OVHcloud veut unifier sa gestion des accès, des identités et des clés
Avec son IAM et son KMS ouverts, OVHcloud entend renforcer son paradigme de sécurité de manière pragmatique. S’il est en retard par rapport à ses concurrents, cela ne l’empêche pas de faire preuve d’ambitions.
Lors de Very Tech Trip, OVHcloud a présenté sa feuille de route pour 2023. Outre un fort accent mis sur l’hébergement et le traitement des données, le fournisseur français entend renforcer son offre de sécurité. Il a beau vanter ses offres dites « de confiance » et SecNumCloud, le fournisseur ne propose pas de IAM ni de système de gestion des clés de chiffrement (KMS) « unifié » à disposition de ses clients dans le cloud public. Or, ce sont deux pierres angulaires de la cybersécurité moderne et des solutions disponibles de longue date chez Azure, AWS et GCP.
Enfin un IAM « unifié » sur OVHcloud
Le gestionnaire unifié des accès et des identités d'OVHcloud.
Introduit dès juin 2021 sur Twitter par Octave Klaba, fondateur et président du conseil d’administration d’OVHcloud, le gestionnaire des identités et des accès d’OVHcloud devra pouvoir se connecter aux SSO choisis par les entreprises. Il pourra gérer les accès aux différents services bâtis par-dessus OpenStack, les offres Bare-Metal, mais également les offres de cloud privé (Hosted Private Cloud) mises au point avec VMware. Cela passe entre autres par le support des protocoles SAML et OIDC.
« D’ici à quelques semaines, vous allez pouvoir gérer tous vos accès de manière centralisée via l’API, l’espace client et même en Infrastructure as Code », avance Laurent Berger, vice-président Public Cloud chez OVHcloud.
L’accès à l’API du IAM d’OVHcloud sera possible à la fin du mois de février. Le service unifié sera aussi disponible depuis l’espace client (ou Manager) au mois de mai 2023. Le contrôle des accès via ce IAM sera accessible au mois d’août pour VMware on OVHcloud.
« Vous pourrez gérer vos groupes d’utilisateurs, l’accès à vos applications, et même connecter ce service à votre propre IAM », promet-il.
Un KMS à la demande et open source
Quant au KMS à la demande, il sera disponible en version bêta dès la fin de l’été, indique OVHcloud.
Il s’agit de gérer le chiffrement des données stockées dans les SGBD managés, les conteneurs orchestrés, les services de stockage objet, ou encore les services Bare-Metal et Hosted Private Cloud. En connexion avec le IAM, le KMS doit également permettre d’automatiser la gestion des secrets depuis un coffre-fort (à la manière d’un Hashicorp Vault).
Pour Hosted Private Cloud, OVHCloud accueille déjà au sein de ses infrastructures des HSM Thales (Luna 7) afin de protéger les clés de chiffrement gérées depuis le KMS Ciphertrust. Avec l’offre Managed Bare-Metal, les utilisateurs peuvent passer par l’interface KMIP de vSphere pour gérer les clés de chiffrement des machines virtuelles depuis un KMS externe.
Tout comme le IAM, le futur KMS à la demande sera open source. « Pourquoi open source ? Parce que dans la sécurité, c’est le seul moyen qu’il n’y ait pas de loup. Il faut se soumettre à l’examen de l’ensemble de la communauté cyber », juge Thierry Souche, CTO d’OVHcloud, auprès du MagIT.
La solution en question est mise au point à l’aide des équipes de BuyDRM, une société rachetée par OVHcloud en 2021.
« Nous savions gérer nos clés de chiffrement de manière très sécurisée pour les équipes internes », déclare le CTO d’OVHcloud. « Pour exposer [un KMS] sans créer de failles de sécurité, sans être réveillé toutes les nuits, il faut le faire sérieusement. Nous avons pris du recul. Nous avons constaté que c’est l’un des rares domaines où il n’y a pas de solutions open source capables de monter à l’échelle », ajoute-t-il. « J’ai besoin de gérer des milliards de clés pour des millions de clients avec différentes modalités de rotations ».
Si BuyDRM n’est pas un éditeur de KMS, sa spécialisation dans le domaine de la protection de contenus et de flux média, lui a donné une expérience du chiffrement à large échelle, selon Thierry Souche. « BuyDRM a l’expérience du passage à l’échelle, comprend les pics de charge, sait gérer la montée et de la descente de trafic ».
Aussi, OVHcloud ne veut pas imposer son KMS-as-a-service. « Nous proposerons du Bring Your Own Key et du Bring Your Own KMS. La solution doit être ouverte », martèle-t-il. D’après le directeur technique, le KMS supporte entre autres l’interface KMIP.
« Nous proposerons du Bring Your Own Key et du Bring Your Own KMS. La solution doit être ouverte. »
Thierry SoucheCTO d’OVHcloud
Le CTO constate que les utilisateurs du cloud français n’ont pas tous la maîtrise de leurs secrets. « En même temps, nous ne leur apportions pas de solutions pour qu’ils s’améliorent en la matière. De même, il n’y avait pas forcément d’outils tiers qui s’interfaçaient facilement avec nos services », admet-il.
Le MVP du système de gestion de clés de chiffrement est en cours de validation. Le fournisseur souhaite également proposer un niveau de certification FIPS 140-2. Une fois disponible, il faudra encore le connecter à l’ensemble des services du fournisseur cloud. Cette mise en compatibilité est déjà bien avancée concernant le IAM, assure le CTO.
L’avenir ? S’appuyer sur les HSM et le KMS proposés par OVHcloud pour gérer le chiffrement des secrets et des données hébergés chez différents fournisseurs depuis ce cloud souverain. « C’est quelque chose que nous testons déjà sur un service dont je tairai le nom. Il faut que nous soyons sûrs que ce soit robuste avant de présenter quelque chose de plus concret », indique Thierry Souche. « Ce paradigme de sécurité, ainsi que le niveau d’interopérabilité que cela réclame, n’est pas trivial ».
Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)
