Search

EP-3994596-B1 - SECURE CLOUD COMPUTING ARCHITECTURE AND SECURITY METHOD

EP3994596B1EP 3994596 B1EP3994596 B1EP 3994596B1EP-3994596-B1

Inventors

  • BOLIGNANO, DOMINIQUE

Dates

Publication Date
20260506
Application Date
20200701

Claims (10)

  1. Secure cloud computing architecture comprising: a first data management and/or computer program execution space (A) wherein the data management and/or program execution is controlled by a user; and a second data management and/or computer program execution space (B) wherein the data management or program execution is controlled by a third-party operator, characterised in that it further comprises: first security policies (PSA) applied to the data or to the program execution in the first execution space (A); second security policies (PSB) applied to the data or to the program execution in the second execution space (B); a security property (P) expected by the user, compliance with said first and second security policies guaranteeing data management and/or execution of computer programs in accordance with that property (P); and a trusted base (TCB) ensuring, in the absence of a breach, the application of the second security policies (PSB) in the management of the data and/or the execution of the programs in the second execution space (B), said trusted base comprising, on the one hand, a hardware part having cookies indicating unauthorised access and, on the other hand, a software part, said software part being made available to the user and/or to a trusted third party and wherein the cookies indicating unauthorised access are visible to the user.
  2. Architecture according to claim 1, characterised in that the trusted base comprises a security hardware module, said security hardware module allowing the user to select a certifier to represent it, and wherein the software part of the trusted base is made available to the user or their representative.
  3. Architecture according to one of the preceding claims, characterised in that the software part of the trusted base and the manner of reconstructing it is provided or made available to the user and/or to the trusted third party.
  4. Architecture according to one of the preceding claims, characterised in that the trusted base is part of a security hardware module the software core of which is formally proven.
  5. Architecture according to one of the preceding claims, characterised in that the means are provided to the user that allow him to be convinced that all execution paths of the software part of the trusted base guarantee compliance with the second security policies, under normal operating conditions.
  6. Architecture according to one of the preceding claims, characterised in that it includes an infrastructure comprising a subset which comprises one or more physical servers forming the space (B), a hardware part and/or the software base of the trusted base forming a unit(s) (BT) being associated with said servers.
  7. Architecture according to claim 6, characterised in that it further includes a hardware part of the trusted base forming an additional security module (BTA), this additional security module being arranged at the input of the subset and having means for filtering data packets entering the subset, this filtering including verification that said data packets meet a security policy.
  8. Architecture according to one of the preceding claims, characterised in that the hardware part of the trusted base is provided or made available to the user and/or to the trusted third party.
  9. Method for protecting a cloud computing architecture comprising the steps according to which: a first data management and/or computer program execution space (A) is provided, wherein the data management and/or program execution is controlled by a user; a second computer program execution space (B) is provided, wherein the data management and/or program execution is controlled by a third-party operator; first security policies (PSA) are applied to the data and/or to the program execution in the first execution space (A); second security policies (PSB) are applied to the data and/or to the program execution in the second execution space (B); a security property (P) expected by the user is defined, compliance with said first (PSA) and second (PSB) security policies guaranteeing management and data and/or execution of computer programs compliant with this property (P); a trusted base (TCB) is provided, ensuring the application of the second security policies (PSB) in the data management and/or the execution of the programs in the second execution space (B), said trusted base comprising, on the one hand, , a hardware part having unauthorised access indicator means and, on the other hand, a software part, said software part being made available to the user and/or a trusted third party; and in that the data management and/or program execution performed by the user at least partially in the second execution space (B) is considered to be satisfactory to the property (P) expected by the user, if the access-indicating cookies remain blank, the cookies indicating unauthorised access being visible to the user.
  10. Method according to claim 9, characterised in that the software part of the trusted base and the manner of reconstructing it is provided or made available in its entirety to the user and/or to the trusted third party.

