La sécurité optimale du cloud nécessite une manière distincte de penser l’infrastructure informatique, déclare Ray Pompon, évangéliste principal des menaces chez F5 Labs
À l’époque, le vol et la perte de bandes de sauvegarde et d’ordinateurs portables étaient la principale cause de violations de données. Tout a changé lorsque les systèmes ont été repensés et que les données au repos ont été chiffrées sur des appareils portables.
Non seulement nous avons utilisé la technologie pour atténuer un problème humain prévisible, mais nous avons également augmenté la tolérance à l’échec. Une seule défaillance, comme laisser un ordinateur portable dans une voiture, n’a pas à compromettre les données d’une organisation. Nous avons besoin du même niveau de tolérance aux pannes, avec contrôles d’accès et sécurité informatique, dans le cloud.
Dans le cloud, toute l’infrastructure est virtualisée et s’exécute en tant que logiciel. Les services et les serveurs ne sont pas fixes mais peuvent rétrécir, croître, apparaître, disparaître et se transformer en un clin d’œil. Les services cloud ne sont pas les mêmes que ceux ancrés sur site. Par exemple, les compartiments AWS S3 ont des caractéristiques à la fois des partages de fichiers et des serveurs Web, mais ils sont totalement différents.
Les pratiques diffèrent également. Vous ne patchez pas les serveurs cloud – ils sont remplacés par les nouvelles versions logicielles. Il existe également une distinction entre les informations d’identification utilisées par une instance opérationnelle (comme un ordinateur virtuel) et celles qui sont accessibles par cette instance (les services qu’elle peut appeler).
Le cloud computing nécessite une manière distincte de penser l’infrastructure informatique.
Une étude récente du Cyentia Institute montre que les organisations utilisant quatre fournisseurs de cloud différents ont un quart du taux d’exposition à la sécurité. Les organisations avec huit nuages ont un huitième de l’exposition. Les deux points de données pourraient parler de la maturité du cloud, de la compétence opérationnelle et de la capacité à gérer la complexité. Comparez cela aux stratégies de cloud «lift and shift», qui se traduisent par des déploiements surapprovisionnés et des exercices coûteux de gaspillage.
Alors, comment déterminez-vous votre stratégie optimale de défense du cloud?
Avant de choisir votre modèle de déploiement, il est important de noter qu’il n’existe pas de type de cloud définitif.
La définition de l’informatique en nuage du National Institute of Standards and Technology (NIST) répertorie trois modèles de services en nuage: infrastructure en tant que service (IaaS), plate-forme en tant que service (PaaS) et logiciel en tant que service ( SaaS). Il répertorie également quatre modèles de déploiement: privé, communautaire, public et hybride.
Comment ça fonctionne
Le cloud Software-as-a-Service (SaaS) est un service d’application fourni par le cloud. La plupart de l’infrastructure est gérée par le fournisseur. Les exemples incluent Office 365, Dropbox, Gmail, Adobe Creative Cloud, Google G Suite, DocuSign et Shopify. Ici, vous n’êtes responsable que de vos identifiants et données. Les principales menaces incluent le phishing, le bourrage d’informations d’identification et le vol d’informations d’identification. Ceux-ci peuvent être contrôlés via des solutions telles que l’authentification multifacteur, le renforcement de la configuration des applications et le chiffrement des données au repos (si disponibles).
Le cloud Platform-as-a-Service (PaaS) est une plate-forme dans laquelle intégrer des applications avant qu’elles ne soient fournies par le cloud. Le fournisseur gère l’infrastructure de la plate-forme, mais vous créez et exécutez les applications. Les exemples incluent les compartiments AWS S3, Azure SQL Database, Force.com, OpenShift et Heroku. Vous n’êtes responsable que de vos identifiants et données. En plus des menaces SaaS (attaques d’accès), il est nécessaire de sécuriser l’application elle-même contre les attaques d’applications Web. Dans ce modèle, vous êtes susceptible d’avoir des API et des interfaces de service exposées qui pourraient divulguer des données si elles ne sont pas sécurisées. Les contrôles incluent les processus de gestion des droits des utilisateurs / rôles, les passerelles API sécurisées, la sécurité des applications Web, les pare-feu d’applications Web, les grattoirs de robots et tous les contrôles SaaS référencés.
Infrastructure-as-a-Service (IaaS) Cloud est une plate-forme pour construire des machines virtuelles, des réseaux et d’autres infrastructures informatiques. Le fournisseur gère l’infrastructure sous le système d’exploitation, et vous créez et exécutez tout depuis la machine et le réseau. Les exemples incluent AWS EC2, Linode, Rackspace, Microsoft Azure et Google Compute Engine. Vous êtes responsable des systèmes d’exploitation, de la mise en réseau, des serveurs, ainsi que de tout ce qui se trouve dans les modèles PaaS et SaaS. Outre les menaces ciblant les modèles SaaS et PaaS, les principales préoccupations en matière de sécurité sont les vulnérabilités des logiciels exploités dans le système d’exploitation et l’infrastructure, ainsi que les attaques de réseau. Cela nécessite un durcissement des serveurs virtualisés, des réseaux et des infrastructures de services. Vous aurez besoin de tous les contrôles mentionnés ci-dessus, ainsi que de solides correctifs et renforcement du système et des contrôles de sécurité du réseau.
On-Premises / Not Cloud est le serveur traditionnel dans un rack, que ce soit dans une pièce de votre bâtiment ou dans une colocation (Colo). Vous êtes à peu près responsable de tout. Il y a moins de soucis concernant la sécurité physique, l’alimentation et le CVC, mais il y a des problèmes liés à la connectivité et à la fiabilité du réseau, ainsi qu’à la gestion des ressources. Outre les menaces pesant sur les réseaux, l’emplacement physique et le matériel, vous devrez sécuriser tout le reste mentionné ci-dessus.
Si vous avez un déploiement de cloud hybride, vous devrez mélanger et faire correspondre ces menaces et défenses. Dans ce cas, un défi supplémentaire consiste à unifier votre stratégie de sécurité sans avoir à surveiller et configurer différents contrôles, dans différents modèles et dans différents environnements.
Il existe d’autres compétences organisationnelles spécifiques indispensables pour réduire les risques de violation du cloud que les entreprises devraient également prendre au sérieux. Avant tout, les entreprises doivent s’efforcer de bien comprendre leur technologie et leur environnement cloud, y compris ses modèles de déploiement, ses avantages et ses inconvénients au niveau de la direction et de la gestion informatique, ainsi qu’une compréhension approfondie des modes de fonctionnement et des limites des systèmes associés. contrôles.
De plus, il est impératif de mener des évaluations des risques et de modéliser les menaces pour comprendre les effets possibles d’une violation afin de garantir que les entreprises sont prêtes à réagir lorsque la réalité se produit inévitablement.
Les organisations et les équipes informatiques doivent également s’efforcer de mettre de l’ordre dans leurs processus de contrôle d’accès, y compris avec un accès défini pour les utilisateurs, les services, les serveurs et les réseaux et des processus définis pour corriger les autorisations d’utilisateur et de rôle erronées, obsolètes, en double ou excessives. En plus de garantir la mise en place de processus de sécurité pour réglementer ces contrôles, y compris un verrouillage automatisé et une gestion centralisée et normalisée des secrets pour le chiffrement et l’authentification.
Toute stratégie et toute décision prioritaire doivent précéder les raisons technologiques. N’allez pas dans le cloud pour le plaisir. Un objectif souhaité et une stratégie d’accompagnement solide montreront la voie et éclaireront les domaines où une formation et des outils plus approfondis sont nécessaires.