Sécuriser le cloud, c'est un peu comme manger un éléphant. Comment manges tu un éléphant? Une bouchée à la fois. Il en va de même pour la sécurité dans le cloud : les défis deviennent beaucoup plus faciles à gérer si vous décomposez le processus en quatre étapes claires et exploitables : évaluer, analyser, agir et sécuriser. L'adoption des services cloud est motivée par la transformation numérique et la promesse d'une agilité, d'une flexibilité, d'une évolutivité et d'une rentabilité accrues. Mais les violations liées au cloud augmentent en même temps. Le Département du numérique, de la culture, des médias et des sports a déclaré dans son enquête sur les atteintes à la cybersécurité de 2018 que les entreprises qui utilisent le cloud computing étaient plus susceptibles d'avoir été violées que celles qui ne l'ont pas fait. il n'y en avait pas (52 % contre 43 %).
À propos de l'auteur Nathan Britton, responsable des pratiques de sécurité cloud chez NTT. La violation d'Uber découle du fait que l'entreprise a stocké les informations d'identification AWS dans un référentiel Github, qui a ensuite été récupéré par des pirates et utilisé pour accéder au compte Uber AWS. Une autre violation à grande échelle s'est produite chez Verizon, où un compartiment S3 mal configuré, détenu et exploité par le fournisseur NICE Systems, a révélé les noms, adresses, détails de compte et codes PIN de près de 14 millions de clients américains.
Sécurité du cloud
Le cloud n'est pas intrinsèquement plus dangereux que l'infrastructure informatique sur site. La plupart des violations sont dues à des erreurs de configuration incorrectes ou à une mauvaise compréhension de la sécurité attendue du cloud. Alors pourquoi les données sont-elles plus susceptibles d'être exposées dans le cloud ? De nombreuses équipes de sécurité ont du mal à suivre le rythme rapide des déploiements cloud. La levée et le déplacement des contrôles de sécurité peuvent également laisser des lacunes. Les applications cloud ne reflètent pas toujours leur version sur site, il peut donc être nécessaire de revoir les contrôles pour prendre en charge les applications d'entreprise qui ont été hébergées, reformatées ou refactorisées. Un autre problème potentiel est le manque de politiques ou de directives de sécurité spécifiques au cloud pour encourager l'adoption du cloud « sécurisé dès la conception ». Les modèles de sécurité partagés peuvent également rendre les données vulnérables, s'il n'est pas clair si la responsabilité de la protection des données incombe à l'entreprise, au fournisseur de cloud, au consommateur ou à une combinaison des trois. Le modèle cloud, qu'il soit IaaS, PaaS ou SaaS, peut affecter les lignes de responsabilité.
Les 4 pour la sécurité du cloud
Ce processus en quatre étapes aidera les organisations à comprendre comment sécuriser les déploiements cloud, gagner en visibilité sur leur empreinte cloud, comprendre les faiblesses et les risques et, surtout, utiliser ces connaissances pour développer une feuille de route pour l'amélioration de la sécurité cloud. .
Évaluer
Vous ne pouvez pas assurer ce que vous ne pouvez pas voir. L'évaluation et l'audit des solutions cloud offriront une visibilité sur les actifs et les charges de travail qui y sont déployés. Il mettra également en évidence les menaces potentielles, les failles de sécurité et la posture de sécurité globale. C'est maintenant le bon moment pour examiner où la sécurité est "intégrée" par le fournisseur de solutions cloud (CSP) lui-même et où elle doit être ajoutée ou augmentée. C'est une bonne idée d'examiner les outils et les processus qui vous aident à évaluer où il peut y avoir des lacunes. Les résultats de l'évaluation peuvent être utilisés comme référence pour déterminer où vous en êtes aujourd'hui et créer une feuille de route de sécurité cloud pour l'avenir.
Analyser
Cela commence par identifier comment un déploiement cloud se compare aux meilleures pratiques ou aux cadres de sécurité, y compris les exigences de conformité réglementaire. Ensuite, examinez les vulnérabilités de sécurité mises en évidence par cette analyse et quantifiez les risques et menaces potentiels qui en découlent. À partir de là, vous pouvez mapper les menaces aux contrôles de sécurité appropriés pour corriger les lacunes et hiérarchiser l'ordre dans lequel vous les implémentez. Les informations recueillies au cours de cette étape d'analyse vous aideront à prendre des décisions éclairées concernant la conception de votre sécurité cloud et à surveiller la mise en œuvre pour assurer la cohérence du déploiement.
acte
Une fois que vous avez une image plus claire de la posture de sécurité d'un déploiement cloud et de la visibilité sur les actifs, vous pouvez résoudre les problèmes de sécurité en concevant et en mettant en œuvre les contrôles de sécurité nécessaires. Cela garantira une approche cohérente du déploiement du cloud et de la sécurité "by design". C'est une bonne idée de commencer par les contrôles et les configurations de sécurité natifs du CSP, en les utilisant comme base pour créer un modèle de sécurité minimum viable qui peut être appliqué pour créer de futures ressources cloud de manière sécurisée et cohérente. Ceux-ci peuvent être complétés par des contrôles de sécurité cloud natifs intégrés.
Assurer
Lorsqu'il s'agit de sécuriser les déploiements cloud, le travail n'est jamais terminé. Votre sécurité cloud devra augmenter à mesure que les déploiements augmentent et que davantage de charges de travail migrent vers le cloud ou s'intègrent au cloud. Pour maintenir la conformité réglementaire et faire face aux menaces en constante évolution, les déploiements cloud doivent être surveillés en permanence et tout écart par rapport aux normes de sécurité convenues doit être signalé. L'automatisation est ici essentielle pour assurer une résolution rapide des problèmes. Pour tirer le meilleur parti de cette étape du processus, vous aurez besoin d'une assistance pour les outils et plates-formes de surveillance de la sécurité et de la conformité qui correspondent à vos exigences de sécurité opérationnelles. En brisant la sécurité du cloud à l'aide de cette approche proactive des « quatre comment », les entreprises peuvent bénéficier d'une plus grande visibilité sur les charges de travail et les actifs du cloud, ainsi que sur les risques et les menaces qui doivent être traités. Cela fournira les informations dont ils ont besoin pour créer une feuille de route hiérarchisée pour la correction et l'amélioration, et garantira que la sécurité est cohérente et intégrée dans tous les déploiements actuels et futurs.