Gestion fédérée des identités : la clé de la sécurité de la plateforme Helix Nebula
Le CERN et la Cloud Security Alliance expliquent comment la gestion fédérée des identités assure la protection d’Helix Nebula, la plateforme Cloud européenne sur laquelle reposent des applications telles que celles utilisées par le Large Hardon Collider.
La gestion fédérée des identités s’avère cruciale pour une plateforme Cloud impliquant certaines des principales organisations scientifiques en Europe, plus d’une douzaine de partenaires commerciaux, et de nombreux centres de calcul.
C’est l’une des principales leçons du projet Helix Nebula, aussi connu sous le nom de « Cloud Scientifique. » Cet ambitieux projet Cloud a été initialement annoncé en mars 2012 par le Cern, l’Agence spatiale européenne (ESA), et le Laboratoire européen de biologie moléculaire (EMBL).
Ces trois groupes scientifiques se sont associés à des tiers tels qu’Atos, Capgemini, T-Systems, et SAP, ainsi qu’à consortiums industriels tels que la Cloud Security Alliance (CSA), et EGI, European Grid Infrastructure. Après seulement quelques mois, ce partenariat a donné naissance à Helix Nebula, une plateforme sur laquelle s’est aussitôt appuyé en partie le projet LHC du Cern. Plus précisément, le Cern a migré l’application emblématique de son expérience Atlas qui a aidé à découvrir le fameux boson de Higgs à l’été 2012. Cette application, qui réalise des simulations complexes, a des besoins en puissance de calcul considérables, relève Bob Jones, à la direction de la division IT du Cern.
Mais avec plus de 20 organisations impliquées dans Helix Nebula, sans compter un grand nombre d’expériences et de projets de recherche, construire une architecture de sécurité efficace était essentiel. Et compte tenu de nombre d’acteurs impliqués, la gestion des identités et des accès en constituait une composante non négligeable.
L’identité fédérée : le passeport pour la sécurité du Cloud
La CSA fait partie des partenaires fondateurs du projet Helix Nebula. Elle s’est initialement concentrée sur la fourniture d’une étude approfondie de la sécurité de la plateforme. « Le rôle de la CSA était de pousser à l’adoption des pratiques de référence en matière de sécurité Cloud, et notamment autour de la gestion fédérée des identités, » explique JEsus Luna, directeur de recherche de la CSA en Europe.
Mais avant de décider de quelles organisations et équipes de recherche auraient accès à certaines parties du cloud Helix Nebula, les partenaires devaient régler la question des systèmes de sécurité de chacun des fournisseurs cloud impliqués. Jones se souvient qu’il s’agissait d’une étape majeure avant que le Cern ne puisse finaliser la migration vers le Cloud de l’expérience Atlas.
« Nous avons réalisé la conversion d’Atlas en deux étapes, » explique Jones. « Tout d’abord, nous avons travaillé avec les partenaires commerciaux tels qu’Atos et T-Systems, et procédé à des déploiements Cloud individuels avec eux. C’était un processus complexe parce que nous devions assurer l’intégration avec tous les différents hyperviseurs. Et s’est alors posée la question de la sécurité et des pare-feu entre chaque centre de calcul : pouvions passer de l’un à l’autre aisément ? »
Heureusement, le Cern avait déjà l’expérience de l’exploitation d’un vaste réseau informatique impliquant de multiples partenaires. En 2006, le Cern avait ainsi lancé un projet collaboratif, baptisé le Worldwide LHC Computing Grid, dont le seul nom suggère une architecture distribuée sur plus de 35 pays et des dizaines d’universités et d’instituts de recherche.
