Entretien avec Alexey Berdnik, chef de projets du département de travail avec les clients stratégiques chez Digital Design

L'émergence de la virtualisation est devenue une raison urgente de la migration à grande échelle de la plupart des systèmes vers des machines virtuelles. Cependant, il n'y a aucune garantie que toutes les ressources cloud sont comptées et qu'il n'y a pas de machines virtuelles non surveillées, de processus inutiles en cours d'exécution ou que la configuration mutuelle des éléments cloud ne soit pas violée. Quelles sont les menaces qui pèsent sur le cloud computing et comment les prévenir ?

- Il s'agit d'un type de menace de haut niveau, car il est associé à la gérabilité du cloud en tant que système d'information unique, et la protection globale de celui-ci doit être construite individuellement. Pour ce faire, vous devez utiliser un modèle de gestion des risques pour les infrastructures cloud.

Dans le cloud computing, la technologie de virtualisation joue un rôle de plate-forme essentiel. Les menaces connues pour le cloud computing incluent la difficulté de déplacer les serveurs cloud vers le cloud de calcul. Dans la plupart des centres de données traditionnels, l'accès des ingénieurs aux serveurs est contrôlé au niveau physique ; dans les environnements cloud, ils fonctionnent via Internet. Par conséquent, la différenciation du contrôle d'accès et la transparence des changements au niveau du système sont l'un des principaux critères de protection.

La menace peut être liée au dynamisme des machines virtuelles. Les machines virtuelles sont clonées et peuvent être déplacées entre les serveurs physiques. Cette variabilité influence la conception d'un système de sécurité holistique. Dans le même temps, les vulnérabilités du système d'exploitation ou des applications dans un environnement virtuel se propagent de manière incontrôlable et apparaissent souvent après une période arbitraire, par exemple lors d'une restauration à partir d'une sauvegarde. Par conséquent, dans un environnement de cloud computing, il est important d'enregistrer de manière fiable l'état de protection du système, quel que soit son emplacement. Pour les systèmes cloud et virtuels, le risque de piratage et d'infection par des logiciels malveillants est assez élevé. Par conséquent, un système de détection et de prévention des intrusions doit être capable de détecter les activités malveillantes au niveau des machines virtuelles, quel que soit leur emplacement dans le cloud.

Une machine virtuelle éteinte est également à risque d'infection, car l'accès au réseau est suffisant pour accéder à son stockage d'images. En même temps, il est impossible d'activer un logiciel de sécurité sur une machine virtuelle éteinte. C'est pourquoi une protection au niveau de l'hyperviseur doit être mise en place. Il convient également de garder à l'esprit que lors de l'utilisation du cloud computing, le périmètre du réseau est flou voire disparaît, ce qui conduit à une définition complètement différente du niveau global de sécurité du réseau. Il correspond à la partie la moins protégée de celui-ci. Pour différencier les segments avec différents niveaux de confiance dans le cloud, les machines virtuelles doivent se protéger en déplaçant le périmètre du réseau vers la machine virtuelle elle-même.

Quels sont les autres risques liés à la migration vers le cloud ?

- Les vulnérabilités dans les systèmes d'exploitation, les composants modulaires, les protocoles réseau sont des menaces traditionnelles, pour une protection contre laquelle il suffit d'installer un pare-feu, un pare-feu, un antivirus, IPS et d'autres composants qui résolvent ce problème. Dans le même temps, il est important que ces protections fonctionnent efficacement dans un environnement de virtualisation.

Il existe également des attaques fonctionnelles sur des éléments du cloud. Pour les protéger, pour chaque partie du cloud il est nécessaire d'utiliser les moyens de protection suivants : pour un proxy - une protection efficace contre les attaques DoS, pour un serveur web - le contrôle de l'intégrité des pages, pour un serveur d'application - un écran au niveau de l'application, pour un SGBD - protection contre l'injection SQL, pour les systèmes de stockage de données - sauvegardes correctes (backup), contrôle d'accès. Séparément, chacun de ces mécanismes de défense a déjà été créé, mais ils ne sont pas rassemblés pour une protection complète du cloud, de sorte que la tâche de les intégrer dans un système unique doit être résolue lors de la création du cloud.

On peut distinguer les soi-disant attaques sur le client. Étant donné que la plupart des utilisateurs se connectent au cloud à l'aide d'un navigateur, il existe un risque de piratage de mot de passe, de piratage de session Web et de nombreuses autres attaques similaires. La seule défense contre eux est une authentification correcte et l'utilisation d'une connexion cryptée (SSL) avec authentification mutuelle. Cependant, ces protections ne sont pas très pratiques et très coûteuses pour les créateurs de cloud. Il existe encore de nombreux défis non résolus dans cette industrie de la sécurité de l'information.

L'hyperviseur est l'un des éléments clés d'un système virtuel. Sa fonction principale est de partager des ressources entre les machines virtuelles. Une attaque contre un hyperviseur peut permettre à une machine virtuelle d'accéder à la mémoire et aux ressources d'une autre. Il sera également capable d'intercepter le trafic réseau, de supprimer des ressources physiques et même de déplacer une machine virtuelle du serveur. Comme méthodes de protection standard, il est recommandé d'utiliser des produits spécialisés pour les environnements virtuels, l'intégration de serveurs hôtes avec le service d'annuaire Active Directory, l'utilisation de politiques de complexité et d'expiration des mots de passe, ainsi que la normalisation des procédures d'accès aux outils de gestion de serveur hôte, et l'utilisation du pare-feu intégré de l'hôte de virtualisation. Il est également possible de désactiver des services fréquemment inutilisés comme, par exemple, l'accès Web au serveur de virtualisation.

Le grand nombre de machines virtuelles utilisées dans le cloud nécessite des systèmes de gestion capables de contrôler de manière fiable la création, la migration et l'élimination des machines virtuelles. L'intervention dans le système de contrôle peut conduire à l'émergence de machines virtuelles - invisibles, capables de bloquer certaines machines virtuelles et d'en substituer d'autres.

Les menaces de sécurité génèrent toujours des solutions qui peuvent les empêcher. Lesquelles sont les plus efficaces ?

- L'un des moyens les plus efficaces de protéger les données est le cryptage. Le fournisseur donnant accès aux données doit crypter les informations du client stockées dans le centre de données et, si cela n'est pas nécessaire, les supprimer irrévocablement. Lors de la transmission, même les données cryptées ne doivent être accessibles qu'après authentification. De plus, l'accès aux données doit être effectué uniquement via des protocoles fiables AES, TLS, IPsec. En outre, une plus grande fiabilité sera obtenue en utilisant des jetons et des certificats pour l'authentification. Lors de l'autorisation, il est également recommandé d'utiliser LDAP (Lightweight Directory Access Protocol) et SAML (Security Assertion Markup Language) pour une communication transparente entre le fournisseur et le système d'identité. De plus, les réseaux virtuels doivent être déployés à l'aide de technologies telles que VPN (Virtual Private Network), VLAN (Virtual Local Area Network) VPLS (Virtual Private LAN Service).

Cours par discipline

Logiciels et matériel de sécurité de l'information

"La sécurité de l'information dans le cloud computing : vulnérabilités, méthodes et moyens de protection, outils d'audit et d'investigation des incidents."

introduction

1. Historique et facteurs clés de développement

2. Définition du cloud computing

3. Architecture de référence

4. Accord de niveau de service

5. Méthodes et moyens de protection en cloud computing

6. Sécurité des modèles cloud

7. Audit de sécurité

8. Enquête sur les incidents et criminalistique dans le cloud computing

9. Modèle de menace

10. Normes internationales et nationales

11. Identité territoriale des données

12. Normes de l'État

13. Moyens de sécurité du cloud

14. Partie pratique

Sortir

Littérature

introduction

La vitesse croissante du cloud computing s'explique par le fait que pour peu d'argent, en général, le client a accès à l'infrastructure la plus fiable avec les performances requises sans avoir besoin d'acheter, d'installer et d'entretenir des ordinateurs coûteux. , ce qui permet également d'économiser des ressources de calcul. ... Et ce qui est plus important - des possibilités d'évolutivité presque illimitées. En achetant un hébergement régulier et en essayant de vous sauter par dessus la tête (avec une forte montée en charge), il y a un risque d'obtenir un service qui tombe en panne depuis plusieurs heures. Dans le cloud, des ressources supplémentaires sont disponibles sur demande.

Le principal problème du cloud computing est le niveau de sécurité non garanti des informations traitées, le degré de protection des ressources et, souvent, un cadre réglementaire totalement absent.

L'objectif de l'étude sera de fournir une vue d'ensemble du marché du cloud computing existant et des moyens d'en assurer la sécurité.

informations sur la sécurité du cloud computing

1. Historique et facteurs clés de développement

L'idée de ce que nous appelons aujourd'hui le cloud computing a été exprimée pour la première fois par J.C.R. Licklider en 1970. Au cours de ces années, il a été responsable de la création d'ARPANET (Advanced Research Projects Agency Network). Son idée était que chaque personne sur terre serait connectée à un réseau à partir duquel il recevrait non seulement des données mais aussi des programmes. Un autre scientifique, John McCarthy, a avancé l'idée que la puissance de calcul serait fournie aux utilisateurs en tant que service (service). Sur ce, le développement des technologies cloud a été suspendu jusque dans les années 90, après quoi un certain nombre de facteurs ont contribué à son développement.

L'expansion de la bande passante Internet dans les années 90 n'a pas permis un bond significatif dans le développement de la technologie cloud, car presque aucune entreprise et technologie de l'époque n'était prête pour cela. Cependant, le fait même de l'accélération d'Internet a donné une impulsion au développement précoce du cloud computing.

2. L'un des développements les plus significatifs dans ce domaine a été l'émergence de Salesforce.com en 1999. Cette société est devenue la première société à donner accès à son application via le site. En fait, cette société est devenue la première entreprise à fournir ses logiciels sur la base du logiciel en tant que service (SaaS).

L'étape suivante a été le développement d'un service Web cloud par Amazon en 2002. Ce service permettait de stocker des informations et d'effectuer des calculs.

En 2006, Amazon a lancé un service appelé Elastic Compute Cloud (EC2) en tant que service Web permettant à ses utilisateurs d'exécuter leurs propres applications. Amazon EC2 et Amazon S3 ont été les premiers services de cloud computing disponibles.

Une autre étape importante dans le cloud computing est la création par Google de la plate-forme Google Apps pour les applications Web dans le secteur des entreprises.

Les technologies de virtualisation ont joué un rôle important dans le développement des technologies cloud, en particulier des logiciels qui vous permettent de créer une infrastructure virtuelle.

Le développement du matériel n'a pas tant contribué à la croissance rapide des technologies cloud qu'à la disponibilité de cette technologie pour les petites entreprises et les particuliers. En ce qui concerne les progrès techniques, la création de processeurs multicœurs et l'augmentation de la capacité des dispositifs de stockage d'informations y ont joué un rôle important.

2. Définition du cloud computing

Tel que défini par le National Institute of Standards and Technology des États-Unis :

Cloud computing (Cloud computing) (AnglaisNuage - nuage; l'informatique- informatique) est un modèle pour fournir un accès réseau omniprésent et pratique selon les besoins à un pool partagé de ressources informatiques configurables (par exemple, réseaux, serveurs, systèmes de stockage, applications et services) qui peuvent être rapidement provisionnés et publiés avec un effort de gestion minimal et nécessitant une interaction avec un fournisseur de services (prestataire de services).

Le modèle cloud prend en charge une haute disponibilité de service et est décrit par cinq caractéristiques essentielles, trois modèles de service et quatre modèles de déploiement.

Les programmes sont lancés et affichent les résultats du travail dans une fenêtre de navigateur Web standard sur un PC local, tandis que toutes les applications et leurs données nécessaires au travail sont situées sur un serveur distant sur Internet. Le cloud computing est appelé « cloud computing ». Dans ce cas, la charge entre les ordinateurs inclus dans le "nuage informatique" est répartie automatiquement. L'exemple le plus simple de cloud computing est celui des réseaux p2p.

Pour mettre en œuvre le cloud computing, des produits middleware créés à l'aide de technologies spéciales sont utilisés. Ils servent de lien intermédiaire entre l'équipement et l'utilisateur et assurent la surveillance de l'état de l'équipement et des programmes, une répartition égale de la charge et la fourniture en temps voulu de ressources à partir d'un pool commun. L'une de ces technologies est la virtualisation de l'informatique.

La virtualisation en informatique- le processus de représentation d'un ensemble de ressources de calcul, ou leur combinaison logique, qui présente des avantages par rapport à la configuration d'origine. Il s'agit d'une nouvelle vue virtuelle des ressources des éléments constitutifs, non limitée par la mise en œuvre, la configuration physique ou la localisation géographique. En règle générale, les ressources virtualisées incluent la puissance de calcul et le stockage de données. Scientifiquement, la virtualisation consiste à isoler les processus et les ressources informatiques les uns des autres.

Les architectures informatiques multiprocesseurs symétriques qui utilisent plusieurs processeurs sont un exemple de virtualisation. Les systèmes d'exploitation sont généralement configurés de sorte que plusieurs processeurs apparaissent comme une seule unité de processeur. C'est pourquoi les applications logicielles peuvent être écrites pour un seul ( virtuel), ce qui est beaucoup plus facile que de travailler avec un grand nombre de configurations de processeur différentes.

Pour les calculs particulièrement volumineux et gourmands en ressources, les calculs de grille sont utilisés.

Calcul en grille (la grille - treillis, réseau) est une forme d'informatique distribuée dans laquelle un « superordinateur virtuel » est représenté par des grappes d'ordinateurs hétérogènes en réseau, faiblement couplés, travaillant ensemble pour effectuer un grand nombre de tâches (opérations, travaux).

Cette technologie est utilisée pour résoudre des problèmes scientifiques et mathématiques qui nécessitent des ressources de calcul importantes. L'informatique en grille est également utilisée dans les infrastructures commerciales pour résoudre des tâches chronophages telles que les prévisions économiques, l'analyse sismique, ainsi que le développement et l'étude des propriétés de nouveaux médicaments.

Du point de vue d'une organisation en réseau, la grille est un environnement cohérent, ouvert et standardisé qui fournit une séparation flexible, sécurisée et coordonnée des ressources de calcul et de stockage qui font partie de cet environnement au sein d'une seule organisation virtuelle.

Paravirtualisation Est une technique de virtualisation qui fournit aux machines virtuelles une interface de programmation similaire, mais non identique, au matériel sous-jacent. Le but de cette interface modifiée est de réduire le temps passé par le système d'exploitation invité à effectuer des opérations beaucoup plus difficiles à effectuer dans un environnement virtuel que dans un environnement non virtualisé.

Il existe des « crochets » spéciaux qui permettent aux systèmes invités et hôtes de demander et de reconnaître ces tâches complexes, qui pourraient être effectuées dans un environnement virtuel, mais à un rythme nettement plus lent.

Hyperviseur ( ou Moniteur de machine virtuelle) - dans les ordinateurs, un programme ou un schéma matériel qui fournit ou permet l'exécution simultanée et parallèle de plusieurs, voire de plusieurs systèmes d'exploitation sur le même ordinateur hôte. L'hyperviseur fournit également l'isolation des systèmes d'exploitation les uns des autres, la protection et la sécurité, le partage des ressources entre les différents systèmes d'exploitation en cours d'exécution et la gestion des ressources.

Un hyperviseur peut également (mais n'est pas obligé) fournir au système d'exploitation exécuté sur le même ordinateur hôte les moyens de communication et d'interaction entre eux (par exemple, via l'échange de fichiers ou des connexions réseau) comme si ces systèmes d'exploitation fonctionnaient sur des supports physiques différents. des ordinateurs.

L'hyperviseur lui-même est en quelque sorte un système d'exploitation minimal (micro-noyau ou nano-noyau). Il fournit aux systèmes d'exploitation fonctionnant sous son contrôle un service de machine virtuelle, virtualisant ou émulant le matériel (physique) réel d'une machine particulière, et gère ces machines virtuelles, en leur allouant et en libérant des ressources. L'hyperviseur permet la "mise sous tension", le redémarrage, "l'arrêt" indépendants de l'une des machines virtuelles avec un système d'exploitation particulier. Cependant, un système d'exploitation s'exécutant dans une machine virtuelle sous le contrôle d'un hyperviseur peut, mais ne doit pas, « savoir » qu'il s'exécute dans une machine virtuelle et non sur du matériel réel.

Modèles de services cloud

Les options pour fournir la puissance de calcul sont très différentes. Tout ce qui concerne le Cloud Computing est généralement appelé aaS - cela signifie simplement "en tant que service", c'est-à-dire "en tant que service" ou "sous la forme d'un service".

Logiciel en tant que service (SaaS) - le fournisseur met à disposition du client une application prête à l'emploi. Les applications sont accessibles à partir de divers périphériques clients ou via des interfaces client léger telles qu'un navigateur Web (comme la messagerie Web) ou des interfaces de programme. Dans le même temps, le consommateur ne contrôle pas l'infrastructure cloud sous-jacente, y compris les réseaux, les serveurs, les systèmes d'exploitation, les systèmes de stockage et même les paramètres d'application individuels à l'exception de certains paramètres de configuration d'application utilisateur.

