Question à demander à votre fournisseur de Cloud Computing

Ce blog est une traduction du podcast no 55 des Packets pushers (http://www.packetpushers.net). Le sujet de ce podcast est “Les questions que vous devriez demander à votre fournisseur de Cloud Computing” et comme j’ai trouvé le sujet intéressant et j’ai demandé la permission de traduire les grandes lignes de ce podcast.

Définition du Cloud Computing?

Selon Wikipédia Le Cloud computinginformatique en nuage ou infonuagique est un concept qui consiste à déporter sur des serveurs distants des traitements informatiques traditionnellement localisés sur des serveurs locaux ou sur le poste client de l’utilisateur (http://fr.wikipedia.org/wiki/Cloud_computing)

Quels sont les services que le Cloud peut fournir?

Des plateformes de traitement comme Amazon EC2

Des applications de courriels, facturation, vidéoconférence et collaboration ex. Google Mail, Freshbook, Webex etc.)

Quelle est la différence entre le Cloud Computing et les services de Colocation?

En colocation, le fournisseur va fournir un espace dans un cabinet avec la climatisation, l’alimentation électrique, le réseau et la sécurité physique des lieux. Traditionnellement, le matériel et l’application est dédié et appartient aux clients. Le client va louer un espace dans un cabinet pour installer son infrastructure

Le Cloud Computing est l’utilisation de matériel et/ou application qui sont partagées entre différents clients. L’infrastructure appartient aux fournisseurs qui maintiennent les équipements et les applications nécessaires aux services offerts. Le client va utiliser l’application et y déposer les données nécessaires au fonctionnement de celle-ci.

Est ce que le Cloud est sécuritaire? Comment le rendre sécuritaire.

Il est important d’obtenir du fournisseur, quels sont les mécanismes assurant la protection de vos données et comment ces dernières sont protégées contre le piratage et vol.

Est ce que le fournisseur fourni une infrastructure de Firewall, IDS (Intrusion detection system), IPS (Intrusion prevention system), une gestion de l’intégrité  des applications avec hashing pour éviter les modifications non autorisées.  Comment les infrastructures et applications sont surveillées pour la détection de pannes ou problèmes de performance

Quelle est la politique de mise à jour des systèmes en cas de découverte de vulnérabilité

Quel sera l’impact sur votre entreprise, si votre fournisseur de nuage héberge des applications illicites (Ex Spam Bot) et que le fournisseur est “Black lister” par les fournisseurs de service Internet.

Comment est faites la séparation entre les différents clients?

Séparation des machines virtuelles

Firewall virtuel aux niveaux des hypervisors

Comment est ce que le stockage des données est partagé et sécurisé dans l’infrastructure de stockage

Comment est géré le vol de propriété intellectuelle par un employé du fournisseur de Cloud?

Le vol de propriété intellectuelle peut être fait par vos employés par contre ceux-ci sont normalement dans la même juridiction que notre compagnie tandis que dans le Cloud, l’employé en question peut être partout dans le monde

Si le fournisseur ferme ses portes ou fait faillite, À qui appartiennent les données?

Le  fournisseur ou Vous? Est ce que le contrat spécifie clairement qui est le propriétaire des données.

Combien de temps sera nécessaire pour les obtenir?

Quelles sont les clauses dans le contrat spécifiant le délai pour obtenir vos données à la terminaison du contrat?

Combien de temps,  pouvez vous rester en affaire, si vous devez aller devant la justice pour obtenir vos données du fournisseur de Cloud?

         Les coûts et les délais pour obtenir les données doivent être pris en considération surtout si le fournisseur est dans une juridiction différente de votre entreprise (I.E. États Unis, Europe, Inde)

Qu’est ce qui se passe si la police saisie des équipements dans le centre de données du fournisseur?

En combien de temps les services seront rétablies

Est ce qu’un mandat est obligatoire et qu’une procédure est en place pour éviter que les autres clients soient impactés?

Quelles sont les clauses à inclure pour protéger votre entreprise, si votre fournisseur subit une panne prolongée?

Est ce que les compensations sont seulement le remboursement du coût des services ou bien une partie des revenus perdus

Pouvez vous contrôler dans quel région géographique vos données seront emmagasinées?

Pour diminuer le temps d’accès car les données pourraient être emmagasinés en Amérique, Europe ou l’Asie

Pour s’assurer une plus grande sécurité contre le vol et des recours contre ceux-ci

Comment garantir l’accès de votre réseau au réseau du fournisseur?

Les coûts de mise à niveau de l’accès Internet pour accéder à l’application héberger dans les nuages peut être considérable surtout si l’application est critique pour l’entreprise.

La mise à niveau du lien Internet peut inclure les points suivants

  • Ajout de capacité du lien Internet
  • Ajout de redondance pour l’accès Internet
  • Ajout du matériel requis pour assurer la redondance et performance de l’accès Internet, Ex Firewall, Accélérateur d’accès (Web Accelerator), balanceur de charge (Load balancer), serveur d’accès VPN
  • Ajout d’un SLA sur les liens Internet
  • Ajout d’un circuit dédié entre le fournisseur et votre réseau pour accéder une base de données interne

 

Lors que l’accès et la performance sont garanties, Est ce la migration dans le Cloud est encore viable financièrement?

Refaire la validation des couts et du business case pour valider que la mise de l’application dans le Cloud est encore viable économiquement

Quand est ce que l’utilisation du Cloud fait du sens?

         Lors que la perte du service durant plusieurs heures a peu d’impact sur la continuité des affaires.

