La diffusion des services de cloud computing est un perturbateur majeur à l'ère de la virtualisation des fonctions réseau (NFV). Les services basés sur le cloud offrent d'énormes avantages tels que l'évolutivité, la performance des coûts, la gestion centralisée et la facilité. Cependant, ces services constituent un référentiel d'informations centralisé utilisant des ressources partagées, ce qui en fait une cible de choix pour les attaquants.
À propos de l'auteur Danny Lahav, chef de produit, Nokia Cloud Core. Ces ressources partagées incluent le cloud computing ou les serveurs de stockage, et une violation sur un seul serveur peut potentiellement entraîner une fuite et une compromission complètes des informations. Les experts de l'industrie de la sécurité explorent des technologies telles que les pare-feu et le chiffrement pour protéger les services et les plates-formes cloud. Alors que de plus en plus de services de télécommunications cloud mettent en œuvre ces technologies, il est important de comprendre les options actuelles.
La signification du cryptage
Le chiffrement utilise une clé cryptographique pour convertir le texte brut, également connu sous le nom de données lisibles par l'homme, en texte illisible. De même, le décryptage des données cryptées nécessite une clé cryptographique respective pour les convertir dans leur forme d'origine. Le cryptage des données garantit la sécurité et l'intégrité des données. Sans la clé, un attaquant ou un utilisateur non autorisé ne peut pas déchiffrer les données, à moins que la clé n'ait déjà été compromise. Le chiffrement peut être appliqué à deux types de données : en transit et au repos. Les données en transit incluent les données qui transitent par Internet et les interfaces système, qui peuvent être externes au système ou internes entre les serveurs et les interfaces de programmation d'application (API). Il peut être crypté avec HTTPS, TLS, IPSec, etc., ce qui est crucial pour empêcher l'interception par un utilisateur non autorisé. Les données au repos signifient également les données au repos et incluent les nœuds de stockage et les supports de stockage amovibles. Le chiffrement des données au repos peut être appliqué à un fichier de données spécifique ou à toutes les données stockées. Le chiffrement de bout en bout est un moyen de chiffrer les données afin qu'elles ne puissent être déchiffrées qu'aux points de terminaison. L'interfaçage avec les services cloud via des données chiffrées en transit élimine la probabilité d'accéder au serveur sans avoir une clé appropriée : seuls l'expéditeur et le destinataire peuvent déchiffrer le message sur ces interfaces. Le chiffrement peut également être appliqué dans les systèmes cloud pour permettre l'accès aux utilisateurs autorisés, ainsi que pour l'accès au système via des interfaces externes et pour protéger les données sensibles stockées dans le système cloud. Sans la clé cryptographique, les données perdues ou volées ne sont pas accessibles. Les données chiffrées du serveur minimisent également les chances que des attaquants accèdent aux données au repos. Même s'ils ont accédé aux données chiffrées du serveur, les attaquants ne peuvent pas "lire" ou compromettre les données sans avoir les clés pour les déchiffrer. Par conséquent, le chiffrement des données au repos est un élément clé d'une sécurité renforcée des données dans le cloud.
Cycles de vie des clés de chiffrement sécurisés à l'aide d'un module de sécurité matériel
Processeur de chiffrement dédié spécialement conçu pour protéger le cycle de vie des clés de chiffrement, le module de sécurité matériel (HSM) protège et gère les clés numériques pour une authentification forte et assure le traitement du chiffrement. Traditionnellement, les HSM sont une carte d'extension ou un périphérique externe qui se connecte à un ordinateur ou à un serveur réseau. Étant donné que ces modules font souvent partie d'une infrastructure informatique critique, ils sont généralement regroupés pour une haute disponibilité, y compris des modules d'alimentation doubles. Les opérateurs cloud conservent la clé secrète de leur projet parent, connue sous le nom de Key Encryption Key (KEK), sur le HSM pour interagir avec le Barbican via le plugin Crypto en utilisant le protocole PKCS # 11. Une API REST, conçue pour sécuriser le stockage, le provisionnement et la gestion de secrets, Barbican est un projet OpenStack qui permet aux utilisateurs de créer des systèmes de gestion de clés sécurisés et prêts pour le cloud. Ces systèmes permettent la gestion d'informations sensibles, telles que les clés symétriques et asymétriques, et les secrets bruts. Résidant sur le HSM, les secrets sont chiffrés puis déchiffrés lors de la récupération, par une KEK spécifique au projet. Par exemple, le HSM générera une clé de chiffrement par service pour chiffrer un volume de stockage.
Identification du service avec Keystone
Un autre projet OpenStack est Keystone, qui fournit une authentification client API centralisée, une découverte de services et une autorisation distribuée multi-locataires. Keystone authentifie d'abord un utilisateur avant d'accéder à tout autre service. Vous pouvez également utiliser un système d'authentification externe tel que LDAP ou TACACS +. Une fois authentifié avec succès, l'utilisateur obtient un jeton temporaire qui est inclus dans la demande de service. L'utilisateur reçoit l'accès au service si et seulement si le jeton est validé et si l'utilisateur a les rôles appropriés.
Gestion dynamique des clés: comment Barbican gère vos clés
Tout d'abord, le Barbican vérifie un jeton d'authentification de clé pour identifier l'utilisateur et le projet accédant ou stockant un secret. Il applique ensuite une stratégie pour déterminer si l'accès est autorisé. Barbican remplace les informations sensibles, telles que les mots de passe de la base de données, par des hyperliens uniques, qui sont stockés en toute sécurité pour une récupération ultérieure. Chiffrez les données sensibles avec des dispositifs de chiffrement dédiés comme les HSM pour fournir un niveau de sécurité amélioré. Comme mentionné ci-dessus, les plugins cryptographiques sont utilisés pour communiquer avec le HSM via le protocole PKCS # 11. Ce protocole spécifie une API, appelée "Cryptoki", pour les appareils qui transportent des informations cryptographiques et exécutent des fonctions cryptographiques indépendantes de la technologie.
Pourquoi le chiffrement du stockage est-il important?
Les systèmes de cloud basés sur des machines virtuelles (VM) ou des conteneurs utilisent le stockage en volume. Par conséquent, le chiffrement de volume est essentiel pour protéger les données et les supports de stockage physiques des machines virtuelles contre le vol, les fuites et l'accès par des attaquants. Les données non chiffrées des machines virtuelles risquent qu'un attaquant s'introduit dans une plate-forme d'hébergement de volume et accède aux données de nombreuses machines virtuelles différentes. L'objectif de la fonction de volume chiffré est de chiffrer les données de la machine virtuelle avant qu'elles ne soient écrites sur le volume/stockage (données en transit) et ainsi de maintenir la protection des données pendant qu'elles résident sur le périphérique de stockage (données au repos). Alors que les services de télécommunication cloud NFV continuent de croître, la possibilité de fuite de données augmente et nécessite donc une attention et des solutions appropriées. Le chiffrement des interfaces internes et externes, des données et des volumes, la gestion dynamique des clés, etc. est une étape clé pour réduire le risque de fuite de données et d'espionnage.