Dans le modèle SaaS, les clients paient non pas pour posséder le logiciel en tant que tel, mais pour le louer (c'est-à-dire l'utiliser via une interface Web). Ainsi, contrairement au système de licence de logiciel classique, le client encourt des coûts récurrents relativement faibles, et il n'a pas besoin d'investir des fonds importants pour l'achat du logiciel et son support. Le schéma de paiement périodique suppose que si le besoin de logiciel est temporairement absent, le client peut suspendre son utilisation et geler les paiements au développeur.

Du point de vue du développeur, le modèle SaaS permet de lutter efficacement contre l'utilisation sans licence de logiciels (piratage), puisque le logiciel lui-même n'atteint pas les clients finaux. De plus, le concept SaaS permet souvent de réduire les coûts de déploiement et de mise en œuvre des systèmes d'information.

Riz. 1 Disposition SaaS typique

Plateforme en tant que service (PaaS) - le fournisseur propose au client une plate-forme logicielle et des outils pour concevoir, développer, tester et déployer des applications utilisateur. Dans le même temps, le consommateur ne contrôle pas l'infrastructure cloud sous-jacente, notamment les réseaux, serveurs, systèmes d'exploitation et systèmes de stockage, mais contrôle les applications déployées et, éventuellement, certains paramètres de configuration de l'environnement d'hébergement.

Riz. 2 Disposition PaaS typique

Infrastructure en tant que service (IaaS). - le prestataire propose à la location des ressources informatiques au client : serveurs, systèmes de stockage, équipements réseaux, systèmes d'exploitation et logiciels système, systèmes de virtualisation, systèmes de gestion des ressources. Dans le même temps, le consommateur ne contrôle pas l'infrastructure cloud sous-jacente, mais contrôle les systèmes d'exploitation, les systèmes de stockage, les applications déployées et, éventuellement, un contrôle limité sur le choix des composants réseau (par exemple, un hôte avec des pare-feu).

Riz. 3 Disposition IaaS typique

en outre distinguer des services tels que :

Communication en tant que service (Com-aaS) - il est entendu que les services de communication sont fournis en tant que services ; il s'agit généralement de la téléphonie IP, du courrier et des communications instantanées (chats, messagerie instantanée).

Stockage de données en nuage- l'utilisateur dispose d'un certain espace pour stocker des informations. Étant donné que les informations sont stockées de manière distribuée et dupliquée, ces stockages offrent un degré de sécurité des données bien supérieur à celui des serveurs locaux.

Lieu de travail en tant que service (WaaS) - l'utilisateur, disposant d'un ordinateur insuffisamment puissant, peut acheter des ressources informatiques auprès du fournisseur et utiliser son PC comme terminal pour accéder au service.

Nuage antivirus- l'infrastructure utilisée pour traiter les informations provenant des utilisateurs afin de reconnaître en temps opportun les nouvelles menaces inconnues auparavant. L'antivirus cloud ne nécessite aucune action inutile de la part de l'utilisateur - il envoie simplement une demande pour un programme ou un lien suspect. Lorsque le danger est confirmé, toutes les actions nécessaires sont effectuées automatiquement.

Modèles de déploiement

Parmi les modèles de déploiement, il existe 4 principaux types d'infrastructure.

Nuage privé - infrastructure destinée à être utilisée par une organisation, y compris plusieurs consommateurs (par exemple, les divisions d'une organisation), éventuellement également par les clients et sous-traitants de cette organisation. Un cloud privé peut être détenu, géré et exploité par l'organisation elle-même ou par un tiers (ou une combinaison de ceux-ci), et il peut exister physiquement à la fois à l'intérieur et à l'extérieur de la juridiction du propriétaire.

Riz. 4 Nuage privé.

Cloud public - infrastructures destinées à être utilisées gratuitement par le grand public. Le cloud public peut être détenu, exploité et exploité par des organisations commerciales, universitaires et gouvernementales (ou toute combinaison de celles-ci). Le cloud public existe physiquement dans la juridiction du propriétaire - le fournisseur de services.

Riz. 5 Nuage public.

Cloud hybride - il s'agit d'une combinaison de deux ou plusieurs infrastructures cloud différentes (privées, publiques ou publiques) qui restent des objets uniques, mais sont interconnectées par des technologies standardisées ou privées pour le transfert de données et d'applications (par exemple, l'utilisation à court terme de ressources cloud publiques pour équilibrer la charge entre les nuages).

Riz. 6 Nuage hybride.

Cloud public (cloud communautaire) - un type d'infrastructure destiné à être utilisé par une communauté spécifique de consommateurs d'organisations ayant des objectifs communs (par exemple, mission, exigences de sécurité, politiques et conformité à diverses exigences). Un cloud public peut être co-détenu, exploité et exploité par une ou plusieurs organisations communautaires ou un tiers (ou une combinaison de ceux-ci), et il peut exister physiquement à la fois à l'intérieur et à l'extérieur de la juridiction du propriétaire.

Riz. 7 Description des propriétés du cloud

Propriétés de base

Le NIST dans son document « The NIST Definition of Cloud Computing » définit les caractéristiques suivantes des nuages :

Libre-service à la demande. Le consommateur a la possibilité d'accéder aux ressources informatiques fournies de manière unilatérale selon ses besoins, automatiquement, sans avoir besoin d'interagir avec les employés de chaque fournisseur de services.

Large accès au réseau. Les ressources informatiques fournies sont disponibles sur le réseau via des mécanismes standards pour diverses plates-formes, clients légers et clients lourds (téléphones mobiles, tablettes, ordinateurs portables, postes de travail, etc.).

Mise en commun des ressources (Resorce pooling). Les ressources informatiques du fournisseur sont mises en commun pour servir de nombreux consommateurs dans un modèle multi-locataire. Les pools incluent une variété de ressources physiques et virtuelles qui peuvent être affectées et réaffectées dynamiquement pour répondre aux besoins des clients. Le consommateur n'a pas besoin de connaître l'emplacement exact des ressources, mais celles-ci peuvent être situées à un niveau d'abstraction supérieur (par exemple, pays, région ou centre de données). Des exemples de ces types de ressources incluent les systèmes de stockage, la puissance de calcul, la mémoire, la bande passante du réseau.

Élasticité rapide. Les ressources peuvent être allouées de manière élastique et libérées, dans certains cas automatiquement, pour évoluer rapidement en fonction de la demande. Pour le consommateur, les possibilités de mise à disposition des ressources sont considérées comme illimitées, c'est-à-dire qu'elles peuvent être attribuées en n'importe quelle quantité et à n'importe quel moment.

Service mesuré. Les systèmes cloud gèrent et optimisent automatiquement les ressources à l'aide d'outils de mesure mis en œuvre au niveau d'abstraction pour différents types de services (par exemple, la gestion de la mémoire externe, du traitement, de la bande passante ou des sessions utilisateur actives). Les ressources utilisées peuvent être suivies et contrôlées, ce qui offre une transparence pour le fournisseur et pour le consommateur utilisant le service.

Riz. 8 Schéma structurel d'un serveur cloud

Avantages et inconvénients du cloud computing

Dignité

· Les besoins en puissance de calcul du PC sont réduits (une condition indispensable est seulement la disponibilité d'un accès Internet) ;

· tolérance aux pannes ;

· Sécurité;

· Grande vitesse de traitement des données ;

· Coûts réduits pour le matériel et les logiciels, la maintenance et l'électricité ;

· Économiser de l'espace disque (les données et les programmes sont stockés sur Internet).

· Migration en direct - transfert d'une machine virtuelle d'un serveur physique à un autre sans interrompre la machine virtuelle et arrêter les services.

· Fin 2010, en raison d'attaques DDoS contre des entreprises qui refusaient de fournir des ressources à WikiLeaks, un autre avantage du cloud computing a été révélé. Toutes les entreprises qui s'opposaient à WikiLeaks ont été attaquées, mais seule Amazon était à l'abri de ces influences, car elle utilisait le cloud computing. (« Anonyme : menace grave ou simple ennui », Sécurité du réseau, N1, 2011).

désavantages

· Dépendance de la sécurité des données des utilisateurs vis-à-vis des entreprises fournissant des services de cloud computing ;

· Connexion permanente au réseau - pour accéder aux services du "cloud", vous avez besoin d'une connexion permanente à Internet. Cependant, à notre époque, ce n'est pas un si gros inconvénient, surtout avec l'avènement des technologies cellulaires 3G et 4G.

· Logiciel et sa modification - il existe des restrictions sur les logiciels qui peuvent être déployés sur les "clouds" et fournis à l'utilisateur. L'utilisateur du logiciel a des limitations dans le logiciel utilisé et n'a parfois pas la possibilité de le personnaliser à ses propres fins.

· Confidentialité - la confidentialité des données stockées sur des "clouds" publics est actuellement un sujet de controverse, mais dans la plupart des cas, les experts s'accordent à dire qu'il n'est pas recommandé de stocker les documents les plus précieux pour l'entreprise sur le "cloud" public, car actuellement il n'existe aucune technologie qui garantirait à 100% la confidentialité des données stockées, c'est pourquoi l'utilisation du cryptage dans le cloud est un must.

· Fiabilité - en ce qui concerne la fiabilité des informations stockées, nous pouvons affirmer avec certitude que si vous avez perdu des informations stockées dans le "cloud", vous les avez perdues pour toujours.

· Sécurité - le "cloud" lui-même est un système assez fiable, cependant, en le pénétrant, un attaquant accède à un énorme stockage de données. Un autre inconvénient est l'utilisation de systèmes de virtualisation, qui utilisent des noyaux de système d'exploitation standard comme hyperviseur, tels que Linux, Windows et autres, ce qui permet l'utilisation de virus.

· Coût élevé de l'équipement - pour construire son propre cloud, une entreprise doit allouer des ressources matérielles importantes, ce qui n'est pas bénéfique pour les entreprises nouvellement créées et les petites entreprises.

3. Architecture de référence

L'architecture de référence du cloud computing du NIST contient cinq acteurs principaux - les acteurs. Chaque acteur joue un rôle et exécute des actions et des fonctions. L'architecture de référence est présentée sous forme de diagrammes séquentiels avec des niveaux de détail croissants.

Riz. 9 Schéma conceptuel d'une architecture de référence

Consommateur Cloud- une personne ou une organisation entretenant une relation d'affaires et utilisant les services des Fournisseurs de Cloud.

Les consommateurs Cloud sont divisés en 3 groupes :

· SaaS - utilise des applications pour automatiser les processus métier.

PaaS - développe, teste, déploie et gère les applications déployées dans l'environnement cloud.

· IaaS - crée, gère les services d'infrastructure informatique.

Fournisseur de cloud- la personne, l'organisation ou l'entité responsable de la disponibilité du service Cloud pour les Consommateurs Cloud.

SaaS - Installe, gère, maintient et fournit des logiciels déployés sur une infrastructure cloud.

PaaS - Fournit et gère l'infrastructure cloud et le middleware. Fournit des outils de développement et d'administration.

· IaaS - fournit et maintient des serveurs, des bases de données, des ressources informatiques. Fournit une structure cloud au consommateur.

Les activités des Cloud Providers se déclinent en 5 principales actions types :

Déploiement des services :

o Cloud privé - Servi par une organisation. L'infrastructure est gérée à la fois par l'organisation elle-même et par un tiers et peut être déployée à la fois par le fournisseur (hors site) et par l'organisation (sur site).

o Cloud partagé - l'infrastructure est partagée par plusieurs organisations avec des exigences similaires (sécurité, conformité avec RD).

o Cloud public - l'infrastructure est utilisée par un grand nombre d'organisations avec des exigences différentes. Hors site uniquement.

o Cloud hybride - l'infrastructure combine différentes infrastructures sur la base de technologies similaires.

La gestion des services

o Niveau de service - définit les services de base fournis par le fournisseur.

§ SaaS est une application utilisée par le Consommateur en accédant au cloud à partir de programmes spéciaux.

§ PaaS - conteneurs pour applications grand public, outils de développement et d'administration.

§ IaaS - puissance de calcul, bases de données, ressources fondamentales sur lesquelles le Consommateur déploie son infrastructure.

o Niveau d'abstraction et contrôle des ressources

§ Gestion de l'hyperviseur et des composants virtuels nécessaires à l'implantation de l'infrastructure.

o Niveau de ressources physiques

§ Équipement informatique

§ Infrastructures d'ingénierie

Disponibilité

o Confidentialité

Identification

o Surveillance de la sécurité et gestion des incidents

o Politiques de sécurité

Intimité

o Protection du traitement, du stockage et du transfert des données personnelles.

Auditeur Cloud- Un contributeur qui peut évaluer de manière indépendante les services cloud, la maintenance des systèmes d'information, les performances et la sécurité d'une implémentation cloud.

Il peut donner sa propre évaluation de la sécurité, de la confidentialité, des performances et d'autres choses conformément aux documents approuvés.

Riz. 10 Activités des prestataires

Courtier en nuage- l'entité qui gère l'utilisation, la performance et la livraison des services cloud, et établit la relation entre les fournisseurs et les consommateurs.

Avec le développement du cloud computing, l'intégration des services cloud peut être trop difficile pour le consommateur.

o Médiation de service - étendre le service spécifié et offrir de nouvelles opportunités

o Agrégation - combinant divers services pour fournir au consommateur

Opérateur de communication cloud- un intermédiaire fournissant des services de connexion et de transport (services de communication) de prestation de services cloud des Fournisseurs aux Consommateurs.

Fournit un accès via des dispositifs de communication

Fournit un niveau de connexion, conformément au SLA.

Parmi les cinq acteurs présentés, un cloud broker est facultatif, puisque les consommateurs de cloud peuvent recevoir des services directement du fournisseur de cloud.

L'introduction des acteurs est due à la nécessité de travailler les relations entre les sujets.

4. Accord de niveau de service

Un accord de niveau de service est un document décrivant le niveau de prestation de service attendu par un client de la part d'un fournisseur, sur la base des métriques applicables à un service donné, et énonçant la responsabilité du fournisseur si les métriques convenues ne sont pas respectées.

Voici quelques indicateurs, sous une forme ou une autre, que l'on retrouve dans les documents opérateurs :

ASR (taux de réponse de saisie) - un paramètre qui détermine la qualité d'une connexion téléphonique dans une direction donnée. L'ASR est calculé en pourcentage du nombre de connexions téléphoniques établies à la suite d'appels par rapport au nombre total d'appels effectués dans une direction donnée.

PDD (Délai après numérotation) - paramètre définissant la période de temps (en secondes) écoulée depuis le moment de l'appel jusqu'au moment de l'établissement de la connexion téléphonique.

Taux de disponibilité des services- le rapport entre le temps d'interruption de la fourniture des services et le temps total pendant lequel le service doit être fourni.

Taux de perte de paquets- le rapport des paquets de données correctement reçus au nombre total de paquets qui ont été transmis sur le réseau pendant une certaine période de temps.

Délais dans la transmission des paquets d'informations- l'intervalle de temps nécessaire pour transférer un paquet d'informations entre deux appareils du réseau.

Fiabilité du transfert d'informations- le rapport du nombre de paquets de données transmis par erreur sur le nombre total de paquets de données transmis.

Périodes de travail, heure de notification des abonnés et heure de rétablissement des services.

En d'autres termes, 99,99% de disponibilité du service signifie que l'opérateur garantit au maximum 4,3 minutes d'arrêt de communication par mois, 99,9% - que le service peut ne pas être fourni pendant 43,2 minutes, et 99% - que la pause peut durer plus de 7 les heures. Dans certaines pratiques, il existe une différenciation de la disponibilité du réseau et une valeur inférieure du paramètre est supposée - en dehors des heures de travail. Différentes valeurs d'indicateurs sont également fournies pour différents types de services (classes de trafic). Par exemple, la chose la plus importante pour la voix est le taux de latence - il doit être minime. Et la vitesse pour cela doit être faible, et certains des paquets peuvent être perdus sans perte de qualité (jusqu'à environ 1%, selon le codec). Pour la transmission de données, la vitesse vient en premier et la perte de paquets devrait tendre vers zéro.

5. Méthodes et moyens de protection en cloud computing

La confidentialité doit être assurée tout au long de la chaîne, y compris le fournisseur de cloud, le consommateur et les communications qui les relient.

La tâche du fournisseur est d'assurer l'intégrité tant physique que logicielle des données contre les attaques de tiers. Le consommateur doit mettre en place des politiques et procédures appropriées « sur son territoire » pour exclure le transfert des droits d'accès à l'information à des tiers.

Les tâches consistant à garantir l'intégrité des informations dans le cas de l'utilisation d'applications "cloud" individuelles peuvent être résolues - grâce à des architectures de bases de données modernes, des systèmes de sauvegarde, des algorithmes de contrôle d'intégrité et d'autres solutions industrielles. Mais ce n'est pas tout. De nouveaux défis peuvent survenir lorsqu'il s'agit d'intégrer plusieurs applications cloud de différents fournisseurs.

Dans un avenir proche, pour les entreprises à la recherche d'un environnement virtuel sécurisé, la seule option est de créer un système de cloud privé. Le fait est que les clouds privés, contrairement aux systèmes publics ou hybrides, s'apparentent le plus à des infrastructures virtualisées que les services informatiques des grandes entreprises ont déjà appris à mettre en œuvre et sur lesquelles ils peuvent garder un contrôle total. Les failles de sécurité de l'information dans les systèmes de cloud public représentent un défi important. La plupart des cambriolages se produisent dans les clouds publics.

