Dans le premier guide d'une série à paraître sur la sécurité dans le cloud, l'Open Group a exposé son point de vue sur la question. Intitulé « An architectural view of security for cloud », le document couvre de multiples domaines qui dépassent le seul univers du cloud, soulignent nos confrères américains de CSO. Le guide et l'architecture présentée doivent aider les responsables informatiques et les personnes en charge de la sécurité à avoir une vision plus globale des infrastructures du cloud, souvent complexes, et par conséquent, à prendre des décisions plus éclairées sur les risques et les opportunités.

L'intention du consortium est de produire « un ensemble de livres blancs traitant chacun dans le détail un élément de cette architecture, en s'appuyant sur des scénarios réels », explique Omkhar Arasaratnam, architecte en sécurité senior chez IBM et vice-président du Cloud Work Group Steering Committee au sein de l'Open Group. « Il y a beaucoup de nuances en matière de sécurité dans le cloud. Tout n'est pas noir ou blanc », rappelle-t-il. « Les responsables informatiques et de la sécurité ont besoin de comprendre l'impact de ces variations et quelle attitude globale adopter en matière de risques, quelles mesures prendre pour en atténuer les effets. »

Un guide qui complète le travail de la CSA

Selon Omkhar Arasaratnam, le travail de l'Open Group vient compléter celui de la Cloud Security Alliance (CSA) et ses travaux sur la sécurité. Celle-ci a publié un certain nombre de documents excellents concernant divers aspects de la sécurisation du cloud computing. « Nous sommes entièrement en accord avec nombre de leurs conclusions », a-t-il reconnu. « D'ailleurs, dans notre récent Livre blanc, nous citons même certaines de leurs dernières prérogatives quant à la manière de gérer les identités et les accès. » 

Néanmoins, « les travaux de l'Open Group sont davantage axés sur des préoccupations architecturales en matière de sécurité, alors que le travail de la Cloud Security Alliance concerne principalement des questions techniques relatives aux contrôles au sein du cloud, comme le paramétrage des périphériques. Les deux approches sont utiles pour améliorer la sécurité », a précisé le vice-président.

L'Open Group suit la CSA sur la gestion des identités

La Cloud Security Alliance reconnaît de son côté que ces travaux sont complètent. « Le livre blanc publié par l'Open Group s'aligne sur les principes de gestion des identités préconisés par la CSA pour le cloud », explique Subra Kumaraswamy, vice-président du groupe de travail Identity & Access Management, Encryption & Key Management au sein de l'Alliance. « Notre groupe travaille sur des questions clefs de sécurité dans le cloud : l'identité, la gestion des autorisations et des accès », a-t-elle expliqué. « Le travail actuel de la CSA concerne tous les aspects du cycle de vie de l'identité et de l'accès, y compris le provisionnement, l'authentification, les autorisations, l'audit et la normalisation. Ces travaux sont complémentaires de ceux menés par l'Open Group. »

Lors de la conférence que l'Open Group organise à Austin, Texas, du 18 au 22 juillet prochains, les groupes de travail « Sécurité pour le Cloud » et Projet SOA discuteront des principales décisions à prendre en matière architecturale pour garantir la sécurité dans ces environnements.