Amazon fait dans le VPC

Par Christophe Catarina le jeudi 27 août 2009, 15:24 - Professionnel - Lien permanent

Non, pas dans la VPC (Vente Par Correspondance), tout le monde sait qu'ils y sont depuis longtemps; dans le VPC, le Virtual Private Cloud.

Et là, c'est encore un clou qui va s'enfoncer dans le cercueil des petits SI privés, rigides, fragiles, énergivore et dispendieux. Certain diront que c'est tant mieux !

Parmi les reproches que les entreprises font au modèle du Cloud Computing, tout ceux qui sont en rapport avec la sécurité arrivent en tête. Loin de moi l'idée de répondre en un simple billet à toutes les interrogations légitimes qui surgissent quand on parle de Cloud Computing, mais il semble que la disparition des objets physiques chargés de contenir les données ou d'animer le système d'information (serveurs, baies de disques, bandes de sauvegardes) soit davantage vécue comme une crainte fétichiste que comme une alternative à envisager avec pragmatisme.

Le mot "sécurité" sert parfois de fourre tout pour exprimer des concepts très différents et des problématiques diverses.
Disponibilité; confidentialité; fiabilité; intégrité; autant de mots pour autant de craintes qui tournent toutes autour d'une seule question ; "Puis-je avoir confiance dans mon système d'information ?"

Pour aujourd'hui, intéressons nous aux deux premiers (le reste pourra être abordé dans d'autres billets).

La disponibilité[1] des solutions de Cloud Computing dépend de deux grands facteurs :

  • La quantité de moyens mis en œuvre par le fournisseur (ou Opérateur),
  • Son expérience dans l'utilisation de la redondance que cette quantité lui permet pour prévenir (rotation préventive) ou guérir (systèmes de basculement automatique à chaud) ses propres indisponibilités.

A ce jeux, les compétiteurs sérieux forment un club très fermé où l'on retrouve toujours les mêmes poids lourds comme Google, Microsoft, IBM, j'en oublie surement. Et ... Amazon.
On peut espérer que la montée en puissance des solutions libres dédiées à ce type d'infrastructures permette à nombres d'hébergeurs actuels d'effectuer une migration de leur offre vers des solutions hébergées de type Cloud Computing.

Mais une chose est sure, un système d'information privé, reposant sur des matériels détenus au sein même de l'entreprise va avoir du mal à supporter la comparaison, à moins d'être celui d'une très grande entreprise. Et comme cette réalité commence à être admise, les fournisseurs de cette informatique privée se sont rabattus sur un autre levier de peur en brandissant la confidentialité comme argument de poids au refus du Cloud Computing.

C'est vrai qu'en jouant sur les mots, il est facile de prétendre qu'il serait peu prudent de placer à l'extérieur de la forteresse "Entreprise" des informations présentées comme confidentielles.

Assurer la confidentialité[2], c'est justement ce que propose Amazon avec son offre VPC. Le schéma suivant en illustre le concept. Amazon VPC (Virtual Private Cloud) Comme on le voit, on met dans les mains de son opérateur une 'poche' de son infrastructure, une extension, à laquelle on accède via un tunnel crypté (un VPN) et à l'intérieur de laquelle on assemble les machines, virtuelles, comme on le ferait dans sa propre salle de calcul,

Quand on prend la peine d'y réfléchir sérieusement, la quantité d'informations qui doivent réellement rester secrètes n'est pas si importante que ça; et le vieil adage qui dit qu'il ne faut pas mettre tous ses œufs dans le même panier est probablement le plus sage à suivre en l'adaptant aux principes de l'utilisation des doubles clés privées-publiques.
Une fois cryptées pendant leur transport, ces informations peuvent également l'être au sein même de leur stockage. Le tout est de ne pas laisser les clés sur la porte.

L'offre d'Amazon vient à point pour offrir les avantages du Cloud Computing à un nouveau pan du SI; celui dans lequel résident les données "sensibles". Cette dernière crainte sera bientôt levée par des offres de service de Tiers de Confiance proposées par des opérateurs différents, qui garderont les clés (mais pas les données) à la place des entreprises, avec la disponibilité liée aux services SaaS, opérés "On The Clouds".

La confidentialité étant ainsi techniquement possible, la disparition de la crainte ne sera plus qu'une question de confiance en cet opérateur tiers. En gardant à l'esprit que le plus gros risque vis à vis de la confidentialité est le plus souvent entre la chaise et le clavier, bien loin du Cloud.

Je ne souviens pas où j'ai entendu cette phrase, que je vous laisse à méditer : "Penser à la sécurité, c'est faire de la gestion de risques, Penser à éliminer les risques, c'est faire de la science fiction."

Notes

[1] La disponibilité est la propriété d'un système à délivrer le service correctement (en terme de délai et de qualité) lorsque l'utilisateur en a besoin. C'est le rapport entre le temps total de fonctionnement prévu et le temps de bon fonctionnement obtenu. Puisqu'une disponibilité parfaite (et utopique) serait de 100%, on l'exprime en nombre de 9 après la virgule pour des rapports qui vont de 99,9% (1 neuf) à 99,9999% (4 neuf), voire au delà. Pour donner une idée palpable, 4 neuf, c'est à peine 30 secondes d'indisponibilité par an ! Google Apps, qui offre un service avec 3 neuf aux professionnels payants, ne s'autorise que 6 minutes de blackout annuellement.

[2] La confidentialité consiste à prévenir les accès non autorisées aux informations. Cela recouvre aussi la lutte contre les attaques visant au vol ou à la divulgation de données (Chevaux de Troie, Keylogger) et celles destinées à les endommager (virus, bombes logiques). A ce titre, elle concours à garantir l'intégrité des informations.