6. Sécurité des modèles cloud

Le niveau de risque dans les trois modèles de cloud est très différent, et les moyens de résoudre les problèmes de sécurité diffèrent également en fonction du niveau d'interaction. Les exigences de sécurité restent les mêmes, mais le niveau de contrôle de sécurité change selon les différents modèles, SaaS, PaaS ou IaaS. D'un point de vue logique, rien ne change, mais les possibilités de mise en œuvre physique sont radicalement différentes.

Riz. 11. Les menaces de sécurité de l'information les plus urgentes

dans le modèle SaaS, l'application s'exécute sur l'infrastructure cloud et est accessible via un navigateur Web. Le client n'a aucun contrôle sur le réseau, les serveurs, les systèmes d'exploitation, le stockage ou même certaines capacités d'application. Pour cette raison, dans le modèle SaaS, la responsabilité principale de la sécurité incombe presque entièrement aux fournisseurs.

Le problème numéro 1 est la gestion des mots de passe. Dans le modèle SaaS, les applications résident dans le cloud, le principal risque est donc d'utiliser plusieurs comptes pour accéder aux applications. Les entreprises peuvent résoudre ce problème en unifiant les comptes pour les systèmes cloud et sur site. Avec l'authentification unique, les utilisateurs peuvent accéder aux postes de travail et aux services cloud à l'aide d'un seul compte. Cette approche réduit la probabilité de comptes « bloqués » soumis à une utilisation non autorisée après le licenciement des employés.

Selon l'explication de CSA, PaaS suppose que les clients créent des applications à l'aide de langages et d'outils de programmation pris en charge par les fournisseurs, puis les déploient sur l'infrastructure cloud. Comme avec le modèle SaaS, le client ne peut pas gérer ou contrôler l'infrastructure (réseaux, serveurs, systèmes d'exploitation ou systèmes de stockage) mais contrôle le déploiement des applications.

Dans un modèle PaaS, les utilisateurs doivent prêter attention à la sécurité des applications ainsi qu'aux problèmes de gestion des API tels que la validation, l'autorisation et la vérification.

Le problème numéro 1 est le cryptage des données. Le modèle PaaS est intrinsèquement sécurisé, mais le risque réside dans les performances système inadéquates. En effet, le cryptage est recommandé lors de la communication avec les fournisseurs PaaS, ce qui nécessite une puissance de traitement supplémentaire. Néanmoins, dans toute solution, la transmission des données confidentielles de l'utilisateur doit s'effectuer sur un canal crypté.

Alors que les clients ici n'ont aucun contrôle sur l'infrastructure cloud sous-jacente, ils ont le contrôle sur les systèmes d'exploitation, le stockage et le déploiement des applications, et éventuellement un contrôle limité sur le choix des composants réseau.

Ce modèle a plusieurs capacités de sécurité intégrées sans protéger l'infrastructure elle-même. Cela signifie que les utilisateurs doivent gérer et sécuriser les systèmes d'exploitation, les applications et le contenu, généralement via des API.

Si cela est traduit dans la langue des méthodes de protection, alors le fournisseur doit fournir :

· Contrôle fiable de l'accès à l'infrastructure elle-même ;

· Résilience des infrastructures.

Dans le même temps, le consommateur de cloud assume beaucoup plus de fonctions de protection :

· Pare-feu au sein de l'infrastructure ;

· Protection contre les intrusions dans le réseau ;

· Protection des systèmes d'exploitation et des bases de données (contrôle d'accès, protection contre les vulnérabilités, contrôle des paramètres de sécurité) ;

· Protection des applications finales (protection antivirus, contrôle d'accès).

Ainsi, la plupart des mesures de protection incombent au consommateur. Le fournisseur peut fournir des recommandations standard pour des solutions de protection ou clé en main, ce qui simplifiera la tâche des utilisateurs finaux.

Tableau 1. Délimitation des responsabilités en matière de sécurité entre le client et le fournisseur de services. (P - fournisseur, K - client)

7. Audit de sécurité

Les tâches de l'auditeur Cloud sont essentiellement les mêmes que celles de l'auditeur des systèmes conventionnels. L'audit de sécurité cloud est subdivisé en audit fournisseur et audit utilisateur. L'audit de l'utilisateur est effectué à la demande de l'utilisateur, tandis que l'audit du fournisseur est l'une des conditions les plus importantes pour faire des affaires.

Cela consiste en:

· Lancement de la procédure d'audit ;

· Collecte des informations d'audit ;

· Analyse des données d'audit ;

· Préparation d'un rapport d'audit.

Au stade du lancement de la procédure d'audit, les questions des pouvoirs du commissaire aux comptes, le calendrier de l'audit doivent être résolus. L'assistance obligatoire des salariés au commissaire aux comptes devrait également être stipulée.

En général, l'auditeur effectue un audit pour déterminer la fiabilité

· Systèmes de virtualisation, hyperviseur;

· Les serveurs;

· Entrepôts de données ;

· Équipement de réseau.

Si le Fournisseur utilise le modèle IaaS sur le serveur contrôlé, alors ce contrôle sera suffisant pour identifier les vulnérabilités.

Lors de l'utilisation du modèle PaaS, des contrôles supplémentaires doivent être effectués.

· système opérateur,

Intergiciel,

· Environnement d'exécution.

Lors de l'utilisation du modèle SaaS, les vulnérabilités sont également vérifiées

Systèmes de stockage et de traitement des données,

· Applications.

Les audits de sécurité sont effectués en utilisant les mêmes méthodes et outils que l'audit des serveurs conventionnels. Mais contrairement à un serveur conventionnel dans les technologies cloud, la stabilité de l'hyperviseur est en outre vérifiée. Dans le cloud, l'hyperviseur est l'une des technologies de base et doit donc être particulièrement axé sur l'audit.

8. Enquête sur les incidents et criminalistique dans le cloud computing

Les mesures de sécurité de l'information peuvent être divisées en préventives (par exemple, cryptage et autres mécanismes de contrôle d'accès) et réactives (enquêtes). L'aspect proactif de la sécurité du cloud est un domaine de recherche active, tandis que l'aspect réactif de la sécurité du cloud a reçu beaucoup moins d'attention.

Les enquêtes sur les incidents (y compris les enquêtes sur les délits dans le domaine de l'information) sont une section bien connue de la sécurité de l'information. Les objectifs de ces enquêtes sont généralement :

Preuve que le crime / incident a eu lieu

Récupération des événements entourant l'incident

Identification des contrevenants

Preuve de l'implication et de la responsabilité des contrevenants

Preuve d'intentions malhonnêtes de la part des auteurs.

Une nouvelle discipline - l'expertise informatique et technique (ou criminalistique) est apparue, compte tenu du besoin d'analyse criminalistique des systèmes numériques. Les objectifs de la criminalistique informatique sont généralement les suivants :

Récupérer des données qui ont pu être supprimées

Récupération des événements survenus à l'intérieur et à l'extérieur des systèmes numériques associés à l'incident

Identification des utilisateurs de systèmes numériques

Détection de la présence de virus et autres logiciels malveillants

Détection de la présence de matériel et de programmes illégaux

Craquage de mots de passe, de clés de cryptage et de codes d'accès

Idéalement, l'informatique judiciaire est une sorte de machine à remonter le temps pour un enquêteur, qui peut voyager à tout moment dans le passé d'un appareil numérique et fournir à l'enquêteur des informations sur :

les personnes qui ont utilisé l'appareil à un moment donné

actions de l'utilisateur (par exemple, ouvrir des documents, accéder à un site Web, imprimer des données dans un traitement de texte, etc.)

données stockées, créées et traitées par l'appareil à un moment précis.

Les services cloud remplaçant les appareils numériques autonomes devraient fournir un niveau similaire de préparation médico-légale. Cependant, cela nécessite de surmonter les défis associés à la mise en commun des ressources, à la multilocation et à l'élasticité de l'infrastructure de cloud computing. Le principal outil d'enquête sur les incidents est la piste d'audit.

Les pistes d'audit, conçues pour surveiller l'historique des connexions des utilisateurs, les tâches administratives et les modifications de données, sont une partie essentielle d'un système de sécurité. Dans le cloud, la piste d'audit elle-même n'est pas seulement un outil d'investigation, mais aussi un outil de calcul du coût d'utilisation des serveurs. Bien que la piste d'audit ne corrige pas les failles de sécurité, elle vous permet d'avoir un regard critique sur ce qui se passe et de formuler des suggestions pour corriger la situation.

La création d'archives et de sauvegardes est importante, mais elle ne peut pas remplacer une piste d'audit formelle qui enregistre qui a fait quoi, quand et. La piste d'audit est l'un des principaux outils d'un auditeur de sécurité.

Le contrat de service mentionne généralement les journaux d'audit qui seront conservés et fournis à l'utilisateur.

9. Modèle de menace

En 2010, CSA a mené une analyse des principales menaces de sécurité dans les technologies cloud. Le résultat de leur travail a été le document "Top menaces of Cloud Computing v 1.0" dans lequel le modèle de menace et le modèle de l'intrus sont décrits le plus complètement pour le moment. À l'heure actuelle, une deuxième version plus complète de ce document est en cours d'élaboration.

Le document actuel décrit les attaquants pour trois modèles de service SaaS, PaaS et IaaS. Sept principaux vecteurs d'attaque ont été identifiés. Pour la plupart, tous les types d'attaques considérés sont des attaques inhérentes aux serveurs conventionnels « non cloud ». L'infrastructure cloud leur impose certaines fonctionnalités. Ainsi, par exemple, les attaques sur les vulnérabilités de la partie logicielle des serveurs s'ajoutent aux attaques sur l'hyperviseur, qui est aussi leur partie logicielle.

Menace de sécurité n°1

Utilisation inappropriée et malhonnête des technologies cloud.

La description:

Pour obtenir des ressources du fournisseur cloud IaaS, l'utilisateur n'a besoin que d'une carte de crédit. La facilité d'enregistrement et d'allocation des ressources permet aux spammeurs, auteurs de virus, etc. utiliser le service cloud à leurs propres fins criminelles. Auparavant, ce type d'attaque n'était observé que dans le PaaS, mais des études récentes ont montré la possibilité d'utiliser IaaS pour les attaques DDOS, le placement de code malveillant, la création de réseaux de botnet, etc.

Des exemples de services ont été utilisés pour créer un réseau de botnet basé sur le cheval de Troie Zeus, stocker le code du cheval de Troie InfoStealer et publier des informations sur diverses vulnérabilités MS Office et AdobePDF.

De plus, les réseaux de botnets utilisent IaaS pour gérer leurs pairs et envoyer du spam. Pour cette raison, certains services IaaS ont été mis sur liste noire et leurs utilisateurs ont été complètement ignorés par les serveurs de messagerie.

Améliorations des procédures d'enregistrement des utilisateurs

Amélioration des procédures de vérification des cartes bancaires et suivi de l'utilisation des moyens de paiement

Etude approfondie de l'activité réseau des utilisateurs du service

· Suivi des principales feuilles noires pour l'apparition d'un réseau de fournisseur de cloud là-bas.

Modèles de service concernés :

Menace de sécurité #2

Interfaces de programmation non sécurisées (API)

La description:

Les fournisseurs d'infrastructure cloud fournissent aux utilisateurs un ensemble d'interfaces de programmation pour gérer les ressources, les machines virtuelles ou les services. La sécurité de l'ensemble du système dépend de la sécurité de ces interfaces.

L'accès anonyme à l'interface et la transmission des identifiants en texte clair sont les principales caractéristiques des API non sécurisées. La surveillance limitée de l'utilisation de l'API, le manque de systèmes de journalisation, ainsi que les relations inconnues entre divers services ne font qu'augmenter le risque de piratage.

Analyser le modèle de sécurité du fournisseur de cloud

Assurez-vous que des algorithmes de cryptage forts sont utilisés

S'assurer que des méthodes d'authentification et d'autorisation fortes sont utilisées

· Comprendre toute la chaîne de dépendances entre les différents services.

Modèles de service concernés :

Menace de sécurité n°3

Délinquants internes

La description:

Le problème de l'accès illégal à l'information de l'intérieur est extrêmement dangereux. Souvent, du côté du fournisseur, un système de surveillance de l'activité des employés n'est pas mis en place, ce qui signifie qu'un attaquant peut accéder aux informations du client en utilisant sa position officielle. Le fournisseur ne divulguant pas sa politique de recrutement, la menace peut provenir à la fois d'un hacker amateur et d'une structure criminelle organisée qui a infiltré les rangs des employés du fournisseur.

Il n'y a actuellement aucun exemple de ce genre d'abus.

Mise en place de règles strictes pour l'achat d'équipements et l'utilisation de systèmes appropriés pour détecter les accès non autorisés

Réglementer les règles d'embauche des salariés dans les marchés publics avec les usagers

Création d'un système de sécurité transparent, accompagné de la publication de rapports d'audit de sécurité sur les systèmes internes du fournisseur

Modèles de service concernés :

Riz. 12 Exemple d'un initié

Menace de sécurité n°4

Vulnérabilités dans les technologies cloud

La description:

Fournisseurs de services IaaS abstraction des ressources matérielles à l'aide de systèmes de virtualisation. Cependant, le matériel peut être conçu sans tenir compte des ressources partagées. Afin de minimiser l'influence de ce facteur, l'hyperviseur contrôle l'accès de la machine virtuelle aux ressources matérielles, cependant, même dans les hyperviseurs, de graves vulnérabilités peuvent exister, dont l'utilisation peut conduire à une élévation de privilèges ou à un accès illégal à des équipements physiques.

Afin de protéger les systèmes de tels problèmes, il est nécessaire de mettre en œuvre des mécanismes d'isolement des environnements virtuels et des systèmes de détection de pannes. Les utilisateurs de machines virtuelles ne doivent pas avoir accès aux ressources partagées.

Il existe des exemples de vulnérabilités potentielles, ainsi que des méthodes théoriques pour contourner l'isolement dans les environnements virtuels.

Mise en œuvre des méthodes les plus avancées d'installation, de configuration et de protection des environnements virtuels

Utilisation de systèmes de détection d'accès non autorisés

Appliquer des règles d'authentification et d'autorisation fortes pour les travaux administratifs

Resserrer les exigences pour le temps d'application des correctifs et des mises à jour

· Mener des procédures opportunes pour analyser et détecter les vulnérabilités.

Menace de sécurité n°5

Perte ou fuite de données

La description:

La perte de données peut survenir pour mille raisons. Par exemple, la destruction délibérée de la clé de chiffrement rendra les informations chiffrées irrécupérables. La suppression de données ou d'une partie de données, l'accès illégal à des informations importantes, les modifications des enregistrements ou la défaillance du support sont également des exemples de telles situations. Dans une infrastructure cloud complexe, la probabilité de chacun des événements augmente en raison de l'interaction étroite des composants.

Une application incorrecte des règles d'authentification, d'autorisation et d'audit, une utilisation incorrecte des règles et méthodes de chiffrement et une défaillance de l'équipement peuvent entraîner une perte ou une fuite de données.

· Utilisation d'une API fiable et sécurisée

Cryptage et protection des données transmises

Analyse du modèle de protection des données à toutes les étapes du fonctionnement du système

Mise en place d'un système fiable de gestion des clés de chiffrement

Sélectionner et acheter uniquement les supports les plus fiables

Assurer la sauvegarde des données en temps opportun

Modèles de service concernés :

Menace de sécurité n°6

Vol de données personnelles et accès illégal au service

La description:

Ce genre de menace n'est pas nouveau. Des millions d'utilisateurs y sont confrontés chaque jour. La cible principale des attaquants est le nom d'utilisateur (login) et son mot de passe. Dans le contexte des systèmes cloud, le vol du mot de passe et du nom d'utilisateur augmente le risque d'utilisation des données stockées dans l'infrastructure cloud du fournisseur. Ainsi, l'attaquant a la possibilité d'utiliser la réputation de la victime pour ses activités.

Interdiction de transfert de comptes

Utilisation de méthodes d'authentification à deux facteurs

Mise en place d'une surveillance proactive des accès non autorisés

· Description du modèle de sécurité du fournisseur de cloud.

Modèles de service concernés :

Menace de sécurité n°7

Autres vulnérabilités

La description:

L'utilisation des technologies cloud pour faire des affaires permet à l'entreprise de se concentrer sur son activité, laissant le soin de l'infrastructure et des services informatiques au fournisseur de cloud. En faisant la publicité de son service, le fournisseur de cloud cherche à montrer toutes les possibilités, tout en révélant les détails de la mise en œuvre. Cela peut constituer une menace sérieuse, car la connaissance de l'infrastructure interne donne à un attaquant la possibilité de trouver une vulnérabilité non corrigée et de lancer une attaque sur le système. Afin d'éviter de telles situations, les fournisseurs de cloud peuvent ne pas fournir d'informations sur la structure interne du cloud. Cependant, cette approche n'augmente pas non plus la confiance, car les utilisateurs potentiels n'ont pas la possibilité d'évaluer le degré de sécurité des données. De plus, une telle approche limite la capacité de trouver et d'éliminer les vulnérabilités en temps opportun.

Amazon refuse de mener un audit de sécurité cloud EC2

Vulnérabilité dans le traitement des logiciels, conduisant à une brèche dans le système de sécurité du centre de données Hearthland

Divulgation des données de journal

Divulgation totale ou partielle des données sur l'architecture du système et des détails sur le logiciel installé

· Utilisation de systèmes de surveillance des vulnérabilités.

