Les recommandations de l’agence pour sécuriser un IaaS basé sur OpenStack
L’Agence nationale de la sécurité des systèmes d’information (Anssi) a publié un guide détaillant ses recommandations pour sécuriser un infrastructure-as-a-service (IaaS) basée sur la plateforme cloud open source OpenStack. Ce guide aborde les exigences relatives à l’authentification, au chiffrement, au cloisonnement des données et à la journalisation, afin de permettre un déploiement OpenStack conforme au référentiel SecNumCloud 3.2.
Points clés
- L’Anssi a publié un guide pour sécuriser un IaaS basé sur la plateforme OpenStack
- Ce guide vise à permettre un déploiement OpenStack conforme au référentiel SecNumCloud 3.2
- Les recommandations portent sur le cloisonnement des accès et des données d’authentification, l’authentification multifacteur, la protection des flux et des données, la protection des données des clients, et la mise en œuvre de la journalisation
- Pour le cloisonnement, l’Anssi recommande notamment de décomposer le déploiement OpenStack en domaines avec des annuaires LDAP dédiés
- Pour l’authentification, elle préconise l’utilisation de certificats X.509 et la vérification de la cohérence entre les certificats et l’identité LDAP
- En matière de protection des données, le chiffrement TLS est recommandé pour les différents services OpenStack, ainsi que l’utilisation d’un HSM certifié pour la gestion des clés
- L’Anssi insiste également sur la mise en place d’une journalisation complète pour détecter les comportements malveillants
À retenir
Avec ces recommandations détaillées, l’Anssi montre qu’elle prend très au sérieux la sécurité des déploiements OpenStack, notamment dans le cadre du référentiel SecNumCloud. Les équipes techniques en charge de ces infrastructures cloud devront donc s’armer de patience et suivre scrupuleusement ces consignes pour espérer obtenir la certification. Mais bon, ce n’est qu’un petit prix à payer pour la sécurité de nos précieuses données, non ?
Sources