Par exemple. La perte d’accès au service de courriels, pendant quelques minutes, personne ne va s’en plaindre, quelques heures, ça devient dérangeant, plusieurs jours, la panne peut être catastrophique.

Quoi faire si le Cloud tombe en panne? Quel est le plan de contingence?

Comment remettre l’application en ligne?

Peux t-on faire ou obtenir des copies de sauvegarde des données et remettre l’application en ligne localement rapidement?

Est ce que je peux contacter mon fournisseur par téléphone, email, vont ils avoir la capacité de gérer les demandes d’information des clients via leurs centres de service à la clientèle? Ou vais je tomber sur une page web me disant que le service a des problèmes et me heurter à des lignes occupés lors d’appel téléphonique?

Est ce une bonne idée de placer les applications critiques dans le Cloud?

         La pondération des pour et des contre devrait tenir en contre le pire scénario, (Vol des données, corruption des données, perte d’accès à l’application) car s’il y a un problème, combien de temps est ce que l’entreprise peut survivre sans cette application.

Est ce que je dois arrêter la chaine de production pour des raisons de sécurité, d’impact environnemental, ou de stockage car je ne suis simplement plus capable de faire la facturation et l’expédition des produits avec mon logiciel d’ERP.

Quels sont les SLA offert par les fournisseurs de Cloud lors de panne de système?

Est ce un service Best Effort sans aucun SLA

Une garantie de retour en production en moins de 4 heures et quelles sont les pénalités en cas de non respect du SLA

Comment est ce que le fournisseur réplique les données entre les centres de données?

Est ce que les données sont répliquées une fois par jour, par heure ou en temps réels

Quels sont les coûts supplémentaires associés aux différentes options.

Quels sont les rapports sur l’utilisation des services qui sont fournis par le fournisseur?

Comment valider les variations des coûts de service qui est facturé par utilisation du CPU ou autres?

Quels sont les rapports disponibles sur l’utilisation du service, la disponibilité de ce dernier etc.

Comment fait on l’authentification d’une application dans les nuages avec votre base de données d’usager locale?

L’accès est fait via un API et votre A.D. locale?  Comment est sécurisée cette API?

Une base de données d’usager indépendante? Peux-t-elle respecter votre politique de gestion des mot de passes, nomenclature des codes d’usager?

Comment est ce que nous pouvons nous assurer de la conformité avec les diverses réglementations (i.e. PCI, SOX) quand l’application est dans les nuages?

Comment s’assurer que le déploiement sera conforme aux réglementations et comment le valider ?

Comment j’utilise le Cloud

A ma défense, je suis un utilisateur de service dans les nuages, soit mes courriels personnels et professionnels (Google), agenda (Google) du stockage en ligne (Dropbox et Mozy), des services de partage de photos (Picasa, Facebook, Flicker) et  un blog sur WordPress.

J’ai une copie locale de mon courriel d’entreprise, de mes photos sur mon ordinateur en plus d’une copie sur un disque externe et je devrais garder une copie locale de mon blog.

J’ai une relation amour/haine avec ces services, ils sont gratuits ou disponible à peu de frais, mais sont ils vraiment sécuritaire? Il semble que depuis quelques mois, les fournisseurs sont victimes d’attaque, et de perte de données et panne majeure (Google, Dropbox, Amazon Ec2). Je profite des services mais je reste vigilant des données que j’y entrepose car j’ai des doutes et réserves tant qu’à la sécurité et la confidentialité de ces dernières.

Le principes de base que je garde toujours en tête lors que je conçois une architecture réseau est K.I.S.S. (Keep It Simple Stupid)http://fr.wikipedia.org/wiki/Keep_it_Simple,_Stupid C’est à dire  de ne pas compliquer les choses. J’ai donc des doutes tant qu’à la simplicité des infrastructure mise en place et mon expérience m’a démontré que plus la solution est complexe plus le risque de panne suite à des erreurs humaines est élevées et que le temps pour trouver et réparer les pannes sont longues.

Pour plus d’information, je vous recommande de télécharger le podcast à l’adresse suivante http://packetpushers.net/show-55-questions-you-should-be-asking-your-cloud-provider/

About Mario

Consultant en télécommunication et CCIE #7704 depuis plus de 15 ans et totalisant plus de 30 ans d'expérience en TI. Ce blog sera un reflet de mes opinions sur les nouvelles technologies et l'impact de ces dernières sur nos vies Network consultant and CCIE #7704 for more than 15 year with over 30 years in IT, This blog will be my take on technology and the impact on our life suivez moi / Follow me on Twitter , Google Plus , Linkedin
This entry was posted in Cloud Computing, infonuagique, networking, Télécommunication. Bookmark the permalink.

3 Responses to Question à demander à votre fournisseur de Cloud Computing

  1. Merci, c’etait tres interessant pour moi .excellent ce billet!

  2. Tres interessant et beau travail du super Mario comme toujours. Mon premier commentaires: pas sur que la faillite ou la continuite des affaires soient des soucis reels de la part de amazon, salesforce ou Verizon! Ils ont plutot ces inquietudes face a leur clients! Cote business, ils ont dans bien des cas des processus beaucoup plus affines que leur client, ce qui devrait rassurer ces derniers sans pour autant negliger la necessite d’une solide entente incluant une definition claire, le plein droit aux donnees en tout temps et des niveaux de services clairs et petformant. Pour une quietude contractuelle, contactez nous sans hesiter. Nous sommes la reference dans l’est du canada en sourcing telecom. http://www.equitra.com

  3. Vollenweider says:

    Etant un beginner en matière de Cloud, j’ai trouvé cet article très clair et précis.

    Merci pour ces précieuses infos.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s