Peut-on encore aujourd’hui, à l’heure de cette grande révolution du Cloud, ne pas fusionner dans une seule démarche d’ingénierie cohérente, les compétences et activités cybersécurité, les environnements Cloud et leur gestion « as code » de facto une imbrication forte autant dans la conception, l’ingénierie que dans l’exploitation, et le maintien dans les conditions opérationnelles et de sécurité de ces environnements ?
Le Cloud, une révolution à sécuriser
Compétences & Ingénierie
Renforcer les compétences et les ingénieries dans le domaine de la containerisation, est un enjeu clé, portant sur la convergence, l’automatisation et la sécurité pour établir une culture DevSecOps et permettre aux utilisateurs de mettre à profit l’innovation et le Cloud tout en maitrisant les risques de sécurité inhérents.
Car il est fort de constater que les entreprises et les administrations, dans leurs migrations vers le Cloud et le digital, rencontrent des difficultés croissantes pour maintenir la fiabilité et la sécurité des logiciels et applications hébergées au sein d’environnements Cloud complexes. Dans ces nouveaux environnements qui se généralisent à vitesse grand V, il est impératif d’avoir une approche de fédération d’expertises autant des aspects ingénierie, containerisation, CI/CD, que des problématiques de sécurité des accès, des identités, de maintien en conditions opérationnelles et de sécurité, etc.
Une révolution majeure !
Le Cloud sous ses différentes formes et multiples usages, que nous parlions de monde sans limites des applications en mode SaaS, que nous parlions des architectures de hosting, ou des Cloud hybrides, que nous parlions d’intégration et de développement agile et continu et bien sûr de la containerisation tous azimuts, le Cloud est une révolution majeure.
Structurellement la sécurité du Cloud a des implications diverses selon les différents types d’infrastructures Cloud. Les considérations relatives à la sécurité dans chacun des trois modèles populaires (Cloud public, Cloud privé et Cloud hybride) sont multiples et certaines vitales.
Cloud public, privé, hybride
Dans un Cloud public, le fournisseur de Cloud doit assumer la responsabilité de la sécurisation de l’infrastructure. Il doit fournir des outils qui permettent au client de sécuriser son activité notamment les données, en s’adaptant aux normes de conformité pertinentes. Il doit aussi garantir que toutes les activités sont enregistrées pour permettre l’audit mais aussi garantir que les configurations Cloud restent sécurisées et que toutes les nouvelles ressources sur le Cloud sont également sécurisées, à l’aide d’outils automatisés tels que les solutions Cloud Security Posture Management (CSPM). Dans un Cloud public, les aspects niveau de service (SLA) doivent impérativement inclure les engagements de sécurité de données.
Dans un Cloud privé, le modèle permet de contrôler toutes les couches de la pile. Ces ressources ne sont généralement pas exposées à l’Internet public. Parmi les niveaux de sécurité à prendre en compte : les outils de surveillance Cloud natifs pour obtenir une visibilité sur tout comportement anormal dans les activités opérationnelles et les flux en cours d’exécution, la MCO et la surveillance des comptes, les ressources privilégiées pour détecter les activités suspectes afin de se prémunir contre les menaces internes, la sécurité et l’isolement des machines virtuelles en VLAN dédiés, les conteneurs et les systèmes d’exploitation hôtes, pour garantir que la compromission d’une VM ou d’un conteneur ne permet pas de compromettre l’ensemble de l’hôte et au-delà. Le Cloud privé est de plus en plus ‘’en migration’’ vers le Cloud hybride. Cela implique la mise en place des mesures de sécurité pour garantir une migration et cohabitation avec des services de Cloud publics.
Dans un Cloud hybride justement, combinaison de centre de données sur site, on-premise, de Cloud public et de Cloud privé, les considérations de sécurité sont importantes.
Il faut éviter les stratégies et outils de sécurité distincts dans chaque environnement, en adoptant un cadre de sécurité unique qui peut fournir des contrôles dans l’environnement hybride, et en identifiant tous les points d’intégration entre les environnements, devant être traités comme des composants à haut risque.
Une démarche cohérente
Sans procéder ici à une étude de sécurité Cloud, ce n’est pas l’objet de ce billet qui est plutôt de mettre en lumière la cohérence et la démarche conjointe de la sécurité des infrastructures avec celle de l’ingénierie des infras cloud, il y a un ensemble de points majeurs à prendre en compte qui sont : les comptes de services à privilèges, éléments critiques, partie prenante de la gestion des identités et des accès (IAM), les serveurs et les environnements virtualisés, les hyperviseurs (à noter que dans les Cloud publics, la sécurité de l’hyperviseur relève de la responsabilité du fournisseur de Cloud).
Sans oublier le stockage, plus souvent des pools de stockage élastiques ou des ressources virtualisées qui peuvent être provisionnées et mises à l’échelle automatiquement avec l’IAM de nouveau, élément indispensable.
Notons aussi les bases de données, le réseau, et les solutions de sécurité telles que des services de pare-feu (FWaaS), les firewall d’application web (WAF) et le déploiement des outils spécifiques tel que Cloud Security Posture Management (CSPM) pour examiner automatiquement les réseaux Cloud, détecter les configurations non sécurisées ou vulnérables et y remédier. Enfin Kubernetes, avec ses composantes critiques, connus sous le nom de « 4 C » (Code, Conteneurs, Clusters et Cloud) est un environnement éminemment critique.
Plusieurs défis de conformité
La conformité aux meilleures pratiques de sécurité, aux normes et références du secteur ainsi qu’aux stratégies organisationnelles internes dans un environnement Cloud natif est également confrontée à des défis.
En effet, en plus de maintenir la conformité, les organisations doivent également fournir des preuves de conformité, pour l’interne ou l’externe (certifications tiers, autorités de réglementation de marché, contraintes légales, etc.). Il est donc impératif d’ajuster la stratégie afin que l’environnement Cloud dans sa totalité (conteneurs Kubernetes, Cloud hybride, etc.) corresponde aux niveaux de conformité et de sécurité requis.
Sécuriser les Cloud est impératif, une condition de survie de l’entreprise du XXIème siècle. Cela nécessite une double expertise, dans l’ingénierie des infrastructures Cloud, dans l’automatisation ‘’as code’’, dans le CI/CD, dans la containerisation des applications, et dans la sécurisation de Kubernetes et de tous les composants.
Tout cela réalisable avec une approche d’ingénierie cohérente et des équipes ingénierie Cloud et sécurité travaillant ensemble.
Smart DSI N°31
Téléchargez cette ressource
Guide de Sécurité IA et IoT
Compte tenu de l'ampleur des changements que l'IA est susceptible d'entraîner, les organisations doivent élaborer une stratégie pour se préparer à adopter et à sécuriser l'IA. Découvrez dans ce Livre blanc Kaspersky quatre stratégies efficaces pour sécuriser l'IA et l'IoT.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
