Comment sécuriser les clouds hybrides: ce que les professionnels de l’informatique doivent savoir

Les organisations publiques et privées ont déterminé que déplacer des plates-formes de données et de logiciels vers le cloud n’est pas une proposition «tout ou rien». Les départements informatiques apprennent à utiliser une combinaison de services cloud privé et de cloud public tiers sur site. Créer un nuage hybride La plate-forme permet aux charges de travail de se déplacer entre les clouds privés et publics à mesure que les besoins et les coûts informatiques évoluent, offrant aux entreprises une plus grande flexibilité et davantage d’options de déploiement de données.

Il y a des avantages et des inconvénients aux nuages ​​hybrides. La commodité et l’adaptabilité offertes à ceux qui utilisent la technologie de cloud hybride ont un coût: Les équipes de sécurité doivent protéger les données de l’entreprise et, dans de nombreux cas, les processus propriétaires dans plusieurs environnements.

« Alors que de plus en plus d’organisations adoptent un modèle de cloud hybride, elles devront adapter leurs contrôles et processus de sécurité internes aux environnements de fournisseurs de services de cloud public », écrit Shackleford. « Pour commencer, les pratiques d’évaluation et d’analyse des risques devraient être mises à jour pour examiner en permanence les éléments énumérés dans la figure 1. » Ces articles sont énumérés ci-dessous.

• Contrôles de sécurité, capacités et état de conformité du fournisseur Cloud
• Outils et plateformes de développement et d’orchestration internes
• Outils de gestion et de suivi des opérations
• Outils et contrôles de sécurité à l’interne et dans le cloud

Le jury est toujours sur qui est finalement responsable de la sécurité dans le nuage. Shackleford défend la nécessité pour les fournisseurs de services de cloud computing et leurs clients de partager la responsabilité. En ce qui concerne le client, Shackleford croit que son équipe de sécurité doit avoir:

• Une bonne compréhension des contrôles de sécurité actuellement utilisés; et
• Une meilleure compréhension des contrôles de sécurité qu’ils devront modifier pour fonctionner avec succès dans un environnement de cloud hybride.

Quant à savoir pourquoi, explique Shackleford, «il est presque certain que certains contrôles de sécurité ne fonctionneront pas comme ils l’ont fait en interne ou ne seront pas disponibles dans les environnements de fournisseurs de services cloud.

Processus internes Les professionnels de l’informatique doivent vérifier

Shackleford suggère d’examiner les processus internes suivants.

Évaluation de la configuration : Shackleford dit que les configurations suivantes sont particulièrement importantes en matière de sécurité:

• Version du système d’exploitation et niveau de correctif
• Utilisateurs et groupes locaux
• Autorisations sur les fichiers clés
• Services réseau durcis qui s’exécutent

Analyse de vulnérabilité : Shackleford conseille que les systèmes soient analysés de manière continue, avec des rapports sur toutes les vulnérabilités notées pendant le cycle de vie de l’instance. En ce qui concerne la numérisation et l’évaluation des résultats, Shackleford note que l’une des méthodes suivantes est généralement utilisée dans les situations de nuage hybride.

• Certains fournisseurs de scanners de vulnérabilités traditionnels ont adapté leurs produits pour qu’ils fonctionnent dans des environnements de fournisseurs de cloud, en s’appuyant souvent sur des API pour éviter les requêtes manuelles afin d’effectuer des analyses plus intrusives, sur une base planifiée ou ad hoc.
• S’appuyer sur des agents basés sur l’hôte qui peuvent analyser leurs machines virtuelles respectives en permanence.

Surveillance de sécurité Les environnements de cloud hybride existent presque toujours sur des serveurs mutualisés virtualisés, ce qui les rend difficiles à surveiller pour les attaques par client. « La surveillance de l’infrastructure virtuelle se produit à plusieurs endroits: le VM / conteneur, le commutateur virtuel, l’hyperviseur ou le réseau physique », écrit Shackleford. « Dans presque tous les environnements de cloud, le seul endroit où nous pouvons vraiment puiser est le réseau VM / conteneur ou logiciel défini par le fournisseur de cloud. »

«Les considérations sur la façon d’architecturer les outils de surveillance incluent la bande passante du réseau, les connexions dédiées et les méthodes d’agrégation et d’analyse des données», poursuit Shackleford. « Les journaux et les événements générés par les services, les applications et les systèmes d’exploitation dans les instances de cloud doivent être automatiquement collectés et envoyés à une plateforme de collecte centrale. »

En ce qui concerne la journalisation à distance automatisée, Shackleford pense que la plupart des équipes de sécurité savent déjà comment collecter les journaux appropriés, les envoyer à des services de journalisation sécurisés ou des plateformes de gestion d’événements basées sur le cloud.

Selon Shackleford, le ciel est la limite à ce qui est surveillé. Il croit que les éléments suivants devraient avoir la priorité:

• Connexions utilisateur inhabituelles ou échecs de connexion
• Importantes données importées ou exportées depuis et vers l’environnement cloud
• Activités utilisateur privilégiées
• Modifications apportées aux images système approuvées
• Accès et modifications aux clés de chiffrement
• Changements aux privilèges et aux configurations d’identité
• Changements aux configurations de journalisation et de surveillance
• Fournisseur de cloud et intelligence de menace tierce

Les silos et les solutions ponctuelles sont une préoccupation

Nous nous sommes tous enfermés dans un coin avec un service ou un produit. Pour la même raison, Shackleford recommande fortement d’éviter à tout prix les options mono-fournisseur ou cloud-natives qui n’offrent pas la flexibilité à travers différents fournisseurs et environnements.

« Certains produits de fournisseurs ne fonctionneront que dans des environnements spécifiques, et la plupart des services intégrés des fournisseurs de cloud fonctionneront uniquement sur leurs propres plates-formes », explique-t-il. «Une telle mise en silo peut conduire à des maux de tête importants lorsque les entreprises ont besoin d’orienter les organisations vers une stratégie multi-cloud, ce qui nécessite une nouvelle visite des contrôles de sécurité qui répondent aux exigences.

Majuscule gauche

Shackleford est un ardent défenseur de sécurité à gauche , un concept simple et difficile à mettre en œuvre l’idée est de rapprocher les considérations de sécurité de l’étape de développement du produit. « En d’autres termes, la sécurité est vraiment intégrée aux pratiques et aux infrastructures de développement et d’exploitation (une pratique parfois appelée SecDevOps ou DevSecOps) », écrit Shackleford. « Les équipes de sécurité et de DevOps doivent définir et publier des normes organisationnelles informatiques pour un certain nombre de domaines, y compris les bibliothèques d’applications et les configurations d’OS dont l’utilisation est approuvée. »

Une dernière mise en garde

En plus de la diligence raisonnable habituelle, Shackleford suggère de former une base de référence en effectuant un examen approfondi de tous les contrôles et processus existants avant de déplacer les données et / ou les processus vers le cloud public. «Cela leur donnera l’occasion de protéger adéquatement les données impliquées, ainsi que de rechercher des capacités de sécurité équivalentes dans les environnements de cloud public», conseille Shackleford. «Recherchez des outils qui peuvent vous aider à gérer les ressources internes et cloud en un seul endroit, car les équipes de sécurité et d’exploitation sont généralement trop fines pour gérer plusieurs outils de gestion et de surveillance dans un ou plusieurs environnements de fournisseur de cloud.