You've Got to Trust Your Vm Host - Better Code. Or: Why Disc Encryption Won’t Save You There’s a persistent meme floating around that full-disc encryption of your VM’s discs will save you if some three-letter agency comes knocking on the door of your VM host and demands your data.
This is futile. Let me explain why. Your Host Has Your Keys Let me make this as clear as I possibly can: when your VM is running, after you have unlocked the disc encryption, the only key I need to decrypt your encrypted partition is present in the RAM of your guest.0 What looks to you like the RAM of your guest VM is the memory of an ordinary process running on one of your VM host’s servers.
A couple of assumptions: you’ve made yourself a LUKS-encrypted Debian Wheezy VM with the default settings as provided by the Debian installer, running on a host which uses qemu. If you’re actually doing anything useful with your VM, you’ve had to unlock the disc for it to boot. Ah, but that would require them to be watching when you boot your machine. Call it like this: Comment garantir la sécurité du Cloud public.
Retentissantes affaires de piratage, pannes médiatisées, risques d’espionnage économique : le Cloud public apparaît comme risqué à plus d’un titre aux yeux d’un DSI.
Pourtant, à tête froide, ce type de déploiement ne présente pas, sur certaines plans, plus de risques que des architectures plus classiques. Les pannes, surtout, sont plus fréquentes dans les propres datacenters des entreprises. D’autant qu’il existe aujourd’hui des bonnes pratiques pour sécuriser ses données placées dans le Cloud public. En commençant par mettre en place une vraie gestion des accès à ces services, via par exemple un outil dédié permettant de centraliser les mots de passe ou via l’emploi systématique de la double authentification. Limiter l’accès à des adresses IP correspondant à l’intranet de l’entreprise constitue une autre façon de limiter les risques.
Découvrez dans notre dossier des solutions pratiques pour sécuriser les initiatives Cloud des différents métiers de votre organisation. Contre le Patriot Act : une certification française pour le Cloud. Ce mardi 9 décembre, sera officiellement dévoilée Cloud Confidence, une association loi 1901 créée en juillet dernier et dont l’objectif est « de clarifier les positions sur le marché du Cloud », explique Olivier Itéanu, son vice-président. « Chacun jure ses grands dieux de sa conformité, assurant ne pas être soumis au Patriot Act américain.
Mais le flou demeure », ajoute cet avocat spécialiste du droit des nouvelles technologies. Pour y voir plus clair, l’association, qui réunit aujourd’hui une quinzaine d’organisations *, a mis sur pied une certification issue d’un travail commun entre utilisateurs et prestataires, assure Olivier Itéanu. « Juridiquement, ce sera bien une certification et non un label. Et pour les filiales de groupes US ? La certification Cloud Confidence vise à vérifier trois éléments essentiels. Développement européen Les tarifs de la certification sont basés sur le chiffre d’affaires du prestataire. A lire aussi : Crédit Photo : Semistach-shutterstock.
EBRC : la sécurité, plus que jamais - IT One. Amazon Releases AWS Cloud Security Practices. Amazon Releases AWS Cloud Security Practices While many cloud service providers have been reluctant to publicly disclose details that would better explain how they secure and ensure availability of their datacenters, some have pointed to Amazon Web Services (AWS) as the most distinguished holdout.
However, last week Amazon took an important step toward discrediting that claim by publically documenting its security practices. Amazon submitted a 42-page page document to the Cloud Security Alliance's (CSA) Security, Trust & Assurance Registry (STAR) that details its security practices. That Amazon has made its security practices is significant in its own right. However the fact that Amazon did so in line with the CSA's detailed questionnaire and filed it in the registry could motivate numerous other holdouts to answer the same questions.
The document discloses Amazon's approach to risk management. When it discovers and remediates threats, Amazon alerts third parties. Le Cloud mal sécurisé : un mythe ! - Sécurité de l'information.