Modèles de service concernés :

1. Base juridique

Selon les experts, 70 % des problèmes de sécurité dans le cloud peuvent être évités si vous établissez correctement un contrat de service.

La base d'un tel accord peut servir de « Déclaration des droits du cloud »

La Déclaration des droits du Cloud a été développée en 2008 par James Urquhart. Il a publié ce matériel sur son blog, qui a suscité tant d'intérêt et de controverse que l'auteur met périodiquement à jour son « manuscrit » en fonction des réalités.

Article 1 (en partie) : Les clients sont propriétaires de leurs données

· Aucun fabricant (ou fournisseur) ne doit, dans le processus d'interaction avec les clients de quelque plan que ce soit, discuter des droits sur les données téléchargées, créées, générées, modifiées ou de tout autre droit dont le client dispose.

· Les fabricants devraient initialement fournir un accès minimal aux données des clients au stade du développement de solutions et de services.

· Les clients sont propriétaires de leurs données, ce qui signifie qu'ils sont responsables de s'assurer que les données sont conformes aux réglementations et lois légales.

· Étant donné que les problèmes de conformité des données, de sécurité et de sécurité sont très importants, il est impératif que le client localise géographiquement ses propres données. Dans le cas contraire, les fabricants doivent fournir aux utilisateurs toutes les garanties que leurs données seront stockées conformément à toutes les règles et réglementations.

Clause 2 : Les fabricants et les clients possèdent et gèrent conjointement les niveaux de service dans le système

· Les fabricants possèdent et doivent tout faire pour répondre au niveau de service pour chaque client individuellement. Toutes les ressources nécessaires et les efforts déployés pour atteindre le niveau de service approprié en travaillant avec les clients doivent être gratuits pour le client, c'est-à-dire non inclus dans le coût du service.

· Les clients, à leur tour, sont responsables et propriétaires du niveau de service fourni à leurs propres clients internes et externes. Lorsqu'ils utilisent les solutions du fabricant pour fournir leurs propres services, la responsabilité du client et le niveau de ce service ne doivent pas dépendre entièrement du fabricant.

· S'il est nécessaire d'intégrer les systèmes du fabricant et du client, les fabricants doivent offrir aux clients la possibilité de surveiller le processus d'intégration. Si le client dispose de normes d'entreprise pour l'intégration de systèmes d'information, le fabricant doit se conformer à ces normes.

· En aucun cas, les fabricants ne doivent fermer les comptes clients pour des déclarations politiques, des propos inappropriés, des commentaires religieux, à moins que cela ne soit contraire à des réglementations légales spécifiques, ne constitue pas une expression de haine, etc.

Article 3 : Les fabricants sont propriétaires de leurs interfaces

· Les fabricants ne sont pas tenus de fournir des interfaces standard ou open source, sauf indication contraire dans les accords clients. Les fabricants ont des droits sur les interfaces. Si le fabricant n'estime pas possible de fournir au client la possibilité d'affiner l'interface dans un langage de programmation familier, le client peut acheter auprès du fabricant ou de développeurs tiers des services pour finaliser les interfaces selon ses propres exigences.

· Le client, cependant, a le droit d'utiliser le service acheté à ses propres fins, ainsi que d'étendre ses capacités, de le reproduire et de l'améliorer. Cette clause ne libère pas les clients des droits de brevet et de propriété intellectuelle.

Les trois articles ci-dessus constituent la base pour les clients et les fournisseurs dans le cloud. Vous pouvez trouver leur texte intégral dans le domaine public sur Internet. Bien sûr, ce projet de loi n'est pas un document juridique complet, encore moins un document officiel. Ses articles peuvent être modifiés et complétés à tout moment, tout comme le projet de loi peut être complété par de nouveaux articles. Il s'agit d'une tentative de formaliser la "propriété" dans le cloud afin de normaliser en quelque sorte ce domaine de connaissances et de technologie épris de liberté.

Relation entre les parties

Le meilleur expert en sécurité cloud est de loin la Cloud Security Alliance (CSA). L'organisation a publié et récemment mis à jour un guide qui comprend des centaines de nuances et de bonnes pratiques à prendre en compte lors de l'évaluation des risques liés au cloud computing.

Une autre organisation qui traite des aspects de la sécurité du cloud est le Trusted Computing Group (TCG). Elle est l'auteur de plusieurs normes dans ce domaine et dans d'autres, notamment Trusted Storage, Trusted Network Connect (TNC) et Trusted Platform Module (TPM) aujourd'hui largement utilisés.

Ces organisations ont élaboré conjointement un certain nombre de problèmes que le client et le fournisseur doivent résoudre lors de la conclusion d'un contrat. Ces questions résoudront la plupart des problèmes lors de l'utilisation du cloud, des cas de force majeure, du changement de fournisseur de services cloud et d'autres situations.

1. Sécurité des données stockées. Comment le prestataire assure-t-il la sécurité des données stockées ?

La meilleure mesure pour protéger les données stockées dans un entrepôt de données est d'utiliser des technologies de cryptage. Le fournisseur doit toujours crypter les informations client stockées sur ses serveurs pour éviter les cas d'accès non autorisé. Le fournisseur doit également supprimer définitivement les données lorsqu'elles ne sont plus nécessaires et ne le seront plus à l'avenir.

2. Protection des données lors de la transmission. Comment le fournisseur assure-t-il la sécurité des données lors de leur transfert (à l'intérieur du cloud et sur le chemin depuis/vers le cloud) ?

Les données transmises doivent toujours être cryptées et accessibles à l'utilisateur uniquement après authentification. Cette approche garantit que ces données ne peuvent pas être modifiées ou lues par quiconque, même s'ils y accèdent via des nœuds non approuvés sur le réseau. Ces technologies ont été développées sur « des milliers d'années-homme » et ont conduit à la création de protocoles et d'algorithmes fiables (par exemple, TLS, IPsec et AES). Les fournisseurs doivent utiliser ces protocoles et non inventer les leurs.

3. Authentification. Comment le prestataire connaît-il l'authenticité du client ?

La méthode d'authentification la plus courante est la protection par mot de passe. Cependant, les FAI cherchant à offrir à leurs clients une plus grande fiabilité se tournent vers des outils plus puissants tels que les certificats et les tokens. En plus d'utiliser des moyens d'authentification plus sécurisés, les fournisseurs devraient pouvoir travailler avec des normes telles que LDAP et SAML. Ceci est nécessaire pour garantir que le fournisseur interagit avec le système d'identification de l'utilisateur du client lors de l'autorisation et de la définition des autorisations données à l'utilisateur. Grâce à cela, le fournisseur aura toujours des informations à jour sur les utilisateurs autorisés. Dans le pire des cas, le client fournit au fournisseur une liste spécifique d'utilisateurs autorisés. En règle générale, dans ce cas, lorsqu'un employé est congédié ou muté à un autre poste, des difficultés peuvent survenir.

4. Isolement de l'utilisateur. Comment les données et applications d'un client sont-elles séparées des données et applications des autres clients ?

Meilleure option : lorsque chacun des clients utilise une machine virtuelle (VM) et un réseau virtuel individuels. La séparation entre VM, et donc entre utilisateurs, est assurée par l'hyperviseur. Les réseaux virtuels, à leur tour, sont déployés à l'aide de technologies standard telles que VLAN (Virtual Local Area Network), VPLS (Virtual Private LAN Service) et VPN (Virtual Private Network).

Certains fournisseurs placent toutes les données client dans un seul environnement logiciel et essaient d'isoler les données client les unes des autres en modifiant leur code. Cette approche est imprudente et peu fiable. Premièrement, un attaquant peut trouver une faille dans un code non standard qui lui permettrait d'accéder à des données qu'il ne devrait pas voir. Deuxièmement, une erreur dans le code peut conduire au fait qu'un client "voit" accidentellement les données d'un autre. Récemment, il y a eu à la fois ces cas et d'autres. Par conséquent, pour différencier les données utilisateur, l'utilisation de différentes machines virtuelles et réseaux virtuels est une étape plus raisonnable.

5. Questions réglementaires. Dans quelle mesure le fournisseur respecte-t-il les lois et réglementations applicables à l'industrie du cloud computing ?

Selon la juridiction, les lois, les règlements et toutes les dispositions spéciales peuvent varier. Par exemple, ils peuvent interdire l'exportation de données, exiger des garanties strictement définies, être conformes à certaines normes et être auditables. En fin de compte, ils peuvent exiger que les ministères et les tribunaux aient accès aux informations en cas de besoin. La négligence du prestataire à ces moments peut entraîner pour ses clients des frais importants dus à des conséquences juridiques.

Le fournisseur doit suivre des règles strictes et adhérer à une stratégie légale et réglementaire unifiée. Cela concerne la sécurité des données des utilisateurs, leur exportation, la conformité aux normes, l'audit, la sécurité et la suppression des données, ainsi que la divulgation des informations (cette dernière est particulièrement importante lorsque les informations de plusieurs clients peuvent être stockées sur un même serveur physique). Pour le savoir, les clients sont fortement encouragés à demander l'aide de spécialistes qui étudieront cette question en profondeur.

6. Réaction aux incidents. Comment le fournisseur réagit-il aux incidents et dans quelle mesure ses clients peuvent-ils être impliqués dans l'incident ?

Parfois, tout ne se passe pas comme prévu. Par conséquent, le fournisseur de services est tenu de respecter des règles de conduite spécifiques en cas de circonstances imprévues. Ces règles doivent être documentées. Il est impératif pour les prestataires d'identifier les incidents et de minimiser leurs conséquences en informant les utilisateurs de la situation actuelle. Idéalement, ils devraient fournir régulièrement aux clients des informations aussi détaillées que possible sur la question. De plus, il appartient aux clients d'évaluer la probabilité d'un problème de sécurité et de prendre les mesures nécessaires.

10. Normes internationales et nationales

L'évolution de la technologie cloud a dépassé les efforts visant à créer et à modifier les normes industrielles requises, dont beaucoup n'ont pas été mises à jour depuis des années. Par conséquent, l'élaboration de lois dans le domaine des technologies cloud est l'une des étapes les plus importantes pour assurer la sécurité.

L'IEEE, l'une des plus grandes organisations de développement de normes au monde, a annoncé le lancement d'une initiative dédiée au Cloud Computing. Il s'agit de la première initiative internationale de normalisation du cloud - à ce jour, les normes de cloud computing ont été dominées par des consortiums industriels. L'initiative comprend actuellement 2 projets : IEEE P2301 (tm), "Draft Guide to Portability and Interoperability of Cloud Profiles", et IEEE P2302 (tm) - "Draft Standard for Interoperability and Distributed Interoperability (Federation) of Cloud Systems".

Dans le cadre de l'IEEE Standards Development Association, 2 nouveaux groupes de travail ont été créés pour travailler respectivement sur les projets IEEE P2301 et IEEE P2302. IEEE P2301 contiendra les profils des normes d'application, de portabilité, de gestion et d'interopérabilité existantes et en attente, ainsi que les formats de fichiers et les conventions opérationnelles. Les informations contenues dans le document seront structurées de manière logique en fonction de différents groupes cibles : vendeurs, prestataires de services et autres acteurs du marché intéressés. Une fois achevée, la norme devrait être utilisable pour l'approvisionnement, le développement, la construction et l'utilisation de produits et services cloud basés sur des technologies standard.

La norme IEEE P2302 décrira la topologie, les protocoles, les fonctionnalités et les méthodes de gestion sous-jacents requis pour l'interaction de diverses structures de cloud (par exemple, pour l'interaction entre un cloud privé et un cloud public tel que EC2). Cette norme permettra aux fournisseurs de produits et services cloud de tirer des avantages économiques des économies d'échelle, tout en offrant une transparence aux utilisateurs de services et d'applications.

L'ISO prépare une norme spéciale pour la sécurité du cloud computing. L'objectif principal de la nouvelle norme est de résoudre les problèmes d'organisation liés aux nuages. Cependant, en raison de la complexité des procédures d'harmonisation de l'ISO, la version finale du document ne devrait pas être publiée avant 2013.

L'intérêt de ce document réside dans le fait que non seulement les organisations gouvernementales (NIST, ENISA) sont impliquées dans sa préparation, mais également des représentants de communautés d'experts et d'associations telles que l'ISACA et le CSA. De plus, un document contient des recommandations à la fois pour les fournisseurs de services cloud et leurs consommateurs - les organisations clientes.

L'objectif principal de ce document est de décrire en détail les meilleures pratiques associées à l'utilisation du cloud computing du point de vue de la sécurité de l'information. Dans le même temps, la norme ne se concentre pas uniquement sur les aspects techniques, mais plutôt sur les aspects organisationnels qu'il ne faut pas oublier dans la transition vers le cloud computing. Il s'agit de la séparation des droits et des responsabilités, de la signature d'accords avec des tiers, de la gestion des actifs détenus par les différents acteurs du processus « cloud », des questions de gestion du personnel, etc.

Le nouveau document incorpore en grande partie des matériaux précédemment développés dans l'industrie informatique.

gouvernement australien

Après des mois de réflexion, le gouvernement australien a publié une série de guides de migration basés sur le cloud le 15 février 2012 sur le blog de l'Australian Government Information Management Office (AGIMO).

Pour faciliter la migration des entreprises vers le cloud, des recommandations ont été préparées sur les meilleures pratiques d'utilisation des services cloud pour répondre aux exigences de la loi 1997 Better Practice Guides for Financial Management and Accountability Act 1997. Les guides traitent des questions financières, juridiques et de protection des données en termes généraux.

Les directives parlent de la nécessité de surveiller et de contrôler en permanence l'utilisation des services cloud grâce à une analyse quotidienne des factures et des rapports. Cela aidera à éviter les balises cachées et la dépendance vis-à-vis des fournisseurs de services cloud.

Le premier guide est intitulé Confidentialité et cloud computing pour les agences gouvernementales australiennes (9 pages). Ce document se concentre sur les questions de confidentialité et de sécurité des données.

En plus de ce guide, Négocier le Cloud - Questions juridiques dans les accords de Cloud Computing (19 pages) a également été préparé pour vous aider à comprendre les clauses incluses dans le contrat.

Le troisième manuel final, Considérations financières pour l'utilisation du cloud computing par le gouvernement (6 pages), traite des problèmes financiers qu'une entreprise doit surveiller si elle décide d'utiliser le cloud computing dans son activité.

En plus de ceux traités dans les guides, il existe un certain nombre d'autres problèmes qui doivent être résolus lors de l'utilisation de l'informatique en nuage, y compris les problèmes liés aux politiques gouvernementales, d'approvisionnement et de gestion d'entreprise.

Le débat public sur ce document d'orientation offre aux parties prenantes l'occasion d'examiner et de commenter les sujets de préoccupation suivants :

· Accès non autorisé à des informations classifiées ;

· Perte d'accès aux données ;

Défaut de garantir l'intégrité et l'authenticité des données, et

· Comprendre les aspects pratiques de la fourniture de services cloud.

11. Identité territoriale des données

Il existe un certain nombre de réglementations dans différents pays qui exigent que les données sensibles restent dans le pays. Si conserver les données sur un territoire donné n'est pas difficile à première vue, les fournisseurs de services cloud ne peuvent souvent pas le garantir. Dans les systèmes avec un degré élevé de virtualisation, les données et les machines virtuelles peuvent se déplacer d'un pays à l'autre à diverses fins - équilibrage de charge, tolérance aux pannes.

Certains des principaux acteurs du marché SaaS (tels que Google, Symantec) peuvent fournir une garantie de stockage des données dans le pays respectif. Mais ce sont plutôt des exceptions, en général, le respect de ces exigences est encore assez rare. Même si les données restent dans le pays, les clients n'ont aucun moyen de les vérifier. De plus, il ne faut pas oublier la mobilité des salariés de l'entreprise. Si un spécialiste travaillant à Moscou se rend à New York, il est alors préférable (ou du moins plus rapide) pour lui de recevoir des données d'un centre de données aux États-Unis. S'assurer que cela est déjà une tâche d'un ordre de grandeur plus difficile.

12. Normes de l'État

À l'heure actuelle, il n'y a pas de cadre réglementaire sérieux pour les technologies cloud dans notre pays, bien que des développements dans ce domaine soient déjà en cours. Ainsi, par arrêté du Président de la Fédération de Russie n° 146 du 8.02.2012. il a été déterminé que les organes exécutifs fédéraux autorisés dans le domaine de la sécurité des données dans les systèmes d'information créés à l'aide des technologies de superordinateur et de grille sont le FSB de Russie et le FSTEC de Russie.

Dans le cadre de ce décret, les pouvoirs de ces services ont été élargis. Le FSB de Russie élabore et approuve désormais des documents réglementaires et méthodologiques pour assurer la sécurité de ces systèmes, organise et mène des recherches dans le domaine de la sécurité de l'information.

Le service réalise également des expertises cryptographiques, ingénierie-cryptographiques et spéciales de ces systèmes d'information et prépare des avis d'experts sur des propositions de travaux pour leur création.

Le document stipule également que le FSTEC de Russie élabore une stratégie et détermine les domaines prioritaires pour assurer la sécurité des informations dans les systèmes d'information créés à l'aide de technologies de superordinateur et de grille qui traitent des données à accès limité, et surveille également l'état des travaux pour assurer cette sécurité.

