Questions de sécurité pour les services en nuage
Virtualisation et sécurité pour l’informatique en nuage

L’informatique en nuage (en anglais Cloud Computing, traduit infonuagique par les Canadiens francophones) est un service d’hébergement informatique en réseau dont la première apparition fut le lancement par Amazon de son offre Amazon Web Services (AWS) en 2006. Il s’agissait alors pour Amazon de commercialiser la puissance de calcul inutilisée des serveurs déployés de par le monde pour son propre usage, et qui n’étaient utilisés qu’à 10 % de leur capacité, afin de pouvoir faire face aux pointes saisonnières, notamment lors des fêtes de fin d’année.

L’idée d’une offre de services informatiques détachée, grâce au réseau, des caractéristiques techniques de son implémentation avait été formulée quelques années plus tôt, par exemple par des chercheurs tels que Michel Volle .

L’originalité de l’informatique en nuage par rapport aux offres traditionnelles d’hébergement de données, de sites web, ou de serveurs de calcul, repose sur les cinq caractéristiques suivantes :

• déploiement et arrêt des services à la demande, en self-service, généralement par une interface web, quasi instantanément ;

• accès par réseau à haut débit ;

• mutualisation de ressources non localisées : infrastructures, réseau, logiciel, stockage ;

• allocation et désallocation rapide des ressources (élasticité) ;

• facturation à la consommation, typiquement heure par heure.

Cette souplesse est permise par la disponibilité de quatre technologies déjà bien connues, mais dont les performances ont accompli récemment des progrès considérables :

• l’informatique distribuée ;

• un réseau à haut débit omniprésent ;

• le système de noms de domaines (DNS) ;

• des plates-formes efficaces pour machines virtuelles.

Quelques remarques sur ces technologies :

• la nécessité d’un réseau rapide et omniprésent est évidente ;

• la disponibilité de systèmes efficaces de virtualisation, dont une analyse détaillée est donnée dans cet article, permet de déployer facilement, et même, dans certains cas, automatiquement, de nouveaux serveurs à la demande, alors que s’il s’agissait de machines physiques, il faudrait toute une logistique de transport, de distribution d’énergie et d’infrastructure réseau ;

• l’usage de techniques perfectionnées de gestion du DNS (système de noms de domaines) confère à cette répartition dans l’espace (physique et topologique) la souplesse nécessaire ;

• une fois que l’on a déployé de nombreuses machines virtuelles, les principes de l’informatique distribuée sont indispensables pour les faire coopérer de façon cohérente .

L’informatique en nuage peut être offerte selon quatre formes :

• IaaS (Infrastructure as a service) : le client reçoit une machine (virtuelle) nue, c’est-à-dire sans système d’exploitation installé, mais avec de l’espace disque et une ou plusieurs interfaces réseau (virtuelles) ; il installe sur cette machine le système et les logiciels de son choix, et fait son affaire des mises à jour, de sécurité notamment ;

• PaaS (Platform as a service) : le client reçoit une machine virtuelle dotée du système d’exploitation qu’il a choisi sur le catalogue du fournisseur, ainsi que de quelques programmes utilitaires (ex. : base de données, serveur web) ; c’est le fournisseur qui assure les mises à jour des logiciels qu’il a installés, cependant que le client est responsable de la gestion des données et des logiciels d’application qu’il a installés lui-même ;

• SaaS (Software as a service) : le client reçoit les droits d’accès à un système entièrement configuré avec les logiciels choisis sur le catalogue du fournisseur (ex. : paie, messagerie, blog, wiki, gestion financière), il n’a plus qu’à les utiliser avec ses propres données ;

• FaaS (Function as a Service), illustrée par AWS Lambda : le client charge son code, sous forme d’un conteneur, sur une plate-forme configurée à cet effet, et, par ailleurs, il paramètre un serveur qui se charge d’en déclencher l’exécution, en fonction d’événements survenus dans les données (ex. : échéance d’un paiement).

Les services FaaS, combinés avec les services BaaS (Backend as a Service), stockage de données sous diverses formes au choix, constituent le Serverless Computing : le client créée ses programmes d’applications en FaaS, stocke ses données dans le BaaS, et n’a plus à se préoccuper de dimensionner les infrastructures, ni de les configurer. L’orchestrateur du fournisseur de services fait cela automatiquement.

La combinaison de ces services et la multiplication, variable dans le temps, des machines virtuelles, font que leur gestion manuelle n’est plus une solution réaliste : des logiciels orchestrateurs sont apparus, dont le plus répandu est Kubernetes, développé et placé dans le domaine public par Google. Ces logiciels observent les charges de travail et les répartissent dans le cloud, en créant des machines virtuelles en tant que de besoin.

Grâce à la virtualisation des serveurs et du réseau, l’utilisateur de services en nuage ne sait pas où se trouvent ses données et l’ordinateur qui les exploite. D’ailleurs, leur emplacement physique peut changer à tout instant, même en cours de travail.

La plupart des services en réseau destinés au grand public ou aux entreprises, tels que les Google Apps, Facebook, Dropbox, etc., fonctionnent en nuage : on ne sait pas où sont les données et les ordinateurs qui les créent et qui les transforment.