La réalité de l’intégration et du développement continus CI/CD (continuous integration / continuous development) est que les équipes de développeurs et cloud ops s’efforcent de maintenir leur enchaînement dans les deux environnements on-premises, cloud et même souvent multi-cloud.
>
Sécurité > Accès à l’infrastructure des développeurs et équipes Cloud Ops, faut-il faire un compromis entre productivité et sécurité ?
Accès à l’infrastructure des développeurs et équipes Cloud Ops, faut-il faire un compromis entre productivité et sécurité ?
Elie El Hayek, Solution Engineer de BeyondTrust partage son expertise et dévoile le Top 6 des meilleures pratiques de sécurisation des accès à l’infrastructure
Pour maintenir leur niveau de productivité, ces équipes ont besoin d’avoir accès en temps réel à l’infrastructure sous-jacente à leurs opérations. Cependant cet accès crée aussi des risques pour la sécurité qu’il faut gérer et circonscrire. Parmi ceux-ci, la trop grande facilité d’accès et des privilèges excessifs qui s’opposent à l’accès just-in-time et au principe de moindre privilège. Alors comment maintenir la productivité et la sécurité de l’accès à l’infrastructure de développement et cloud ops ?
Productivité ou sécurité, quels compromis ?
Dans les environnements tendus, les développeurs ont besoin d’un accès simple et rapide à l’infrastructure qui leur permet d’écrire, de tester et de déployer du code. Tout retard d’accès à cette infrastructure peut conduire à des ralentissements de productivité, des échéances manquées et le mécontentement de clients. Des développeurs qui ont un accès fluide aux systèmes travaillent mieux et plus facilement, avec à la clé de meilleurs résultats.
De même, les équipes cloud ops ont besoin d’un accès simple et rapide à l’infrastructure qu’elles gèrent. Elles peuvent ainsi surveiller et entretenir l’état de santé de l’infrastructure, identifier et régler les problèmes rapidement et s’adapter aux fluctuations de la demande. Si les équipes cloud ops n’ont pas accès à l’infrastructure qu’elles gèrent, elles ne peuvent assumer leurs tâches correctement, ce qui peut se traduire par des temps d’arrêt et des manques à gagner.
Bien sûr, la productivité est essentielle pour que les développeurs et les équipes cloud ops puissent accomplir leurs tâches, respecter les échéances et travailler dans les meilleures conditions. D’un autre côté, la sécurité est tout aussi cruciale pour protéger l’infrastructure et les données des accès non autorisés, du vol et d’autres activités malveillantes. Ces deux aspects de l’accès à l’infrastructure sont comme les deux faces d’une même médaille, ils sont interconnectés et interdépendants.
Top 6 des meilleures pratiques de sécurisation des accès à l’infrastructure
- Une authentification forte
L’authentification forte prend une importance croissante à mesure que les cybercriminels gagnent en sophistication et utilisent des outils comme l’Intelligence artificielle (AI). Des couches additionnelles de sécurité compliquent les accès non autorisés même en cas de vol d’identifiants. Cependant certaines solutions permettent l’authentification sans mot de passe et utilisent des technologies SAML pour le provisioning de groupe.
- Des contrôles d’accès basés sur le rôle
La technologie RBAC (Role-based access controls) permet de contrôler qui a accès à quoi en fonction des rôles et des responsabilités de chacun. Ainsi, les développeurs et le personnel cloud ops ont accès aux ressources dont ils ont besoin et ils peuvent restreindre l’accès aux ressources plus sensibles aux seuls utilisateurs qui en ont légitimement besoin.
- Le Bring Your Own Tools (BYOT)
De prime abord, l’approche BYOT peut sembler à l’opposé d’une bonne pratique. Dans l’ancien monde des solutions d’accès, c’est vrai. Certaines solutions permettent désormais d’utiliser des outils locaux familiers via un tunnel chiffré qui opère comme un courtier (avec tout le trafic 443 sortant) entre les appareils. Les utilisateurs peuvent ainsi avoir accès à un serveur Linux via leur client SSH local (comme PUTTY) ou un compte admin de base de données pour établir la connexion à un serveur SQL et utiliser leur copie locale d’Azure Data Studio, le tout via un lien fiable et auditable. Ce workflow sert autant la productivité et la sécurité. De plus, si la solution choisie sert de proxy au trafic SQL, le journal d’audit et le niveau de détail sont exceptionnellement précieux du point de vue de l’audit.
- Une solution d’accès à distance sécurisée
Les administrateurs informatiques, les fournisseurs, les groupes OT (Operational Technology), les développeurs et les équipes cloud ops doivent pouvoir avoir recours à une solution d’accès à distance sécurisée (et pas un VPN) pour se connecter en toute sécurité aux systèmes critiques. La solution choisie doit permettre l’application des meilleures pratiques visant la sécurité sans faille des accès à l’infrastructure en backend, tout en permettant aux utilisateurs de travailler au meilleur rythme.
- L’infrastructure as Code
L’infrastructure as code est une réalité dans notre monde moderne cloud-first. Il s’agit de pouvoir ajuster les ressources de cloud computing à la hausse comme à la baisse. Ces environnements dynamiques sont souvent utilisés par les développeurs et les ingénieurs cloud ops dans l’enchaînement CI/CD. Certaines solutions d’accès à distance permettent aux utilisateurs d’utiliser des outils comme des scripts Terraform pour créer dynamiquement (ou décommissionner) des ressources cloud et provisionner automatiquement l’accès.
- Une piste d’audit robuste
La nécessité de l’accès à l’infrastructure est rarement découplée de contraintes strictes d’audit et de conformité préconisées par l’état ou par l’industrie. Nul ne veut faire l’effort de compiler des rapports. Il est pourtant essentiel de capturer une piste d’audit de toutes les interactions de session… même quand celles-ci impliquent une tierce partie. Ce type d’outil de reporting simplifie grandement les obligations d’audit et de conformité. Une API avec des systèmes externes, de type workflow de gestion des changements, donne également accès à des rapports. Ces intégrations sont souvent vues comme une bonne pratique, surtout dans les grandes entreprises.
Il peut être difficile pour les entreprises de trouver un juste équilibre entre productivité et sécurité. Trop privilégier la productivité au détriment de la sécurité peut conduire à des vulnérabilités et, à l’inverse, trop privilégier la sécurité peut provoquer des restrictions inutiles, compliquer l’organisation du travail et générer de la frustration. Les entreprises doivent donc adopter une approche globale incluant à la fois la productivité ET la sécurité. Il suffit de quelques bonnes pratiques pour y parvenir !
Téléchargez cette ressource
Préparer l’entreprise aux technologies interconnectées
Avec la « quatrième révolution industrielle », les environnements hyperconnectés entraînent de nouveaux risques en matière de sécurité. Découvrez, dans ce guide Kaspersky, comment faire face à cette nouvelle ère de vulnérabilité.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