Le FSTEC a commandé une étude, qui a abouti à une version bêta du « système de terminologie dans le domaine des « technologies cloud »

Comme vous pouvez le comprendre, l'ensemble de ce système terminologique est une traduction adaptée de deux documents : "Focus Group on Cloud Computing Technical Report" et "The NIST Definition of Cloud Computing". Eh bien, le fait que ces deux documents ne soient pas très cohérents est une question distincte. Mais visuellement, c'est toujours visible : dans le "Terminosystem" russe, les auteurs n'ont tout simplement pas fourni de liens vers ces documents anglais pour commencer.

Le fait est que pour un tel travail, vous devez d'abord discuter du concept, des buts et objectifs, des méthodes de leur solution. Il y a beaucoup de questions et de commentaires. La principale note méthodologique : il est nécessaire de formuler très clairement quel problème résout cette recherche, son objectif. Je précise d'emblée que "la création d'un système terminologique" ne peut pas être un but, c'est un moyen, mais la réalisation de ce qui n'est pas encore très clair.

Sans compter qu'une étude normale devrait inclure une section de statu quo.

Il est difficile de discuter des résultats d'une étude sans connaître la formulation originale du problème et la manière dont les auteurs l'ont résolu.

Mais une erreur fondamentale du Système Terminologique est clairement visible : il est impossible de discuter du "sujet trouble" isolément du "non-nuage". Hors du contexte informatique général. Mais ce contexte n'est pas visible dans l'étude.

Et le résultat de ceci est qu'en pratique il sera impossible d'appliquer un tel Système Terminologique. Cela ne peut qu'embrouiller davantage la situation.

13. Moyens de sécurité du cloud

Un système de protection de serveur cloud dans sa configuration minimale doit assurer la sécurité de l'équipement réseau, du stockage des données, du serveur et de l'hyperviseur. De plus, il est possible de placer un anti-virus dans un noyau dédié pour empêcher l'infection de l'hyperviseur via une machine virtuelle, un système de cryptage des données pour stocker les informations utilisateur sous forme cryptée et des moyens pour mettre en œuvre un tunnel crypté entre le serveur virtuel et le client machine.

Pour ce faire, nous avons besoin d'un serveur prenant en charge la virtualisation. Des solutions de ce type sont proposées par Cisco, Microsoft, VMWare, Xen, KVM.

Il est également permis d'utiliser un serveur classique, et d'en assurer la virtualisation à l'aide d'un hyperviseur.

Tous les serveurs dotés de processeurs compatibles conviennent à la virtualisation des systèmes d'exploitation pour les plates-formes x86-64.

Une telle solution simplifiera la transition vers la virtualisation informatique sans faire d'investissements financiers supplémentaires dans les mises à niveau matérielles.

Schéma de travail :

Riz. 11. Un exemple de serveur "cloud"

Riz. 12. Réponse du serveur à l'échec d'un bloc matériel

À l'heure actuelle, le marché des outils de sécurité du cloud computing est encore assez vide. Et ce n'est pas surprenant. En l'absence de cadre réglementaire et d'incertitude quant aux futures normes, les sociétés de développement ne savent pas sur quoi concentrer leurs efforts.

Cependant, même dans de telles conditions, des systèmes logiciels et matériels spécialisés apparaissent qui permettent de sécuriser la structure du cloud contre les principaux types de menaces.

Violation de l'intégrité

Piratage d'un hyperviseur

Initiés

Identification

Authentification

Chiffrement

Accord-B

Système matériel et logiciel Accord-B. conçu pour protéger l'infrastructure de virtualisation VMware vSphere 4.1, VMware vSphere 4.0 et VMware Infrastructure 3.5.

Accord-B. fournit une protection pour tous les composants de l'environnement de virtualisation : serveurs ESX et machines virtuelles elles-mêmes, serveurs de gestion vCenter et serveurs supplémentaires avec des services VMware (par exemple, VMware Consolidated Backup).

Les mécanismes de protection suivants sont mis en œuvre dans le complexe matériel et logiciel Accord-V :

· Contrôle pas à pas de l'intégrité de l'hyperviseur, des machines virtuelles, des fichiers à l'intérieur des machines virtuelles et des serveurs de gestion d'infrastructure ;

· Différenciation d'accès pour les administrateurs d'infrastructure virtuelle et les administrateurs de sécurité ;

· Différenciation des accès utilisateurs à l'intérieur des machines virtuelles ;

· Identification matérielle de tous les utilisateurs et administrateurs de l'infrastructure de virtualisation.

INFORMATIONS SUR LA DISPONIBILITÉ DES CERTIFICATS :

Le certificat de conformité FSTEC de Russie n° 2598 du 20/03/2012 certifie que l'ensemble matériel et logiciel des moyens de protection des informations contre les accès non autorisés « Accord-V. » est conforme aux exigences des documents d'orientation « Installations informatiques. Protection contre accès non autorisé à l'information. Indicateurs de sécurité contre l'accès non autorisé à l'information" (Commission technique d'État de Russie, 1992) - selon 5 classe de sécurité, "Protection contre l'accès non autorisé à l'information. Partie 1. Logiciel pour la sécurité de l'information. Classification par niveau de contrôle de l'absence de capacités non déclarées" (Commission technique d'État de Russie, 1999) - par 4 le niveau de contrôle et les conditions techniques TU 4012-028-11443195-2010, et peut également être utilisé pour créer des systèmes automatisés jusqu'à la classe de sécurité 1G incluse et pour protéger les informations dans les systèmes d'information de données personnelles jusqu'à la classe 1 incluse.

vGate R2

vGate R2 est un moyen certifié de protection des informations contre les accès non autorisés et le contrôle de la mise en œuvre des politiques de sécurité des informations pour les infrastructures virtuelles basées sur les systèmes VMware vSphere 4 et VMware vSphere 5.S R2 - une version du produit applicable pour protéger les informations dans les infrastructures virtuelles des entreprises publiques, dont la propriété intellectuelle est appliquée exigences pour l'utilisation de systèmes de sécurité de l'information avec un haut niveau de certification.

Permet d'automatiser le travail des administrateurs pour configurer et exploiter le système de sécurité.

Aide à contrer les erreurs et les abus dans la gestion de l'infrastructure virtuelle.

Vous permet de mettre l'infrastructure virtuelle en conformité avec la législation, les normes de l'industrie et les meilleures pratiques mondiales.

Il existe plusieurs méthodes pour construire une infrastructure informatique d'entreprise. Le déploiement de toutes les ressources et services sur une plate-forme cloud n'est que l'un d'entre eux. Cependant, les préjugés sur la sécurité des solutions cloud font souvent obstacle. Dans cet article, nous comprendrons comment le système de sécurité est organisé dans le cloud de l'un des fournisseurs russes les plus célèbres - Yandex.

Un conte de fées est un mensonge, mais il y a un indice dedans

Le début de cette histoire peut être raconté comme un célèbre conte de fées. Il y avait trois administrateurs dans l'entreprise : le senior était un homme intelligent, le milieu était comme ceci et cela, le plus jeune était... un stagiaire-enikeyschik. J'ai démarré des utilisateurs dans Active Directory et j'ai tourné la queue à tsiska. Le moment est venu pour l'entreprise de se développer, et le roi, c'est-à-dire le patron, a fait appel à son armée d'administration. Je souhaite, dit-il, de nouveaux services Web pour nos clients, notre propre stockage de fichiers, des bases de données gérées et des machines virtuelles pour les tests de logiciels.

Le plus jeune a immédiatement suggéré de créer sa propre infrastructure à partir de zéro : achat de serveurs, installation et configuration de logiciels, extension du canal Internet principal et ajout d'un canal de secours - pour plus de fiabilité. Et l'entreprise est plus calme : le matériel est toujours à portée de main, à tout moment vous pouvez remplacer ou reconfigurer quelque chose, et lui-même aura une excellente occasion de développer ses compétences d'administrateur. Ils ont calculé et versé des larmes : l'entreprise ne pourra pas se permettre de tels frais. Les grandes entreprises peuvent le faire, mais pour les moyennes et petites entreprises, cela s'avère trop coûteux. Eh bien, vous n'avez pas seulement besoin d'acheter du matériel, d'équiper une salle de serveurs, d'installer des climatiseurs et de mettre en place des alarmes incendie, vous devez également organiser des quarts de travail afin de maintenir l'ordre jour et nuit et repousser les attaques réseau des personnes fringantes d'Internet. Et pour une raison quelconque, les administrateurs ne voulaient pas travailler la nuit et le week-end. Ne serait-ce que pour un double paiement.

L'administrateur senior a regardé attentivement la fenêtre du terminal et a suggéré de mettre tous les services dans le cloud. Mais ensuite, ses collègues ont commencé à se faire peur avec des histoires d'horreur : ils disent que l'infrastructure cloud a des interfaces et des API non protégées, n'équilibre pas la charge des différents clients, ce qui peut endommager vos propres ressources, et est également instable face au vol de données et externe. attaques. Et en général, il est effrayant de transférer le contrôle de données et de logiciels critiques à des personnes non autorisées avec lesquelles vous n'avez pas mangé une livre de sel et bu un seau de bière.

Médiocre a eu l'idée de placer l'ensemble du système d'information dans le data center du fournisseur, sur ses canaux. Sur cela et décidé. Cependant, plusieurs surprises attendaient notre trio, qui n'étaient pas toutes agréables.

Premièrement, toute infrastructure réseau nécessite la disponibilité obligatoire d'outils de sécurité et de protection, qui, bien entendu, ont été déployés, configurés et lancés. Cependant, le coût des ressources matérielles qu'ils utilisent, en fin de compte, doit être payé par le client lui-même. Un système de sécurité de l'information moderne consomme des ressources considérables.

Deuxièmement, l'entreprise a continué de croître et l'infrastructure construite dès le début a rapidement atteint le plafond d'évolutivité. De plus, pour son expansion, un simple changement de tarif ne suffisait pas : dans ce cas, de nombreux services devraient être transférés sur d'autres serveurs, reconfigurés, et quelque chose de complètement repensé à partir de zéro.

Enfin, un jour, en raison d'une vulnérabilité critique dans l'une des applications, l'ensemble du système s'est écrasé. Les administrateurs l'ont rapidement récupéré à partir des sauvegardes, mais ils n'ont pas réussi à comprendre rapidement les raisons de ce qui s'est passé, car ils ont oublié de configurer la sauvegarde pour les services de journalisation. Un temps précieux a été perdu, et le temps, comme le dit la sagesse populaire, c'est de l'argent.

Le calcul des coûts et la synthèse des résultats ont conduit la direction de l'entreprise à des conclusions décevantes : l'administrateur qui, dès le début, a suggéré d'utiliser le modèle cloud de IaaS - "infrastructure as a service", avait raison. Quant à la sécurité de telles plates-formes, cela vaut la peine d'en parler séparément. Et nous allons le faire en utilisant l'exemple du plus populaire de ces services - Yandex.Cloud.

Sécurité dans Yandex.Cloud

Commençons, comme le chat du Cheshire l'a conseillé à la fille Alice, depuis le début. C'est-à-dire de la question de la délimitation des responsabilités. Dans Yandex.Cloud, comme dans toute autre plate-forme similaire, le fournisseur est responsable de la sécurité des services fournis aux utilisateurs, tandis que le client lui-même est responsable d'assurer le bon fonctionnement des applications qu'il développe, d'organiser et de délimiter l'accès à distance à des ressources, configuration des bases de données et des machines virtuelles, contrôle de la journalisation. Cependant, pour cela, il dispose de tous les outils nécessaires.

La sécurité de l'infrastructure cloud Yandex comporte plusieurs niveaux, chacun mettant en œuvre ses propres principes de protection et utilisant un arsenal de technologies distinct.

Couche physique

Ce n'est un secret pour personne que Yandex possède ses propres centres de données, qui sont gérés par leurs propres services de sécurité. Il s'agit non seulement de services de vidéosurveillance et de contrôle d'accès conçus pour empêcher les personnes extérieures d'entrer dans les salles de serveurs, mais aussi de systèmes de climatisation, d'extinction d'incendie et d'alimentations sans interruption. Les gardes de sécurité sévères sont de peu d'utilité si le rack avec vos serveurs est une fois inondé avec l'eau des gicleurs d'incendie ou s'ils surchauffent après une panne de climatiseur. Cela ne leur arrivera certainement pas dans les centres de données Yandex.

De plus, le matériel Cloud est physiquement séparé du "grand Yandex": ils sont situés dans des racks différents, mais de la même manière, ils subissent une maintenance de routine et un remplacement de composants réguliers. A la frontière de ces deux infrastructures, des pare-feux matériels sont utilisés, et à l'intérieur du Cloud - un pare-feu logiciel basé sur l'hôte. De plus, les commutateurs Top-of-the-rack utilisent le système de liste de contrôle d'accès (ACL), qui améliore considérablement la sécurité de l'ensemble de l'infrastructure. Yandex analyse en permanence le Cloud de l'extérieur à la recherche de ports ouverts et d'erreurs de configuration, afin qu'une vulnérabilité potentielle puisse être reconnue et éliminée à l'avance. Pour les employés travaillant avec des ressources Cloud, un système d'authentification centralisé utilisant des clés SSH avec un modèle d'accès basé sur les rôles a été mis en place et toutes les sessions d'administrateur sont enregistrées. Cette approche fait partie du modèle Secure by default, largement utilisé par Yandex : la sécurité est intégrée à l'infrastructure informatique au stade de sa conception et de son développement, et n'est pas ajoutée ultérieurement, lorsque tout a déjà été mis en œuvre.

Niveau des infrastructures

Au niveau de la « logique matérielle-logicielle », Yandex.Cloud utilise trois services d'infrastructure : Compute Cloud, Virtual Private Cloud et Yandex Managed Services. Et maintenant à propos de chacun d'eux un peu plus en détail.

Cloud de calcul

Ce service fournit une puissance de calcul évolutive pour diverses tâches, telles que l'hébergement de projets Web et de services à forte charge, les tests et le prototypage, ou la migration temporaire de l'infrastructure informatique pour la période de réparation ou de remplacement de votre propre équipement. Le service peut être contrôlé via la console, la ligne de commande (CLI), le SDK ou l'API.

La sécurité de Compute Cloud est basée sur le fait que toutes les machines virtuelles clientes utilisent au moins deux cœurs et qu'il n'y a pas de surengagement dans l'allocation de mémoire. Étant donné que dans ce cas, seul le code client est exécuté sur le noyau, le système n'est pas sensible aux vulnérabilités telles que L1TF, Spectre et Meltdown, ou aux attaques par canal latéral.

De plus, Yandex utilise son propre assembly Qemu / KVM, dans lequel tout ce qui est inutile est désactivé, ne laissant que l'ensemble minimum de code et de bibliothèques requis pour le fonctionnement des hyperviseurs. Dans le même temps, les processus sont lancés sous le contrôle de l'instrumentation basée sur AppArmor, qui, à l'aide de politiques de sécurité, détermine à quelles ressources système et avec quels privilèges une application particulière peut accéder. AppArmor s'exécutant sur chaque machine virtuelle réduit le risque qu'une application cliente puisse accéder à l'hyperviseur à partir de la machine virtuelle. Pour recevoir et traiter les journaux, Yandex a mis en place un processus de livraison des données d'AppArmor et des sandbox vers son propre Splunk.

Cloud privé virtuel

Le service Virtual Private Cloud vous permet de créer des réseaux cloud utilisés pour transférer des informations entre différentes ressources et leur connexion à Internet. Physiquement, ce service est pris en charge par trois centres de données indépendants. Dans cet environnement, l'isolement logique est effectué au niveau de la communication multi-protocole - MPLS. Dans le même temps, Yandex brouille constamment l'interface SDN et hyperviseur, c'est-à-dire que du côté des machines virtuelles, un flux de paquets malformés est continuellement envoyé à l'environnement externe afin de recevoir une réponse du SDN, l'analyser et fermer éventuellement lacunes de configuration. La protection DDoS est automatiquement activée lors de la création des machines virtuelles.

Services gérés Yandex

Yandex Managed Services est un environnement logiciel permettant de gérer divers services : SGBD, clusters Kubernetes, serveurs virtuels dans l'infrastructure Yandex.Cloud. C'est là que le service prend en charge la plupart des travaux de sécurité. Toutes les sauvegardes, le cryptage des sauvegardes, la gestion des vulnérabilités, etc. sont fournis automatiquement par le logiciel Yandex.Cloud.

Outils de réponse aux incidents

Pour répondre en temps opportun aux incidents de sécurité de l'information, il est nécessaire d'identifier la source du problème à temps. Pour cela, il est nécessaire d'utiliser des outils de surveillance fiables qui doivent fonctionner 24 heures sur 24 et sans interruption. De tels systèmes consommeront inévitablement des ressources, mais Yandex.Cloud ne reporte pas le coût de la puissance de calcul des outils de sécurité sur les utilisateurs de la plate-forme.

Lors du choix de la boîte à outils, Yandex a été guidé par une autre exigence importante : en cas d'exploitation réussie d'une vulnérabilité 0day dans l'une des applications, l'attaquant ne doit pas quitter l'hôte de l'application, tandis que l'équipe de sécurité doit instantanément être informée de l'incident et réagir comme nécessaire.

Enfin, le souhait était que tous les outils soient open source. Ces critères sont pleinement remplis par le bundle AppArmor + Osquery, qu'il a été décidé d'utiliser dans Yandex.Cloud.

