SPLITCloud – un projet de recherche financé par le BMBF
Sécuriser le cloisonnement de la logique d'application au sein d'un Cloud fiable
Motivation
Le Cloud computing propose plusieurs nouvelles opportunités et possibilités relatives à la fourniture et l'utilisation des services ICT. Les clients peuvent utiliser les capacités informatique du fournisseur du cloud afin de construire des infrastructures informatiques virtuelles (Infrastructure as a Service, IaaS), d'utiliser des plateformes virtuelles pré-configurées (Platform as a Service, PaaS), des applications seules ou des services logiciels dans le cloud (Software as a Service, SaaS). Malgré ces avantages, plusieurs risques ont rendu le cloud computing difficile ou impossible dans de nombreux secteurs critiques de l'application. En plaçant des contenus personnels au sein du cloud, les utilisateurs ont déjà perdu le contrôle de leurs informations. Faire respecter la conformité a également été un point compliqué, puisque les utilisateurs devaient faire confiance à une partie tierce (les fournisseurs de cloud, leurs employés et/ou partenaires) afin d'assurer la disponibilité des données, pour respecter les réglementations nationales et européennes relatives à la protection des données et pour protéger les secrets de leur activité.
Approche et objectifs
L'objectif du projet SPLITCloud (Secure Partitioning of Application Logic in a Trustworthy Cloud) et de sécuriser le SaaS pour les utilisateurs selon les réglementations relatives à la protection des données. Les fournisseurs de services proposent des ressources matérielles et s'occupent de la partie logicielle. Les utilisateurs ont uniquement besoin de payer pour les services qu'ils utilisent, sans aucunes démarches administratives supplémentaires. Ce sont particulièrement les petites entreprises qui bénéficient de cette solution : elles peuvent utiliser le SaaS sans réaliser d'investissements initiaux importants pour une infrastructure informatique leur appartenant, ni pour son administration. Les systèmes ERP, les applications office telles que Google Docs, Office 365 ou les systèmes de gestion de clients (CRM) comme SalesForce sont des exemples de SaaS.
Ces exemples montrent la nécessité d'avoir une protection spécifique, puisque ces outils sont utilisés pour stocker et traiter des données personnelles et sensibles dans le cloud. Les informations traitées dans les réseaux intelligents nécessitent une protection équivalente. Les informations sensibles du secteur énergétique doivent être sécurisées et disponibles à tout moment, afin de garantir la fiabilité de l'alimentation électrique. Il est essentiel de contrôler les futures réseaux de transport et de distribution relatifs à la production (centrales électriques, usines en conformité avec la RES Act), au stockage (électromotrice, stockage stationnaire) et à l'utilisation de l'énergie. Les informations relatives à ces données mesurées et aux processus pertinents seront bientôt dans le cloud. Cela prend en charge le progrès économique et permet virtuellement l'accès aux données depuis n'importe où.
Comme les utilisateurs utilisent souvent le même SaaS d'un seul fournisseur, leurs données doivent être isolées de celles des autres utilisateurs du même service. Les données doivent également être protégées contre l'accès par le fournisseur de service, le fabricant ou leurs administrateurs. Il s'agit d'une mesure très importante afin de contrôler le risque d'attaques internes. Les pirates informatique ciblent particulièrement les services du cloud les plus utilisés, puisqu'ils regroupent les informations de plusieurs utilisateurs différents. Si les fournisseurs de cloud peuvent accéder aux données des utilisateurs, les pirates informatiques également.
L'architecture du SPLITCloud a pour objectif la sécurisation du SaaS, afin de permettre le traitement des données sensibles dans le cloud conformément aux normes de protection des données et avec le même niveau de sécurité qu'avec une infrastructure séparée. Les principaux objectifs sont :
- Distribution des responsabilités pour le SaaS de manière sécurisée et conformément aux réglementations de la protection des données
- Séparation des rôles/utilisateurs des fournisseurs de logiciels/cloud et des utilisateurs de logiciel/services de manière sécurisée et fiable. Ceci est obtenu en utilisant la virtualisation d'une application dédiée et une variation de temps pour créer différents compartiments isolés et virtuels
- Protection efficace des données utilisateur étant accessibles par les autres utilisateurs et les administrateurs de l'infrastructure du cloud (attaque de l'intérieur) et des services du cloud
- Fourniture de mécanismes sécurisés et d'interfaces dédiées au maintien de l'infrastructure/logiciel (fournisseurs de service et de logiciel)
- Fourniture d'une architecture compatible avec la plupart des logiciels (systèmes ERP/CRM, applications office) sans être limité à un seul service
- Séparation du logiciel et des données en utilisant une gestion de clés fiable indépendamment du cloud ou des fournisseurs d'infrastructures
- Pilote d'application : logiciel de gestion de données (MDM)
Organisation du projet :
SPLITCloud est un projet de recherche conjoint financé par le Ministère fédéral de l'éducation et de la recherche allemand (BMBF) impliquant divers partenaires spécialisés dans les secteurs de l'industrie, de l'économie et de la recherche. Le BMBF est le maître d'ouvrage de ce projet. Rohde & Schwarz Cybersecurity est responsable de la coordination du projet.
- Gestion du projet : VDI/VDE Innovation + Technik GmbH
- Consortium : Rohde & Schwarz Cybersecurity, Technical University of Darmstadt, Verizon Deutschland GmbH, Schleupen AG, Independent Centre for Privacy Protection Schleswig-Holstein Germany
- Durée du projet : 07/2014–04/2017