« Nous avons un vaste réseau mondial d’environ 170 centres de calcul qui participent tous au stockage et au traitement des données du LHC, » explique Jones. Le LHC Computing Grid utilise un système de gestion fédérée des identités basé sur des certificats X.509. « C’est comme un passeport électronique, » relève Jones. « Les membres peuvent accéder à la grille et, une fois connectés, ils peuvent parcourir les différentes organisations, expériences, et recherches, chacune disposant de ses propres permissions et niveaux d’autorisation. »
Mais même avec 170 centres de calcul pour supporter le LHC Computing Grid, le Cern manquait de puissance de calcul. Jones explique que le Cern « apprécie le modèle distribué, » mais l’organisation a commencé à se pencher sur le Cloud il y a plusieurs années avec OpenStack, déployé sur ses deux propres centres de calcul.
« Nous sommes d’importants participants à OpenStack, » explique Jones. « Nous avons commencé à nous intéresser au Cloud avec d’autres agences et organisations scientifiques. Nous sommes tous très intéressés par le renforcement des capacités de calcul dont nous disposons. »
Marchant dans les pas du LHC Computing Grid, le projet Helix Nebula s’appuie sur un système comparable basé sur X.509. Faisant appel à des partenaires tels que le fournisseur d’IaaS CloudSigma AG, les équipes du projet ont construit une architecture de fédération d’identités avec ouverture de session unique (SSO) et certificats X.509 qui permet aux membres du projet du monde entier d’accéder au cloud de manière sûre.
« Les identités fédérées ont montré leur utilité dans d’autres cas, » relève Luna, citant par exemple les identifiants Google. Mais l’architecture de fédération d’identités n’était qu’une première étape de la stratégie de sécurité. Le Cern et les autres partenaires du projet Helix Nebula devaient également décider de ce qui était autorisé sur le cloud et de ce qui ne l’était pas.
Puissance de calcul contre gestion des données
Alors que le Cern migrait son application Atlas sur le cloud Helix Nebula, elle a du en encadrer strictement l’utilisation. En particulier, le Cern a senti que, au moins dans les premières étapes du projet, il était préférable d’utiliser le cloud pour de la puissance de calcul brute plutôt que pour stocker de précieuses données. Ainsi, la simulation Atlas a été migrée sur le cloud pour profiter pleinement de la puissance offerte par Helix Nebula. « Nous n’utilisions finalement le cloud que comme cache de données, » explique Jones.
Et le Cern ne manque pas de données. Au total, le projet LHC a produit plus de 25 Po de données en 2013. Et tout cela pour seulement un projet pour l’une des organisations scientifiques impliquées dans Helix Nebula.
« Pour plusieurs raisons, nous ne cherchons pas à stocker ces 25 Po de données auprès de fournisseurs cloud commerciaux, » relève Jones. « Mais nous nous penchons désormais sur de plus grands besoins de gestion des données. »
A cette fin, le Cern travaille désormais sur un nouveau système avancé de gestion fédérée des identités, conçu pour les fournisseurs de services cloud supportant à la fois Helix Nebula et le LHC Computing grid. Ce système est déjà entré en production et le Cern espère l’avoir pleinement déployé d’ici 2016.
Entre temps, le Cern devra se défendre contre un flux régulier d’attaques informatiques complexes visant à la fois son organisation et Helix Nebula. Compte tenu de la nature du LHC et des racines du Cern dans la création du Web, l’organisation est une cible de choix pour les pirates.
« Nous sommes constamment attaqués, » assure Jones. « Nous disposons d’un groupe de sécurité dédié qui répond à toutes les attaques. Mais je ne peux pas entrer dans les détails de ces attaques ni de leur nature. C’est toutefois une importante préoccupation : le Cern est un nom important et une cible de choix. »
Le Cern et ses partenaires scientifiques limitent leur usage d’Helix Nebula à la production d’applications, plutôt qu’au stockage de données. La menace de vol de données de recherche est ainsi limitée. Mais pour Jones, la menace principale est l’exploitation de la puissance de calcul d’Helix Nebula et du LHC Computing Grid pour lancer, par exemple, des attaques en déni de service. « Si quelqu’un parvenait à usurper l’identité [d’un fournisseur ou d’un partenaire] et à lancer une attaque sur une telle échelle, ce serait dévastateur. »
La place de marché Helix Nebula
Si la crainte des attaques informatiques est l’une des principales préoccupations des participants à Helix Nebula, cela ne les a pas empêchés de construire les premiers succès du cloud scientifique. En mai, de nombreux fournisseurs Cloud européens derrière le projet, dont Atos, t-Systems, et CGI, ont annoncé la place de marché Helix Nebula (HNX).