AppArmor

AppArmor a été mentionné ci-dessus : il s'agit d'un outil logiciel de défense proactif basé sur des profils de sécurité personnalisables. Les profils utilisent la technologie d'étiquetage de confidentialité Mandatory Access Control (MAC) implémentée à l'aide de LSM directement dans le noyau Linux lui-même depuis la version 2.6. Les développeurs Yandex ont choisi AppArmor pour les raisons suivantes :

• légèreté et rapidité, puisque l'outil s'appuie sur une partie du noyau Linux ;
• c'est une solution open source ;
• AppArmor peut être déployé très rapidement sur Linux sans écrire de code ;
• une configuration flexible est possible à l'aide de fichiers de configuration.

Osquerie

Osquery est un outil de surveillance de la sécurité du système développé par Facebook et est maintenant utilisé avec succès dans de nombreuses industries informatiques. Dans le même temps, l'outil est multiplateforme et dispose d'un code source ouvert.

Avec l'aide d'Osquery, vous pouvez collecter des informations sur l'état de divers composants du système d'exploitation, les accumuler, les transformer en un format JSON standardisé et les envoyer au destinataire choisi. Cet outil vous permet d'écrire et de router des requêtes SQL standard vers votre application, qui sont stockées dans la base de données rocksdb. Vous pouvez personnaliser la fréquence et les conditions d'exécution ou de traitement de ces demandes.

Dans les tables standard, de nombreuses fonctionnalités sont déjà implémentées, par exemple, vous pouvez obtenir une liste des processus en cours d'exécution sur le système, les packages installés, l'ensemble actuel de règles iptables, les entités crontab, etc. Prêt à l'emploi, la prise en charge de la réception et de l'analyse des événements du système d'audit du noyau a été implémentée (utilisée dans Yandex.Cloud pour gérer les événements AppArmor).

Osquery lui-même est écrit en C++ et distribué en open source, vous pouvez les modifier et à la fois ajouter de nouvelles tables à la base de code principale, et créer vos propres extensions en C, Go ou Python.

Une fonctionnalité utile d'Osquery est la présence d'un système de requête distribué, avec lequel vous pouvez interroger toutes les machines virtuelles sur le réseau en temps réel. Cela peut être utile, par exemple, si une vulnérabilité est trouvée dans un package : en une seule requête, vous pouvez obtenir une liste des machines sur lesquelles ce package est installé. Cette fonctionnalité est largement utilisée lors de l'administration de grands systèmes distribués avec une infrastructure complexe.

conclusions

Si nous revenons à l'histoire racontée au tout début de cet article, nous verrons que les craintes qui ont poussé nos héros à refuser de déployer des infrastructures sur une plateforme cloud se sont avérées infondées. Au moins en ce qui concerne Yandex.Cloud. La sécurité de l'infrastructure cloud créée par Yandex a une architecture échelonnée à plusieurs couches et offre donc un niveau élevé de protection contre la plupart des menaces actuellement connues.

Dans le même temps, en raison des économies sur la maintenance de routine du matériel et du paiement des ressources consommées par les systèmes de surveillance et d'avertissement d'incidents que Yandex entreprend, l'utilisation de Yandex.Cloud permet aux petites et moyennes entreprises d'économiser considérablement de l'argent. Bien sûr, abandonner complètement le service informatique ou le service responsable de la sécurité de l'information (surtout si ces deux rôles sont combinés en une seule équipe) ne fonctionnera pas. Mais Yandex.Cloud réduira considérablement les coûts de main-d'œuvre et les frais généraux.

Étant donné que Yandex.Cloud fournit à ses clients une infrastructure sécurisée avec tous les outils de sécurité nécessaires, ils peuvent se concentrer sur les processus métier, laissant les tâches de maintenance des services et de surveillance du matériel au fournisseur. Cela n'élimine pas la nécessité de l'administration actuelle des machines virtuelles, des bases de données et des applications, mais une telle gamme de tâches devrait être résolue dans tous les cas. En général, on peut dire que Yandex.Cloud économise non seulement de l'argent, mais aussi du temps. Et le second, contrairement au premier, est une ressource irremplaçable.

2019

McAfee : 19 bonnes pratiques de sécurité cloud en 2019

La plus grande préoccupation des entreprises est la protection des services cloud externes. Par exemple, les personnes interrogées craignent que des incidents puissent survenir de la part de fournisseurs qui externalisent des processus métier, de services cloud tiers ou dans l'infrastructure informatique où l'entreprise loue de la puissance de calcul. Malgré toutes ces préoccupations, cependant, seulement 15 % des entreprises effectuent des examens de sécurité par des tiers.

« Malgré le fait que de récents piratages à grande échelle ont eu lieu à l'intérieur du centre de données, les systèmes de sécurité traditionnels se concentrent toujours uniquement sur la protection du périmètre du réseau et le contrôle des droits d'accès. Dans le même temps, l'impact négatif des solutions de protection de l'infrastructure physique sur les performances des environnements virtuels est rarement pris en compte, - a expliqué Veniamin Levtsov, vice-président des ventes et du développement commercial chez Kaspersky Lab. « C'est pourquoi il est si important dans les environnements convergés d'utiliser une protection de bout en bout appropriée tout en sécurisant les systèmes virtuels avec des solutions dédiées. Nous mettons en œuvre une approche dans laquelle, quel que soit le type d'infrastructure, pour tous les systèmes, une couverture uniforme de l'ensemble du réseau d'entreprise est fournie. Et c'est là que nos technologies et les développements VMware modernes (comme la micro-segmentation) se complètent parfaitement ».

2015 : Forrester : Pourquoi les clients sont-ils mécontents des fournisseurs de cloud ?

Nuage opaque

Une étude récente de Forrester Consulting montre que de nombreuses organisations pensent que les fournisseurs de services cloud ne leur fournissent pas suffisamment d'informations sur la façon dont ils interagissent avec le cloud, ce qui nuit à leur entreprise.

En plus du manque de transparence, il existe d'autres facteurs qui diminuent l'enthousiasme pour le passage au cloud : le niveau de service pour les clients, les coûts supplémentaires et l'intégration. Les organisations aiment beaucoup le cloud, mais pas les fournisseurs de cloud, ou pas autant.

L'étude, commandée par iland, un fournisseur d'hébergement cloud d'entreprise, a été menée en mai et a inclus des professionnels de l'infrastructure et de la maintenance de 275 organisations à Singapour et à Singapour.

« Parmi les complexités du cloud d'aujourd'hui, il y a quelques défauts ennuyeux », écrit Lilac Schoenbeck, vice-président du support produit et du marketing pour iland. "Ces métadonnées critiques ne sont pas communiquées, ce qui inhibe considérablement l'adoption du cloud, et pourtant les organisations élaborent des plans de croissance basés sur le principe du cloud infini."

Où est la clé pour parvenir à l'harmonie dans les relations d'affaires ? Voici ce que les VAR doivent savoir pour tenter de régler les problèmes et amener les parties à se réconcilier.

Manque d'attention aux clients

Apparemment, de nombreux utilisateurs du cloud ne ressentent pas cette touche personnelle.

Ainsi, 44% des personnes interrogées ont répondu que leur fournisseur ne connaît pas leur entreprise et ne comprend pas leurs besoins commerciaux, et 43% pensent que si leur organisation était simplement plus grande, alors le fournisseur leur accorderait probablement plus d'attention. Bref, ils ressentent la froideur d'une bonne affaire en achetant des services cloud et ils n'aiment pas ça.

Et encore une chose : il y a une pratique, qui a été signalée par un tiers des entreprises interrogées, qui instille également un sentiment de mesquinerie dans une transaction - elles sont facturées pour la moindre question ou incompréhensibilité.

Trop de secrets

La réticence d'un fournisseur à fournir toutes les informations non seulement agace les clients, mais leur coûte souvent de l'argent.

Tous les répondants à l'enquête Forrester ont répondu qu'ils subissaient un impact financier et un impact sur leurs opérations quotidiennes en raison de données manquantes ou divulguées concernant leur utilisation du cloud.

« Le manque de données claires sur l'utilisation du cloud entraîne des problèmes de performances, des rapports difficiles à la direction sur le coût d'utilisation réel, la facturation de ressources qui n'ont jamais été consommées par les utilisateurs et des factures imprévues », explique Forrester.

Où sont les métadonnées ?

Les DSI responsables de l'infrastructure cloud dans leurs organisations veulent des métriques de coûts et de performances qui offrent clarté et transparence, mais ils ont évidemment du mal à communiquer cela aux fournisseurs.

Les participants à l'enquête ont noté que les métadonnées qu'ils reçoivent sur les charges de travail cloud sont généralement incomplètes. Près de la moitié des entreprises ont répondu qu'il n'y avait aucune donnée de conformité réglementaire, 44% ont déclaré aucune donnée d'utilisation, 43% aucune donnée historique, 39% aucune donnée de sécurité et 33% aucune donnée de facturation et de coût.

La question de la transparence

Le manque de métadonnées cause toutes sortes de problèmes, disent les répondants. Près des deux tiers des personnes interrogées ont déclaré que le manque de transparence les empêchait de comprendre pleinement tous les avantages du cloud.

"Le manque de transparence crée une variété de problèmes, principalement la question des paramètres d'utilisation et des pannes", indique le rapport.

Environ 40 % essaient de combler eux-mêmes ces lacunes en achetant des outils supplémentaires auprès de leurs propres fournisseurs de cloud, tandis qu'un autre 40 % achètent simplement des services auprès d'un autre fournisseur où une telle transparence est présente.

Conformité à la réglementation

Quoi qu'il en soit, les organisations sont responsables de toutes leurs données, qu'elles soient stockées sur site ou envoyées vers le cloud.

Plus de 70 % des personnes interrogées ont déclaré que leurs organisations sont régulièrement auditées et doivent confirmer la conformité aux réglementations en vigueur, quel que soit l'endroit où se trouvent leurs données. Et cela constitue un obstacle à l'adoption du cloud pour près de la moitié des entreprises interrogées.

« Mais l'aspect de votre conformité aux réglementations doit être transparent pour vos utilisateurs finaux. Lorsque les fournisseurs de cloud retiennent ou ne divulguent pas ces informations, ils vous empêchent de les obtenir », indique le rapport.

Problèmes de conformité

Plus de 60 % des entreprises interrogées ont déclaré que les problèmes de conformité limitaient l'adoption continue du cloud.

Les principaux problèmes sont :

• 55 % des entreprises confrontées à ces exigences ont déclaré qu'il leur est très difficile de mettre en œuvre des contrôles appropriés.
• Environ la moitié déclare avoir du mal à comprendre le niveau de conformité de leur fournisseur de cloud.
• Une autre moitié des personnes interrogées ont répondu qu'il leur est difficile d'obtenir du fournisseur la documentation nécessaire sur le respect de ces exigences afin de réussir l'audit. Et 42 % trouvent qu'il est difficile d'obtenir la documentation de leur propre conformité avec les charges de travail exécutées dans le cloud.

Problèmes de migration

Le processus d'intégration semble être un autre domaine d'insatisfaction générale, avec un peu plus de la moitié des entreprises interrogées répondant qu'elles ne sont pas satisfaites des processus de migration et de support que les fournisseurs de cloud leur ont proposés.

Sur les 51% insatisfaits du processus de migration, 26% ont déclaré qu'il avait pris trop de temps et 21% se sont plaints du manque de participation en direct du personnel du prestataire.

Plus de la moitié étaient également insatisfaits du processus d'assistance : 22 % ont indiqué une longue attente pour une réponse, 20 % ont indiqué une connaissance insuffisante du personnel d'assistance, 19 % ont indiqué un processus de résolution de problèmes long et 18 % ont reçu des factures avec un soutien plus élevé que prévu. frais.

Obstacles sur le chemin du cloud

De nombreuses entreprises interrogées par Forrester retardent leurs plans d'expansion du cloud en raison des problèmes qu'elles rencontrent avec les services existants.

Au moins 60 % ont répondu qu'un manque de transparence dans l'utilisation, d'informations sur la conformité réglementaire et d'un support solide les empêchait d'utiliser le cloud plus largement. Sans ces problèmes, ils auraient déplacé davantage de charges de travail vers le cloud, selon les personnes interrogées.

2014

• Le rôle des services informatiques évolue progressivement au fur et à mesure qu'ils sont confrontés au défi de s'adapter aux nouvelles réalités du cloud IT. Les services informatiques doivent éduquer les employés sur les problèmes de sécurité, développer des politiques complètes de gouvernance et de conformité des données, développer des directives de mise en œuvre du cloud et établir des règles pour quelles données peuvent et ne peuvent pas être stockées dans le cloud.
• Les départements informatiques sont en mesure de remplir leur mission de protection des données de l'entreprise et en même temps d'agir comme un outil dans la mise en œuvre du « Shadow IT », en mettant en œuvre des mesures pour assurer la sécurité des données, par exemple en introduisant un « chiffrement en tant que service » ` approche. service "). Cette approche permet aux services informatiques de gérer de manière centralisée la protection des données dans le cloud, permettant à d'autres parties de l'entreprise de rechercher et d'utiliser indépendamment les services cloud selon leurs besoins.
• Alors que de plus en plus d'entreprises stockent leurs données dans le cloud et que leurs employés utilisent de plus en plus les services cloud, les services informatiques doivent accorder plus d'attention à la mise en œuvre de meilleurs mécanismes pour contrôler l'accès des utilisateurs, tels que l'authentification multifacteur. Cela est particulièrement vrai pour les entreprises qui fournissent à des tiers et à des fournisseurs un accès à leurs données dans le cloud. Les solutions d'authentification multifacteur peuvent être gérées de manière centralisée et fournir un accès plus sécurisé à toutes les applications et données, qu'elles résident dans le cloud ou sur le propre matériel d'une entreprise.

Données Ponemon et SafeNet

La plupart des organisations informatiques ne savent pas comment les données d'entreprise sont protégées dans le cloud. Par conséquent, les entreprises mettent en danger les comptes de leurs utilisateurs et les informations confidentielles. Ce n'est qu'une des conclusions d'une récente étude de l'automne 2014 commandée par le Ponemon Institute for SafeNet. L'étude, intitulée « Cloud Information Management Challenges: A Global Data Security Survey », a interrogé plus de 1 800 professionnels des technologies de l'information et de la sécurité informatique à travers le monde.

Entre autres résultats, l'étude a révélé que si les organisations tirent de plus en plus parti de la puissance du cloud computing, les services informatiques des entreprises sont confrontés à des défis dans la gestion et la sécurisation des données dans le cloud. L'enquête a révélé que seulement 38% des organisations ont des rôles et des responsabilités clairement définis pour la protection des informations confidentielles et autres informations sensibles dans le cloud. Pour ne rien arranger, 44 % des données d'entreprise stockées dans le cloud ne sont ni contrôlées ni gérées par les services informatiques. En outre, plus des deux tiers (71 %) des personnes interrogées ont indiqué qu'elles rencontrent des difficultés croissantes lorsqu'elles utilisent des mécanismes et des méthodes traditionnels pour assurer la sécurité afin de protéger les données confidentielles dans le cloud.

À mesure que la popularité des infrastructures cloud augmente, le risque de fuites de données confidentielles augmente. Environ deux tiers des professionnels de l'informatique interrogés (71 %) ont confirmé que le cloud computing revêt aujourd'hui une grande importance pour les entreprises, et plus des deux tiers (78 %) pensent que le cloud computing restera d'actualité et dans deux ans. En outre, selon les personnes interrogées, environ 33 % de tous les besoins de leurs organisations en matière de technologies de l'information et d'infrastructure de traitement des données peuvent aujourd'hui être satisfaits à l'aide de ressources cloud, et au cours des deux prochaines années, cette part passera à une moyenne de 41 %. .

Cependant, la majorité des répondants (70 %) s'accordent à dire qu'il devient de plus en plus difficile de se conformer aux exigences de maintien de la confidentialité des données et de leur protection dans l'environnement cloud. En outre, les types de données d'entreprise stockées dans le cloud, telles que les adresses e-mail, les données client et client et les informations de paiement, sont les plus à risque de fuites de la part des personnes interrogées.

En moyenne, plus de la moitié de tous les services cloud dans les entreprises sont déployés par des services tiers plutôt que par des services informatiques d'entreprise, et en moyenne, environ 44 % des données d'entreprise hébergées dans le cloud ne sont ni contrôlées ni gérées par les services informatiques. En conséquence, seulement 19 % des personnes interrogées ont déclaré qu'elles étaient sûres de connaître toutes les applications, plates-formes ou services d'infrastructure cloud actuellement utilisés dans leur organisation.

Parallèlement au manque de contrôle sur l'installation et l'utilisation des services cloud, il n'y avait pas de consensus parmi les personnes interrogées quant à savoir qui est réellement responsable de la sécurité des données stockées dans le cloud. Trente-cinq pour cent des personnes interrogées ont déclaré que la responsabilité est partagée entre les utilisateurs et les fournisseurs de cloud, 33% pensent que la responsabilité incombe entièrement aux utilisateurs et 32% pensent que le fournisseur de cloud est responsable de la sécurité des données.

