Gouvernance applicative : une réalité sur le Cloud d’Amazon

Gestion des clés de chiffrement, gestion des configurations et catalogues de services : trois nouveaux services AWS pour renforcer la sécurité et la gouvernance du système applicatif Cloud d’une entreprise. Des réponses efficaces à de fortes attentes.

La gouvernance du système d’information et de ses applications est devenue la grande problématique actuelle et des années à venir pour les entreprises, soumises à des règles de conformité toujours plus contraignantes et dont le non-respect entraîne parfois de lourdes sanctions financières. En outre, le respect de la conformité reste très lié à une politique de sécurité globale du système applicatif de l’entreprise.

Amazon Web Services a profité de son grand événement annuel ReInvent 2014 pour rappeler ses nombreuses certifications et la conformité de ses services à de multiples normes et diverses obligations sectorielles. Ce qui représente un investissement conséquent, et peut parfois faire la différence entre deux fournisseurs de services en ligne. En environnement Cloud, ce type de considération devient d‘autant plus stratégique qu’une partie des processus concernée doivent généralement être pris en charge par la plate-forme.

Jeu de clés pour chiffrement efficace

Le développeur peut créer des politiques de sécurité

« Une sécurité et une conformité de haut niveau commencent par la possibilité de chiffrer ses informations et ses communications », explique Andy Jassy, senior vice-président chez Amazon Web Services. « L’entreprise a besoin d’un chiffrement automatique avec gestion des clés, de solutions matérielles dédiées au chiffrement et de livraison transparente de clés à l’utilisateur final. Toutefois, les clés sont parfois stockées de façon incohérente, la rotation reste complexe et exige souvent le rechiffrement. Enfin, l’audit et la traçabilité s’avèrent souvent difficiles.»

Face à ce constat et pour répondre à tous ces défis, AWS lance son service Key Management Service. Ce service Cloud simplifie la création et la gestion des clés de chiffrement utilisées pour crypter les données, en s’appuyant sur des modules matériels de sécurité (les HSM ou hardware security models) afin de protéger les clés.

En un clic depuis la console d’administration, le développeur chiffre les données avec Key Management Service. Il peut également utiliser le kit de développement (SDK) AWS pour intégrer le chiffrement directement dans son code applicatif. Par la suite, il peut surveiller et désactiver des clés. Ou encore définir des politiques de sécurité automatisant par exemple la rotation forcée des clés. Toutes les actions étant enregistrées, le système est auditable, une traçabilité qu’apprécieront les entreprises devant s’y conformer.

Disponible dès aujourd’hui, Key Management s’intègre de façon transparente avec les autres services maison comme Simple Storage Service (Amazon S3), Elastic Block Store (Amazon EBS), Relational Database Service (Amazon RDS) ou Amazon Redshift. Ou tout autre service via le SDK.

Retrouver et gérer ses ressources dans la nébuleuse

Une console pour ne plus avancer dans le noir

La gouvernance d’un service Cloud passe par une gestion efficace des ressources utilisées et donc une bonne visibilité de leur utilisation. C’est d’ailleurs la raison pour laquelle, avec la virtualisation et le Cloud, les solutions de supervision font leur grand retour.

Partant du constat que les solutions traditionnelles de gestion des configurations (CMDB , Itil, etc.) montrent essentiellement les ressources sur site avec leurs dépendances et s’avèrent limitées pour superviser les ressources Cloud, Amazon propose son service Config. Apparemment très attendu par l’assistance qui a très positivement réagi à cette annonce. A croire que chacun avançait dans le noir jusqu’à présent… Config procure un inventaire complet des ressources AWS utilisées par un compte, l’historique des configurations et des notifications de modification… et les relations entre ces ressources. Par exemple, il devient possible de découvrir quelles instances EC2 ne sont pas utilisées dans un VPC (Amazon Virtual Private Cloud).

Lire aussi : Après Google Cloud, AWS : pourquoi ils suppriment les frais de sortie

Autant de possibilités permettant de déployer un audit de sécurité et de conformité via des inventaires détaillés, des analyses de sécurité, la traçabilité des changements, pannes et incidents.

Le prix varie en fonction du nombre d’éléments de configuration enregistrés chaque mois. A savoir, l’enregistrement d’une ressource ou la modification de configuration d’une ressource dans un compte AWS. Aucun frais de départ n’est réclamé et le prix est établi à 0,003 dollar par élément de configuration enregistré. Le service en mode preview (et gratuit pendant cette période) est actuellement disponible ici.

Des services clairement catalogués

Des services définis pour les groupes et supervisés en temps réel.

Avec le succès confirmé des approches de type Itil, les catalogues de services s’imposent pour simplifier l’accès aux ressources pour les informaticiens, et aux applicatifs ou services métier pour les utilisateurs.

Comment distribuer et contrôler des ressources ou des applications Cloud ? Pour répondre à cette question Amazon lance Service Catalog, son service de découverte et d’approvisionnement d’applications sur le Cloud.

Un administrateur peut rendre accessible et superviser l’utilisation de portfolios d’applications ou de ressources. Ensuite, l’utilisateur peut accéder via son portail (son département dans l’entreprise par exemple, ou son type de fonction…) aux ressources disponibles et lancer une application ou un service. Ainsi l’accès aux ressources peut être géré selon les droits de chacun, avec la traçabilité de toutes les opérations.

L’administrateur dispose de tout l‘outillage pour constituer les services et définir les groupes d’utilisateurs autorisés. Par la suite, il peut superviser l’état de fonctionnement de chaque service et plonger dans le détail des ressources, comme le montre l’illustration ci-dessus. Service Catalog sera disponible début 2015.
Répondant à ces fortes attentes en matière de gouvernance émanant de ses clients, AWS professionnalise une fois de plus sa plate-forme. Une approche salutaire pour faire comprendre aux observateurs (et aux concurrents) que le Cloud d’Amazon n’est pas uniquement destiné à des environnements de test ou à la gestion ponctuelle de débordement.

Crédit Photo : AWS

Lire aussi : AWS rend les adresses IPv4 publiques payantes : et maintenant ?