Pour l’essentiel, cette place de marché ouvre le cloud Helix Nebula à d’autres organisations, publiques et privées, du monde entier, au travers d’un modèle de courtage. HNX, opérée par CGI, proposera des services Cloud commerciaux, pleinement conformes aux réglementations européennes, à partir du cloud Helix Nebula. En plus de nouveaux clients, HNX a invité de nouveaux fournisseurs de services Cloud à rejoindre la plateforme.
Comme dans le cadre du déploiement initial d’Helix Nebula, la fédération d’identité a joué un rôle clé dans HNX, explique Luna : « le premier problème à gérer avec ce type de place de marché, est comment authentifier chaque client et chaque fournisseur. »
Mais puisque le Cloud était appelé à grandir de plus en plus à mesure que fournisseurs et clients rejoignaient le modèle de courtage de NHX, les partenaires d’Helix Nebula ont créé un nouvel écosystème – une couche d’abstraction logicielle – qui s’interpose entre fournisseurs et clients pour gérer la coordination et offrir de nouvelles fonctionnalités orientées service telles que le provisioning, la configuration, et bien sûr la gestion des identités.
Et Luna d’expliquer que « chaque fournisseur a différents types de fonctionnalités et de caractéristiques. Et chaque utilisateur a différentes spécifications pour le type de service qu’il souhaite. Mais la sécurité, et en particulier la gestion des identités, est un impératif. »
Ainsi, après avoir travaillé sur HNX, la CSA a mis en place un nouveau groupe qui se concentre spécifiquement sur le modèle de courtage cloud et sur la manière de le sécuriser au mieux avec la gestion des identités et des accès, et la fédération d’identités. « C’était une extension directe du travail réalisé sur HNX. »
Mais au-delà de la gestion des identités, des préoccupations de sécurité plus traditionnelles touchent HNX et d’autres courtiers cloud à mesure qu’ils grandissent et se complexifient. Et cela commence par la gestion des accords de niveaux de service, suivie de la question de la responsabilité. « Comment gérez-vous la responsabilité – y compris partagée – entre courtiers et fournisseurs de services Cloud ? » souligne Luna.
Comme avec le déploiement initial d’Helix Nebula, la CSA va concentrer une grande part de ses efforts à offrir des pratiques de référence pour la sécurité du cloud aux fournisseurs rejoignant la place de marché. Ces pratiques recouvrent notamment la promotion d’organes de standardisation tels que la Cloud Control Matrix. Luna explique que tous les fournisseurs impliqués dans HNX n’ont pas adopté l’intégralité de la Cloud Control Matrix – notamment parce qu’ils offrent un vaste éventail de services, de tailles, de maturité et de fonctionnalités différentes. Mais nombreux sont ceux qui ont adopté au moins une partie des standards.
Pour Jones, alors que Helix Nebula et HNX continue de s’étoffer, la certification et la standardisation vont devenir plus cruciaux. Et pas seulement d’un point de vue technologique, mais également pour des questions réglementaires et législatives relatives à la sécurité et à la gestion des données.
« Je pense qu’il y a un besoin clair pour plus de certifications et de standardisations pour le Cloud », estime Jones. « Je suis très optimiste quant à l’innovation. Il y a tant de start-ups avec d’excellentes idées et des technologies intéressantes, en particulier pour la sécurité. Mais la standardisation est une question clé qui doit être traitée. »
Adapté de l'anglais par la rédaction.