Plus des deux tiers (71 %) des personnes interrogées ont indiqué qu'il devient de plus en plus difficile de protéger les données confidentielles des utilisateurs stockées dans le cloud à l'aide d'outils et de méthodes de sécurité traditionnels, et environ la moitié (48 %) déclarent que cela devient plus difficile pour eux. pour contrôler ou restreindre l'accès des utilisateurs finaux aux données cloud. En conséquence, plus d'un tiers (34%) des professionnels de l'informatique interrogés ont déclaré que leurs organisations ont déjà mis en œuvre des politiques d'entreprise qui nécessitent l'utilisation de mécanismes de sécurité tels que le cryptage comme condition préalable pour travailler avec certains services de cloud computing. Soixante et onze (71) pour cent des personnes interrogées ont indiqué que la capacité de chiffrer ou de tokeniser des données confidentielles ou autres données sensibles est d'une grande importance pour elles, et 79 % pensent que l'importance de ces technologies augmentera au cours des deux prochaines années.

Lorsqu'on leur a demandé ce que faisaient exactement leurs entreprises pour protéger les données dans le cloud, 43 % des personnes interrogées ont déclaré que leurs entreprises utilisaient des réseaux privés pour transférer des données. Environ les deux cinquièmes (39%) des personnes interrogées ont déclaré que leurs entreprises utilisaient le chiffrement, la tokenisation et d'autres outils cryptographiques pour protéger les données dans le cloud. 33 % des personnes interrogées ne savent pas quelles solutions de sécurité leurs organisations ont mises en place, et 29 % ont déclaré qu'elles utilisaient des services de sécurité payants fournis par leurs fournisseurs de services cloud.

Les personnes interrogées pensent également que la gestion des clés de chiffrement d'entreprise est essentielle à la sécurisation des données dans le cloud, étant donné le nombre croissant de plateformes de gestion de clés et de chiffrement utilisées dans leurs entreprises. Plus précisément, 54 % des personnes interrogées ont déclaré que leur entreprise conserve le contrôle des clés de chiffrement lors du stockage des données dans le cloud. Cependant, 45% des personnes interrogées ont déclaré stocker leurs clés de cryptage dans un logiciel, au même endroit où les données elles-mêmes sont stockées, et seulement 27% stockent les clés dans des environnements plus sécurisés, par exemple sur des périphériques matériels.

En ce qui concerne l'accès aux données stockées dans le cloud, soixante-huit (68) pour cent des personnes interrogées déclarent qu'il devient de plus en plus difficile de gérer les comptes d'utilisateurs dans une infrastructure cloud, tandis que soixante-deux (62) pour cent des personnes interrogées ont déclaré avoir accès à le cloud dans leurs organisations, fourni également à des tiers. Environ la moitié (46%) des personnes interrogées ont déclaré que leurs entreprises utilisent l'authentification multifacteur pour protéger l'accès des tiers aux données stockées dans le cloud. Environ le même nombre (48 %) de personnes interrogées ont déclaré que leurs entreprises utilisent des technologies d'authentification multifacteur, notamment pour protéger l'accès de leurs employés au cloud.

2013 : Recherche de la Cloud Security Alliance

La Cloud Security Alliance (CSA), une organisation industrielle à but non lucratif qui promeut la protection dans le cloud, a récemment mis à jour sa liste des principales menaces dans un rapport intitulé « Cloud Evil : Top 9 Threats in Cloud Services in 2013 ».

CSA indique que le rapport reflète le consensus des experts sur les menaces de sécurité les plus importantes dans le cloud et se concentre sur les menaces résultant du partage des ressources cloud et de l'accès par plusieurs utilisateurs à la demande.

Alors, les principales menaces...

Le vol de données

Le vol d'informations confidentielles sur l'entreprise est toujours intimidant pour les organisations dans toute infrastructure informatique, mais le modèle cloud ouvre de « nouvelles voies d'attaque importantes », souligne le CSA. "Si une base de données cloud multi-baux n'est pas bien pensée, une faille dans l'application d'un client pourrait donner aux attaquants l'accès non seulement aux données de ce client, mais à tous les autres utilisateurs du cloud", prévient CSA.

Tout "cloud" possède plusieurs niveaux de protection, chacun protégeant les informations de différents types d'"attaques".

Ainsi, par exemple, la protection physique du serveur. Ici, nous ne parlons même pas de piratage, mais de vol ou de détérioration de supports d'information. Déplacer le serveur hors de la pièce peut être difficile dans le vrai sens du terme. De plus, toute entreprise qui se respecte stocke les informations dans des centres de données avec sécurité, vidéosurveillance et accès restreint non seulement aux personnes extérieures, mais aussi à la plupart des employés de l'entreprise. Ainsi, la probabilité qu'un attaquant vienne simplement prendre l'information est proche de zéro.

Tout comme un voyageur expérimenté, craignant le vol, ne garde pas tout l'argent et les objets de valeur au même endroit,

La rémunération du travail n'est un facteur de motivation que si elle est directement liée aux résultats du travail. Les salariés doivent être convaincus d'une relation stable entre la rémunération matérielle perçue et la productivité du travail. Il doit y avoir une composante dans les salaires qui dépend des résultats obtenus. La mentalité russe se caractérise par le désir de travail collectif, la reconnaissance et le respect des collègues, etc.

Aujourd'hui, lorsque les salaires élevés sont difficiles en raison de la situation économique difficile, une attention particulière doit être accordée aux incitations non matérielles, en créant un système flexible d'avantages pour les employés, en humanisant le travail, notamment :

1.reconnaître la valeur de l'employé pour l'organisation, lui offrir une liberté de création ;

2. appliquer des programmes d'enrichissement du travail et de rotation du personnel ;

3. utiliser un horaire mobile, une semaine de travail à temps partiel, la possibilité de travailler à la fois sur le lieu de travail et à domicile ;

4. d'établir des remises pour les salariés sur les produits fabriqués par l'entreprise dans laquelle ils travaillent ;

5. fournir des fonds pour les loisirs et les loisirs, fournir des billets de voyage gratuits, émettre des prêts pour l'achat d'un logement, d'un jardin, de voitures, etc.

Ci-dessous seront formulés les facteurs de motivation de l'organisation du travail, qui conduisent à la satisfaction des besoins des plus hauts niveaux.
Sur son lieu de travail, chacun veut montrer de quoi il est capable et ce qu'il signifie pour les autres, il est donc nécessaire de reconnaître les résultats de l'activité d'un employé en particulier, de donner l'occasion de prendre des décisions sur des questions liées à sa compétence , pour conseiller les autres employés. Sur les lieux de travail, la vision du monde d'une seule équipe doit être formulée : il est impossible de détruire les groupes informels émergents s'ils ne causent pas de réels dommages aux objectifs de l'organisation.

Presque tout le monde a son propre point de vue sur la façon d'améliorer son travail. S'appuyant sur le soutien engagé de la direction, sans crainte de sanctions, le travail doit être organisé de manière à ce que le salarié ne perde pas l'envie de mettre en œuvre ses projets. Par conséquent, sous quelle forme, à quelle vitesse et de quelle manière les employés reçoivent l'information, ils évaluent leur importance réelle aux yeux de la direction, il est donc impossible de prendre des décisions concernant les changements dans le travail des employés à leur insu, même si les changements sont positifs et entravent l'accès aux informations nécessaires.

L'information sur la qualité du travail d'un employé doit être rapide, à grande échelle et en temps opportun. L'employé doit avoir le plus grand degré de maîtrise de soi possible. La plupart des gens s'efforcent d'acquérir de nouvelles connaissances dans le processus de travail. Par conséquent, il est si important de fournir aux subordonnés l'opportunité d'apprendre, d'encourager et de développer leur créativité.

Chaque personne aspire au succès. Le succès est un objectif atteint, pour la réalisation duquel l'employé a tout mis en œuvre. Le succès sans reconnaissance mène à la déception, tue l'initiative. Cela n'arrivera pas si les subordonnés qui ont réussi se voient déléguer des droits et des pouvoirs supplémentaires et qu'ils sont promus dans l'échelle de carrière.

CONCLUSION

L'efficacité de tel ou tel système de motivation dans la pratique dépend largement des organes de gestion, même si ces dernières années, certaines mesures ont été prises pour accroître le rôle des entreprises elles-mêmes pour développer leurs propres systèmes de motivation, qui, à un moment donné, permettent de mettre en œuvre les buts et objectifs des entreprises dans des conditions de relations de marché.

Désormais, il n'est guère nécessaire de convaincre qui que ce soit que la motivation est le facteur fondamental pour motiver les travailleurs à travailler de manière hautement productive. À leur tour, le fonctionnement des systèmes de motivation, leur développement dépendent principalement des employés de l'appareil de gestion, de leurs qualifications, qualités commerciales et autres caractéristiques qualitatives. Dans le même temps, tant dans la période précédant la transition de la Russie vers les relations de marché, qu'à l'heure actuelle, le problème de la motivation reste le problème le plus urgent et, malheureusement, le plus irrésolu en termes pratiques. La solution à ce problème dépend principalement de nous-mêmes. Nous sommes nous-mêmes responsables de notre vie et de notre motivation à travailler. Cependant, il semble que beaucoup d'entre nous passent trop de temps avant d'oser assumer la responsabilité première du contenu de notre vie et de l'envie de travailler. Nous sommes habitués à chercher d'abord en dehors de nous les causes de nos problèmes de vie et de travail.

Les raisons se trouvent rapidement : collègues proches au travail, patrons, subordonnés, division du travail, atmosphère, méthode de gestion, conditions économiques, politique gouvernementale déraisonnable et bien d'autres facteurs qui se situent même à l'extérieur de notre pays. Beaucoup d'entre nous passent tellement de temps à expliquer l'efficacité de notre travail ou leur refus de travailler, que pendant ce temps, s'il est utilisé correctement, nous pourrions atteindre une motivation nettement plus élevée, à la fois pour nous-mêmes et pour nos proches.

Envoyez votre bon travail dans la base de connaissances est simple. Utilisez le formulaire ci-dessous

Les étudiants, les étudiants diplômés, les jeunes scientifiques qui utilisent la base de connaissances dans leurs études et leur travail vous seront très reconnaissants.

Documents similaires

Essence, formes, principes et systèmes de rémunération. Analyse de la caisse des salaires sur l'exemple de NKMZ JSC. Les modes de rémunération des salariés utilisés dans l'entreprise. Orientations pour améliorer le système de rémunération et la motivation du travail dans les conditions du marché.

Analyse des activités de OOO UMTS "Splav", caractéristiques du système d'organisation de la comptabilité des salaires. Le système des salaires comme élément nécessaire de l'organisation de la rémunération. Caractéristiques des méthodes de motivation des travailleurs, structure du fonds des salaires.

dissertation, ajouté le 01/09/2012


L'essence et le contenu de la catégorie "motivation au travail". Les théories de la motivation, leur essence et leur sens. Analyse de l'état actuel du système de motivation au travail pour les travailleurs de la SARL "Svetlana". Renforcement des facteurs de motivation dans le domaine de la rémunération, l'efficacité des mesures.

dissertation, ajouté le 18/05/2010


Prise en compte des formes, des sources de constitution des fonds salariaux, des systèmes de primes et d'incitations pour les salariés. Caractéristiques de la production et des activités économiques de l'AP « Boulanger » : analyse du coût de production, de la rentabilité, de l'organisation et de la rémunération.

thèse, ajoutée 25/05/2010


Le problème de la stimulation du travail dans l'économie. Caractéristiques du système traditionnel de rémunération dans l'entreprise. Diagnostic de la motivation au travail, des orientations de valeur et de la satisfaction au travail du personnel de l'entreprise. Développement d'un système de rémunération d'entreprise.

thèse, ajoutée le 08/09/2010


Le système de rémunération : types, formes et procédure pour son calcul. La procédure de rémunération des travailleurs dans les établissements médicaux. Comptabilité des financements dans les organisations budgétaires, analyse des indicateurs clés. Projet de mesures pour améliorer le système de rémunération.

thèse, ajoutée le 22/12/2012


L'essence et les principes de la rémunération dans une économie de marché. Formes et systèmes de rémunération modernes. Analyse des rémunérations chez OOO Sigma, Kostroma. Analyse du système de rémunération des travailleurs. Amélioration du système de rémunération dans l'entreprise étudiée.

thèse, ajoutée le 11/04/2012

Toute motivation matérielle est basée sur la récompense matérielle d'une personne pour son travail. Il peut être effectué sous forme de paiement de salaires, ainsi que sous forme de programmes sociaux prévus par la législation russe et les règles adoptées dans cette organisation.

Le salaire est la principale forme de motivation matérielle du personnel. Il exprime en termes monétaires les efforts et le temps qu'une personne consacre au processus de travail.

Les salaires sont le facteur de base du besoin de travail pour la plupart des gens.

Mais le fait même de l'obtenir n'assure pas toujours un travail consciencieux et productif. Par conséquent, si l'on parle du salaire comme d'un facteur qui renforce la motivation des travailleurs, il est nécessaire d'établir la dépendance de sa taille par rapport au résultat final du travail. Dans ce cas, les employés qui exercent leurs fonctions de manière responsable et montrant de hautes performances, recevra plus de salaire que tout le monde. Cela apporte un sentiment de satisfaction à l'égard des résultats de leur travail aux « premiers travailleurs » et sert d'incitation pour le meilleur travail de toute l'équipe.

Afin de comprendre comment vous pouvez pratiquement mettre en œuvre cette tâche, nous analyserons d'abord les bases de la construction systèmes de rémunération dans l'organisation.

La rémunération des employés de l'organisation est basée sur la législation de la Fédération de Russie et est réglementée par l'État. La réglementation de l'État s'étend à l'établissement du salaire minimum, à l'imposition des fonds alloués par l'organisation pour les salaires, à l'établissement de garanties d'État sur les salaires.

Les normes confirmant les fonctions énumérées précédemment sont contenues dans le Code du travail de la Fédération de Russie et, en règle générale, sont fixées dans les conventions de travail et collectives que l'organisation conclut avec ses employés.

Le respect des normes juridiques est à la base d'une organisation pour construire un système de rémunération pour ses employés, mais en plus des normes juridiques, un certain nombre de facteurs doivent être pris en compte.

La forme de rémunération. Il existe deux formes principales de rémunération : au temps et à la pièce. La rémunération au temps implique le calcul du salaire sur la base du coût d'une heure de travail ou du salaire pour les heures réellement travaillées. Cette forme de salaire est utilisée pour rémunérer les spécialistes et les cadres, car ils ne produisent pas de produits spécifiques, qui se comptent en pièces, en mètres et en kilogrammes. Leur travail est mesuré par le temps consacré à leur travail.

Les salaires à la pièce dépendent de la quantité de produits fabriqués et calculé sur la base du coût unitaire du produit fabriqué. Par les salaires aux pièces, le travail des travailleurs est évalué, dont les résultats peuvent être mesurés quantitativement.

Couverture des travailleurs. La couverture des travailleurs implique une rémunération individuelle et collective. Le paiement individuel est le calcul du salaire pour chaque employé spécifique. La rémunération collective est calculée sur la base des résultats du travail d'un groupe puis répartie au sein de ce groupe selon les règles établies.

Moyens de paiement. Moyens de paiement - espèces et éléments en nature. En règle générale, les salaires sont payés en espèces, mais en accord avec l'employé et conformément à la législation de la Fédération de Russie, une partie du paiement en nature est possible - en biens, titres ou services.

La durée de la période de facturation. La durée de la période de facturation correspond à la fréquence des paiements. La rémunération du travail peut être journalière, hebdomadaire, mensuelle.

L'étude et l'analyse des facteurs énumérés permettent de développer et de mettre en œuvre un système de paiement qui correspondrait aux buts et objectifs de l'organisation, ainsi qu'à ses capacités financières. Mais il faut non seulement créer un système de rémunération du personnel, mais le faire en sorte qu'il devienne une incitation au travail.

Pour ce faire, lors du développement, il est nécessaire de suivre les règles qui assurent une augmentation de l'efficacité du travail des travailleurs:

■ le système salarial doit orienter l'employé pour atteindre le résultat souhaité pour l'entreprise, par conséquent, le montant du salaire est lié aux indicateurs de performance de l'ensemble de l'organisation (bénéfice, volume des ventes, réalisation du plan) ;

■ le système de rémunération doit être un moyen de gestion du personnel, pour cela le manager doit pouvoir à la fois des incitations matérielles et des sanctions ;

■ Le système de rémunération doit répondre aux attentes des employés et être proportionné aux conditions dans d'autres organisations.

Comme nous l'avons déjà dit, le système de paiement de chaque entreprise a ses propres caractéristiques, reflétant les exigences de la production, le type d'activité et la politique du personnel adoptée.

Récemment, cependant, de nombreuses organisations en sont venues à utiliser un système de rémunération, qui implique la division des paiements au personnel en trois parties.

Première partie est le salaire de base. Elle est versée pour l'exercice de fonctions officielles et reste inchangée (à l'exception de la rémunération à la pièce). Tous les employés de l'organisation reçoivent des salaires.

Deuxième partie- il s'agit de paiements et de compensations préférentiels - un forfait social que l'organisation offre à ses employés. Cela comprend les paiements pour les vacances, les congés de maladie, les repas, la formation des employés, l'assurance-vie et l'assurance-maladie et l'indemnité annuelle d'inflation. La partie compensatoire de la rémunération est individuelle et dépend du nombre d'années de travail du salarié et de la disponibilité de programmes sociaux supplémentaires adoptés par l'organisation. Tous les salariés perçoivent également la partie rémunération.

