entreprises ou organisations qui en sont les propriétaires. Ce modèle correspond aujourd'hui à une évolution des centres de données virtualisés et à l'émergence de l'IT as a Service (= le système d'information et les équipes informatiques qui se transforment en centre de services pour le reste de l'entreprise). Dans cette optique d'IT as a Service, on voit parfaitement la pertinence de certaines caractéristiques du Cloud Computing (service mesurable et facturable aux différentes division de l'entreprise notamment)

- Le Cloud Communautaire : Dans ce modèle de Cloud, les ressources, services et la propriété sont partagées à l'échelle d'une communauté (ex: à l'échelle d'un état, d'une ville, d'une académie, d'un GIE...)

- Le Cloud Hybride : ce modèle est une combinaison de 2 ou 3 des modèles décrits ci-dessus. Le futur devrait confirmer l'émergence de ce type de Cloud avec une combinaison de Cloud privé et public.

Voilà, vous disposez désormais des bases pour aborder de manière sereine les problématiques liées au Cloud Computing. Parmi celles-ci, l'une concerne la sécurité. C'est donc ce sujet que je vais traiter sous différents aspects et scénarios lors de mes prochains articles de cette série "Cloud & Sécurité : mythes & réalités”.

Ressources complémentaires et d'autres définitions du Cloud Computing:

  • Une vidéo d'une excellente prestation de Simon Wardley (Canonical Ltd) : OSCON 09: Simon Wardley, "Cloud Computing - Why IT Matters"
    https://www.youtube.com/watch?v=okqLxzWS5R4 [durée : 15 minutes]
    Présentation qui aboutit à sa définition du Cloud Computing : “Cloud Computing is a generic term used to describe the disruptive transformation in IT towards a service based economy driven by a set of economic, cultural and technological conditions”
  • Cloud Computing Plain and Simple --> vidéo d'une présentation orientée SaaS uniquement mais graphiquement intéressante
    https://www.youtube.com/watch?v=XdBd14rjcs0&feature=related
  • Cloud Computing Explained --> une autre vidéo d'une présentation très graphique du Cloud Computing
    https://www.youtube.com/watch?v=QJncFirhjPg

Tags: Pooling, accès+universel+via+le+réseau, élasticité, libre-service, service+mesurable+et+facturable, Cloud+public, Cloud+Privé, Cloud+communautaire, Cloud+Hybride, IaaS, PaaS, SaaS, NIST, définition