Issue link: http://hub-fr.insight.com/i/532038
Le cryptage sera effectif sur l'ensemble des services Microsoft d'ici fin 2014. Sur Azure, les services Microsoft sont cryptés et sécurisés par défaut, pour les services et applications tiers, les développeurs ont le choix de le faire ou non. Mais Micro- soft fournit tous les kits de développe- ment et API pour sécuriser les applica- tions et les données. Des mécanismes de sécurité dans chaque service Azure est un complexe assemblage de services hébergés sur les infrastructures Microsoft. Le premier niveau de sécu- rité se localise sur les instances des services Cloud, là où tournent les appli- cations déployées. L'application cliente s'exécute dans des machines virtuelles dédiées. Elles sont elles-mêmes isolées les unes des autres. Elles s'exécutent sur un hyper- viseur (Hyper-V) de virtualisation qui gère, provisionne et monte les machines virtuelles. La machine virtuelle est comme un bac à sable, dans le sens où on ne peut pas déborder d'une machine virtuelle à une autre. L'hyperviseur met en place ces mécanismes de sécurité pour limiter la surface d'attaque. Des filtres bloquent les trafics usurpés ou non autorisés vers les machines virtuelles. Dans le mode PaaS d'Azure, Cloud Services, le système d'exploitation est géré par Microsoft. L'utilisateur ne peut donc pas posséder les privilèges administrateurs. Par défaut, le niveau de sécurité et de confiance dans une application .Net est en .Net Full. Azure fournit aux développeurs des bonnes pratiques de sécurité et des design patterns à implémenter dans les applications, tels que le pattern "du portier" ou celui de la multi-clé. En mode IaaS, c'est le client qui a le contrôle sur l'OS et qui est donc administrateur de ses machines virtuelles. tage et fuites de données. Ce cryptage est assuré à l'intérieur des datacenters et quand les données migrent d'un datacenter à un autre. La sécurité du Cloud provoque beau- coup de débats et de suspicions. Microsoft est transparent sur le sujet en engageant plusieurs chantiers : > Tous les échanges entre les services Micro- soft seront cryptés : Office 365, Outlook.com, OneDrive, Azure… > Renforcement des protections légales pour les données clients. > Améliorer la transparence du code source afin de faciliter le contrôle de ce code et véri- fier qu'aucune "back door" n'existe. > Utiliser des clés de cryptage de 2048-bit. L a sécurité dépend tout d'abord du type de service Cloud. Dans un contexte IaaS, le fournisseur procure le matériel, les templates systèmes, le stockage. "Au-dessus, on instancie les applications, la base de données, etc. C'est votre environnement. Le fournis- seur met en place la "plomberie". Après, c'est votre responsabilité pour mettre à jour, appliquer les patchs, configurer", explique Bernard Ourghanlian. En PaaS, c'est l'inverse. Le fournisseur va gérer toute la partie mise à jour et patch de sécurité, propose un SLA. Le fournisseur s'assure que la mise à jour d'un service ou d'un serveur ne per- turbe pas l'ensemble de la plateforme. "L'utilisateur a moins de contrôle mais il a plus de services", précise Bernard Ourghanlian. Dans le SaaS, la respon- sabilité du prestataire va encore plus loin car il va jusqu'à fournir le logiciel complet à l'utilisateur. C'est assuré- ment le type de service Cloud le plus simple mais également celui avec le niveau de contrôle le plus bas. Accès et identité Azure dispose de son propre service de contrôle des accès et des identités à la demande avec Azure Active Directory. Azure AD se synchro- nise et se fédère avec Active Directory sur site afin que les règles sécurité de l'entreprise soient les mêmes, que l'application (ou les données) soit sur site ou dans le Cloud. Notons aussi l'intégration d'Azure dans l'offre VPN galerie d'Orange qui permet à nos clients de disposer d'une sécurité de bout en bout. Sécurité : pas de compromis ! La sécurité est primordiale pour les utilisa- teurs et la confiance envers le fournisseur de services. Les données des utilisateurs sont cryptées sur les serveurs pour éviter tout pira- Les questions de sécurité sont indissociables d'un projet Cloud. Comment les infrastructures physi- ques et logiques sont-elles sécurisées ? Où et comment sont stockées mes données ? Quels sont les protocoles et certifications de sécurité du service ? Quid de la gestion des accès ? En déléguant la responsabilité d'une partie de son SI à un tiers, les questions les plus basiques s'avèrent légitimes. 22 La sécurité et le Cloud " La sécurité est primordiale pour les utilisateurs et la confiance envers le fournisseur de services. " Bernard Ourghanlian Directeur Technique et Sécurité, Microsoft France