Sécurité Cloud : Microsoft introduit la notion de « shielded execution »
L’objectif est de protéger la confidentialité et l'intégrité d'un programme et ses données de la plate-forme sur lequel il s'exécute.

Microsoft Research a dévoilé un prototype de Haven, une technologie de « blindage d’exécution » destinée à protéger les applications Cloud contre le vol de données.

Actuellement des fournisseurs de Cloud ont un accès complet aux données de l'utilisateur. Avec la technologie Haven qui s’appuie sur le système d'exploitation Drawbridg, Microsoft veut éliminer cet accès complet, ce qui pourrait redonner confiance aux clients qui doutent de la sécurité de leurs applications sur le Cloud.

Selon les chercheurs de Microsoft, l’objectif est d'exécuter des applications existantes dans le Cloud avec un niveau de confiance et de sécurité à peu près équivalent à une exécution sur le matériel propre de l’utilisateur. Cela est appelé « shielded execution » ce qui pourrait se traduire littéralement par « exécution blindée ».

Mais l’équipe de Microsoft va encore plus loin en annonçant que « Haven est le premier système pour obtenir l'exécution blindée des anciennes applications non modifiées, y compris SQL Server et Apache… Haven exploite la protection matérielle d'Intel SGX pour se défendre contre les attaques du code, mais aborde également le double défi de l'exécution de binaires existants non modifiés et les protéger contre un hôte malveillant. »

Du coup, cette protection ne nécessitera aucune modification de l’application, mais contrairement à ses prédécesseurs qui se basent uniquement sur la protection de la mémoire d'application (citons notamment : XOMOS, Proxos, Occulter, CloudVisor, SecureMe, InkTag et Ghost virtuel), Haven ne serait pas vulnérable aux attaques à travers l'interface d'appel système.

« Un pas de plus vers une véritable informatique utilitaire, où le fournisseur Cloud fournit des ressources (cœurs de processeurs, stockage et réseautage) mais n'a pas accès aux données de l'utilisateur », conclut Microsoft.

Source : publication concernant Haven - OSDI14

Et vous ?

Pensez-vous que cette technologie pourrait devenir une avancée majeure dans la sécurité du Cloud ?