Description

DOMAINE DE L'INVENTION La présente invention concerne une architecture informatique en nuage sécurisée comprenant un premier espace de gestion de données et/ou d'exécution de programmes informatiques dans lequel la gestion des données ou l'exécution des programmes est contrôlée par un utilisateur et un deuxième espace de gestion de données et/ou d'exécution de programmes informatiques dans lequel la gestion des données ou l'exécution des programmes est contrôlée par un opérateur tiers. Elle concerne en outre un procédé de sécurisation des données et/ou de l'exécution des programmes dans une telle architecture informatique en nuage. ART ANTERIEUR Les particuliers, entreprises et les organisations gouvernementales ont de plus en plus recours à l'informatique en nuage (« cloud computing » en langue anglaise), et ce phénomène est amené à se développer dans les prochaines années. Toutefois, le problème de la sécurité et de la confiance se pose avec de plus en plus de force. Les gouvernements notamment se soucient de leur souveraineté. Par exemple, l'Etat français a aidé deux acteurs français, Orange™ Business Service et OVH™, à faire concurrence aux géants américains tels que Amazon™ AWS et Microsoft™ Azure dans le domaine de l'informatique en nuage. Les entreprises par ailleurs, hésitent à confier les données et traitements critiques. En effet, les solutions actuelles n'offrent pas les garanties nécessaires, y compris lorsque ces solutions sont considérées comme « souveraines » c'est-à-dire comme dépendantes des états dans lesquels sont domiciliés lesdites entreprises (Orange ™ Business Service ou OVH™ en France). Il ne suffit pas en effet d'avoir un fournisseur de services informatiques en nuage national pour résoudre le problème de confiance, car eux-mêmes doivent utiliser du matériel et de logiciels étrangers et surtout peuvent commettre des erreurs ou être attaqués. US 2014/137179 A1 et US 2007/271618 A1 constituent l'état de la technique pertinent. RESUME DE L' INVENTION La portée de l'invention est définie par les revendications indépendantes. Compte tenu de ce qui précède, un problème que ce propose de résoudre l'invention est proposer un procédé de sécurisation d'une architecture informatique en nuage. Plus particulièrement, le problème traité par l'invention est un problème de confiance : comment réaliser une architecture informatique en nuage dans laquelle un utilisateur notamment peut avoir pleinement confiance ou, au moins, autant confiance que si l'architecture était complètement sous son contrôle ?. La solution proposée dans le cadre de de l'invention a pour premier objet une architecture informatique en nuage sécurisée comprenant : un premier espace de gestion de données et/ou d'exécution de programmes informatiques dans lequel la gestion des données et/ou l'exécution des programmes est contrôlée par un utilisateur ;un deuxième espace de gestion des données et/ou d'exécution de programmes informatiques dans lequel la gestion des données et/ou l'exécution des programmes est contrôlée par un opérateur tiers ;caractérisée en ce qu'elle comprend en outre : des premières politiques de sécurités appliquées aux données ou à l'exécution des programmes dans le premier espace d'exécution ;des deuxièmes politiques de sécurité appliquées aux données ou à l'exécution des programmes dans le deuxième espace d'exécution ;une propriété de sécurité attendue par l'utilisateur, le respect desdites premières et deuxièmes politiques de sécurité garantissant une gestion des données et/ou une exécution de programmes informatiques conforme à cette propriété ; etune base de confiance garantissant, en l'absence de violation, l'application des deuxièmes politiques de sécurité dans la gestion des données et/ou l'exécution des programmes dans le deuxième espace d'exécution, ladite base de confiance comprenant, d'une part, une partie matérielle disposant de témoins indicateurs d'accès non autorisés et, d'autre part, une partie logicielle, ladite partie logicielle étant rendue disponible au utilisateur et/ou à un tiers de confiance. Ces témoins indicateurs sont visibles par l'utilisateur et pourront éventuellement provoquer la mise en sécurité du système. Ainsi, lorsque le utilisateur exécute un programme au moins en partie dans le second espace d'exécution, et que les témoins indicateurs d'accès restent vierges, alors cet utilisateur peut être certain que l'exécution de ce programme satisfait à la propriété. De manière avantageuse : - la base de confiance comprend un module matériel de sécurité, ledit module matériel de sécurité permettant à l'utilisateur de choisir un certificateur pour le représenter(au moins parmi une liste de possibilités), et la partie logicielle de la base de confiance est rendue disponible à l'utilisateur ou à son représentant ; - la partie logicielle de la base de confiance et la manière de la reconstruire est fournie ou rendue disponible à l'utilisateur et/ou à aux tiers de confiance ; - la base de co