La troisième partie- il s'agit de paiements supplémentaires que l'organisation effectue pour les réalisations du travail au cours de la période précédente. Des paiements supplémentaires peuvent être effectués sous forme de primes, de pourcentages de ventes de produits, de paiements supplémentaires aux congés, ainsi que d'indemnités et de coefficients pour la complexité et la qualité du travail effectué. Cette partie des paiements est variable. Il est différent pour tous les employés et dépend d'indicateurs de performance individuels. Cette partie n'est pas reçue par tous les employés, mais seulement par ceux qui ont obtenu certains résultats dans leur travail.

Le système de rémunération présenté comprend tous les types de paiements au personnel établis par la loi et permet de stimuler l'efficacité des employés grâce à des primes supplémentaires pour un travail de haute qualité et productif.

Il convient de noter que, lors de la création d'un système de rémunération, le chef de l'organisation et le service du personnel doivent se rappeler que le sens de la rémunération monétaire pour l'employé ne se limite pas à la compensation des coûts des forces qu'il dépense dans l'exécution de son travail. La rémunération monétaire, les formes de sa réception et sa taille sont perçues comme des preuves de sa valeur pour l'organisation, forment l'estime de soi et parlent de statut social. Ainsi, l'argent reçu par l'employé est un indicateur d'épanouissement personnel et professionnel.

Description bibliographique :

A.K. Nesterov Motivation du personnel au travail dans l'organisation [Ressource électronique] // Site d'encyclopédie éducative

La gestion de la motivation au travail est un facteur clé dans le système de gestion du personnel de l'organisation, car il existe une relation directe entre la motivation du salarié et l'efficacité de son travail.

Le concept et l'essence de la motivation au travail

Motivation Est le processus de création d'incitations pour atteindre les objectifs fixés. Les besoins et les motifs sont impliqués dans le processus de motivation. Les besoins sont une motivation intérieure à l'action. Le processus de motivation se termine par le développement d'un motif ; en plus des besoins, des orientations de valeurs, des croyances et des points de vue sont également impliqués dans ce processus. C'est un processus caché, il n'est pas observable et il ne peut pas être déterminé empiriquement.

Vous ne pouvez voir que le résultat de la motivation - le comportement humain.

Une motivation efficace affecte non seulement l'augmentation de l'activité sociale et créative d'un employé en particulier, mais également les résultats finaux de l'entreprise.

Chacune des théories existantes de la motivation procède des résultats de certains aspects théoriques et appliqués, les posant dans la base de son concept, cependant, une approche unifiée de la définition du concept de motivation n'a pas été développée.

Approches de la définition du concept de motivation au travail

Dans le cadre de cet article, nous utiliserons la thèse suivante qui caractérise l'essence de la motivation au travail.

Motivation du personnel au travail- Il s'agit d'une combinaison de forces motrices internes et externes qui incitent une personne à mener des activités conscientes.

En tant qu'élément du système de gestion, la motivation du personnel vise à encourager les personnes à effectuer leur travail le plus efficacement possible dans le cadre de leurs droits et obligations. À cet égard, la motivation affecte directement - les compétences de l'employé n'apporteront pas de résultats s'il ne s'intéresse pas à lui. Dans la gestion d'une organisation, un ensemble de facteurs internes et externes est utilisé pour motiver le personnel.

Séparément, ces facteurs sont insignifiants pour une personne et dans les conditions modernes, leur impact n'est pas si fort, mais avec un impact complexe, ils se multiplient, créant un effet multiplicateur.

Théories de la motivation du personnel

Le tableau montre les théories substantielles et procédurales de la motivation, dans lesquelles se forment des complexes de motifs et d'incitations, qui agissent comme des éléments de motivation du travail du personnel dans une organisation.

Source : Vikhansky, O.S. Management : manuel / O.S. Vikhansky, A.I. Naumov. - 5e éd., Stéréotype. - M. : Master : INFRA -M, 2012.

La construction d'un système de motivation selon des théories significatives de la motivation est basée sur l'identification et la satisfaction des besoins dominants des employés, et les théories procédurales de la motivation attribuent un rôle clé à la formation du comportement motivationnel des employés.

Méthodes de motivation du personnel dans l'organisation

Les modes de motivation au travail sont présentés comme des influences régulatrices managériales de trois types : passive, indirecte et active.

• Les influences passives n'affectent pas les employés, mais visent à créer des conditions de travail et incluent le développement de normes, règles et règlements relatifs au travail du personnel.
• Les influences indirectes affectent indirectement les employés de l'organisation et sont mises en œuvre sous la forme de programmes de bonus complexes, des incitations destinées au collectif de l'entreprise dans son ensemble.
• Les influences actives impliquent un impact direct sur des employés ou des groupes d'employés spécifiques.

Les méthodes de motivation sont présentées dans le diagramme

Méthodes de motivation du personnel

Les méthodes économiques de motivation reposent sur l'obtention de certains avantages pour les employés, ce qui augmente leur bien-être.

Formes directes de méthodes économiques :

• salaires de base;
• des paiements supplémentaires, en tenant compte de la complexité du travail et des qualifications, du travail excédentaire, etc. ;
• rémunération sous forme de primes et de paiements en fonction de la contribution du salarié aux résultats de l'activité de production de l'entreprise ;
• autres types de paiements.

Formes indirectes de méthodes économiques :

• mise à disposition d'une voiture de société;
• utilisation des institutions sociales de l'organisation;
• achat des produits de l'organisation à un prix inférieur au prix de vente;
• offrant divers avantages.

Méthodes d'organisation :

1. Motivation par des objectifs intéressants pour le travail principal des employés;
2. Motivation en enrichissant le contenu de l'activité de travail ;
3. Motivation par la participation aux affaires de l'organisation.

Méthodes psychologiques morales :

1. Fierté du travail confié et exécuté;
2. Responsabilité des résultats des travaux;
3. Un défi, une opportunité de montrer vos capacités;
4. Reconnaissance de paternité du résultat du travail ou du projet réalisé ;
5. Note élevée, peut être personnelle ou publique.

Exigences relatives aux méthodes de motivation du travail du personnel de l'organisation

Orientations pour améliorer et augmenter l'efficacité de la motivation au travail du personnel dans l'organisation

Système de motivation des employés Est un outil de gestion du personnel flexible axé sur la réalisation des objectifs de l'entreprise en utilisant des méthodes administratives, économiques et socio-psychologiques.

Les entreprises doivent construire un système efficace de gestion des ressources humaines qui assurerait l'activation du facteur humain ; pour cela, les organisations utilisent des méthodes de motivation du personnel afin d'orienter les gens vers la solution la plus efficace des tâches assignées. La motivation au travail vise à augmenter la productivité du travail, à augmenter les bénéfices de l'organisation, ce qui conduit finalement à la réalisation des objectifs stratégiques de l'organisation.

Le problème principal est la question de la création d'un système efficace et efficient de motivation du personnel dans l'organisation. Étant donné que chaque manager s'efforce de s'assurer que l'employé ne se désintéresse pas du travail, les organisations développent des événements spéciaux et un système de motivation est mis en place pour maintenir l'intérêt des employés pour le travail.

Une étude antérieure a révélé qu'il existe une relation stable entre les deux, elle s'exprime à travers les types de motivation et les facteurs affectant l'intérêt pour le travail.

Un système de motivation inefficace conduit à une diminution de la productivité du travail, par conséquent, l'importance de l'utilisation rationnelle de méthodes efficaces de stimulation du travail est évidente.

L'interdépendance de la motivation des salariés et des résultats de l'activité économique de l'organisation est à la base de l'entreprise.

La tâche de tout gestionnaire est d'organiser le processus de travail de manière à ce que les gens travaillent efficacement. La productivité et le climat des relations dans l'entreprise dépendent directement de la mesure dans laquelle les employés sont d'accord avec leur position dans l'entreprise et le système d'incitation existant. Ceci, à son tour, affecte la réduction de la formalisation rigide des relations intra-firme, visant à les transformer dans le contexte de la réalité objective dans une entreprise.

La direction typique de l'amélioration du système de motivation au travail du personnel dans l'organisation est l'expansion des formes et du type d'incitations. Par exemple, si les incitations matérielles sont les plus prononcées dans le système de motivation de l'entreprise ou si les types d'incitations non matérielles sont pratiquement absents, il est nécessaire d'utiliser davantage de types d'incitations morales pour les employés, par exemple :

1. Mettre divers enregistrements des réalisations de l'employé dans son dossier personnel.
2. Remerciements oraux au nom de la direction de l'entreprise.
3. Formation complémentaire aux frais de l'organisation.
4. Une invitation payante à dîner dans un restaurant que l'entreprise remet au salarié.
5. Horaires de travail flexibles.
6. Mise à disposition d'un parking et d'essence gratuite.
7. Amélioration de la qualité des équipements de travail, ainsi que l'achat de nouveaux équipements pour les meilleurs salariés en fin d'année.
8. Placement d'une photo dans un journal mural.
9. Un souvenir avec une mention spéciale "Meilleur Employé".
10. Placer les commentaires reconnaissants des clients d'une manière que tout le monde peut voir.
11. Abonnement à des périodiques spécialisés.

Pour augmenter la motivation des employés, il est nécessaire de créer des conditions d'expression des employés, de leur donner une certaine initiative dans la prise de décisions et de créer des conditions pour que les employés aient la possibilité d'influencer les processus en cours dans l'entreprise. Pour ce faire, l'administrateur peut déléguer certains de ses pouvoirs directement aux chefs de division de la société.

Il sera utile pour le leader d'utiliser certains événements marquants de la vie personnelle de ses subordonnés (anniversaires, mariages, etc.) afin de leur montrer de l'attention, de les féliciter tous en équipe. De la part des salariés, de telles actions sont également possibles.

Aussi, afin d'accroître l'implication des salariés dans les affaires de l'entreprise, il est nécessaire d'introduire un système d'actions désigné par le terme « politique de la porte ouverte ». Cela signifie la volonté d'un leader de tout rang d'écouter les suggestions de ses subordonnés. La devise de cette politique est : « Les portes de mon bureau vous sont toujours ouvertes. Cependant, la question se pose de savoir comment cela se rapporte à la ressource en temps du gestionnaire. En effet, que se passe-t-il si les subordonnés décident qu'ils peuvent entrer dans le bureau du chef quand ils le souhaitent. En fait, si les employés sont occupés, ils visitent le bureau du directeur beaucoup moins souvent que vous ne le pensez. De plus, vous pouvez utiliser certaines techniques pour organiser ce genre de contacts :

• Le responsable peut fixer lui-même l'heure de la réunion, sans refuser à l'employé une audience, mais en la reportant à un moment qui lui convient.
• L'utilisation de formes écrites de présentation de l'information contribue également à réduire la communication avec les subordonnés. La présentation d'idées par écrit se caractérise par la concision et la précision.
• Évaluation et promotion de propositions commerciales spécifiques. Parfois, lors de la soumission d'une idée, les employés l'accompagnent d'une grande quantité d'informations connexes, même si vous n'avez qu'à en énoncer spécifiquement l'essence.

Accroître la motivation des salariés par des méthodes d'incitations morales et la mise en place d'une politique de « porte ouverte » à tous les niveaux de management augmentera significativement la participation des salariés à l'ensemble de l'organisation, ainsi qu'aux décisions prises par les managers. Cela contribuera à l'optimisation des relations intra-entreprise grâce à des méthodes subjectives-objectives pour atteindre un équilibre dans les relations formelles et informelles qui existent dans l'organisation. Il améliorera également la qualité des informations disponibles pour la direction et nécessaires à la prise de décision. Les incitations morales aideront également les employés à se sentir engagés envers les objectifs et les valeurs de l'organisation.

Une direction prometteuse pour accroître l'efficacité du système de motivation du personnel est la mise en œuvre du programme d'adaptation du personnel. Même s'il n'y a pas de service séparé pour gérer l'adaptation du personnel dans l'entreprise, le travail d'adaptation d'un nouvel employé peut être effectué par un employé du service du personnel.

Un programme d'intégration est un ensemble d'actions spécifiques qui doivent être effectuées par un employé responsable de l'intégration. Le programme d'adaptation est divisé en général et spécial. Le programme général d'adaptation s'applique à l'ensemble de l'organisation dans son ensemble et comprend des questions telles qu'une idée générale de l'entreprise, la politique de l'organisation, la rémunération, les avantages supplémentaires, la protection et la sécurité du travail, les conditions de travail d'un employé de l'organisation, service domestique, facteurs économiques.

Un programme d'adaptation spécial couvre les problèmes liés spécifiquement à tout service ou lieu de travail et se déroule à la fois sous la forme d'entretiens spéciaux avec les employés du service dans lequel le nouveau venu est venu et d'entretiens avec le chef (immédiat et supérieur). Mais l'organisation de ces conversations est confiée à l'employé du service du personnel. Les principaux problèmes qui doivent être mis en évidence dans le processus d'un programme d'adaptation spécial sont : les fonctions de l'unité, les tâches et les responsabilités, les rapports requis, les procédures, les règles, les règlements et la représentation des employés de l'unité.

Les salaires sont la partie la plus importante du système de rémunération et d'incitations pour le travail, l'un des outils pour influencer l'efficacité du travail d'un employé. C'est le summum du système d'incitation du personnel de l'entreprise, mais malgré toute son importance, les salaires dans la plupart des entreprises étrangères prospères ne dépassent pas 70% du revenu de l'employé, les 30% restants du revenu étant impliqués dans la distribution des bénéfices.

Pour que le salaire remplisse sa fonction motivante, il doit exister un lien direct entre son niveau et les qualifications du salarié, la complexité du travail effectué et le degré de responsabilité.

Le système de rémunération s'entend comme la méthode de calcul du montant de la rémunération à verser aux salariés de l'entreprise en fonction des coûts de main-d'œuvre qu'ils ont engagés ou en fonction des résultats du travail.

Il existe deux systèmes d'organisation des rémunérations : tarifaire et non tarifaire. Système tarifaire vous permet de mesurer une variété de types de travail spécifiques, en tenant compte de leur complexité et de leurs conditions d'exécution, c'est-à-dire en tenant compte de la qualité du travail. C'est le plus courant dans les entreprises nationales.

Les plus répandus dans les entreprises de diverses formes de propriété sont deux formes du système tarifaire de rémunération:

Travail à la pièce - pour chaque unité de production ou la quantité de travail effectué ;

Basé sur le temps - pour les heures standard travaillées, qui sont prévues par le système tarifaire.

Dans chaque entreprise spécifique, en fonction de la nature des produits, de la présence de certains processus technologiques, du niveau d'organisation de la production et du travail, l'une ou l'autre forme de salaire est utilisée.

En termes de salaires et traitements, il est assez difficile de se débarrasser de la péréquation, de surmonter la contradiction entre les intérêts d'un employé individuel et de l'ensemble de l'équipe.

Comme option possible pour améliorer l'organisation et stimuler le travail, utiliser système salarial en franchise de droits , qui a trouvé une application dans de nombreuses entreprises lors de la transition vers les conditions de gestion du marché. Dans ce système, les salaires de tous les employés d'une entreprise, du directeur à l'ouvrier, représentent la part de l'employé dans la masse salariale (la masse salariale) ou l'ensemble de l'entreprise ou une subdivision distincte. Dans ces conditions, la valeur réelle du salaire de chaque salarié dépend de plusieurs facteurs :

Le niveau de qualification du salarié ;

Taux de participation au travail (KTU);

Heures réellement travaillées.

Le niveau de qualification d'un salarié d'une entreprise est établi pour tous les membres du collectif de travail.

Tous les employés de l'entreprise sont divisés en dix groupes de qualifications, en fonction du niveau de qualification des employés et des exigences de qualification des employés de diverses professions. Pour chacun des groupes, son propre niveau de qualification est établi, qui peut être augmenté tout au long de son activité professionnelle. Le système des niveaux de qualification crée de grandes opportunités d'incitations matérielles pour une main-d'œuvre plus qualifiée que le système des niveaux de salaire.

KTU est exposé à tous les salariés de l'entreprise, y compris le directeur, et est agréé par le conseil du collectif du travail, qui décide lui-même de la fréquence de sa détermination (une fois par mois, trimestriellement, etc.) et de la composition des indicateurs pour son calcul.

Une variante du système en franchise de droits est système de rémunération contractuelle, visant à attirer et à retenir dans les entreprises du personnel hautement qualifié, principalement des cadres et des spécialistes, à former une équipe de professionnels capables d'atteindre des objectifs toujours plus élevés dans une compétition acharnée.Il est basé sur la conclusion d'un accord (contrat) entre l'employeur et l'employé, qui précise les conditions de travail, les droits et obligations des parties, le niveau de rémunération, etc. deux avantages incontestables. Premièrement, les travailleurs peuvent être payés beaucoup plus que ce qui est prescrit par les salaires, les tarifs et les taux dans le cadre du système de paiement de l'État existant. Deuxièmement, le système contractuel permet de se débarrasser facilement et simplement d'un employé négligent en résiliant le contrat, sans entrer en conflit avec le Code du travail, sans coordonner ce licenciement avec le syndicat. Ces avantages rendent le système de contrat extrêmement attrayant pour les entreprises qui souhaitent réellement obtenir des améliorations spectaculaires de l'efficacité de la production.

Abonnez-vous aux nouvelles