- La sécurité du cloud est une responsabilité partagée
- Les 7 principaux défis avancés en matière de sécurité du cloud
- Surface d’attaque accrue
- Manque de visibilité et de suivi
- Charge de travail en constante évolution
- DevOps, DevSecOps et automatisation
- Gestion granulaire des privilèges et des clés
- Environnements complexes
- Conformité et gouvernance du cloud
- La confiance zéro et pourquoi vous devriez l’adopter
- Les 6 piliers d’une sécurité cloud robuste
- Contrôles d’authentification et d’IAM granulaires et basés sur des politiques sur des infrastructures complexes
- Contrôles de sécurité du réseau cloud à confiance zéro sur des réseaux et micro-segments isolés logiquement
- Application des politiques de protection des serveurs virtuels et des processus tels que la gestion des changements et les mises à jour logicielles :
- Sécuriser toutes les applications (et en particulier les apps distribuées natives du cloud) avec un pare-feu d’application web de nouvelle génération
- Protection renforcée des données
- Une intelligence des menaces qui détecte et remédie aux menaces connues et inconnues en temps réel
- En savoir plus sur les solutions Check Point CloudGuard
- Solutions de sécurité cloud unifiées de Check Point
La sécurité du cloud est une responsabilité partagée
La sécurité du cloud est une responsabilité partagée entre le fournisseur de cloud et le client. Il existe essentiellement trois catégories de responsabilités dans le modèle de responsabilité partagée : les responsabilités qui sont toujours celles du fournisseur, les responsabilités qui sont toujours celles du client et les responsabilités qui varient en fonction du modèle de service : Infrastructure as a Service (IaaS), Platform as a Service (PaaS), ou Software as a Service (SaaS), comme le courrier électronique en nuage.
Les responsabilités en matière de sécurité qui incombent toujours au fournisseur sont liées à la sauvegarde de l’infrastructure elle-même, ainsi qu’à l’accès, à l’application de correctifs et à la configuration des hôtes physiques et du réseau physique sur lesquels s’exécutent les instances de calcul et résident le stockage et les autres ressources.
Les responsabilités en matière de sécurité qui incombent toujours au client comprennent la gestion des utilisateurs et de leurs privilèges d’accès (gestion des identités et des accès), la protection des comptes cloud contre les accès non autorisés, le chiffrement et la protection des actifs de données basés sur le cloud, et la gestion de sa posture de sécurité (conformité).
Les 7 principaux défis avancés en matière de sécurité du cloud
Parce que le cloud public n’a pas de périmètres clairs, il présente une réalité de sécurité fondamentalement différente. Cela devient encore plus difficile lorsqu’on adopte des approches modernes du cloud telles que les méthodes automatisées d’intégration et de déploiement continus (CI/CD), les architectures distribuées sans serveur et les actifs éphémères comme les fonctions en tant que service et les conteneurs.
Certains des défis avancés en matière de sécurité cloud-native et les multiples couches de risque auxquels sont confrontées les organisations orientées cloud d’aujourd’hui comprennent :
-
Surface d’attaque accrue
L’environnement de cloud public est devenu une surface d’attaque importante et très attrayante pour les pirates qui exploitent des ports d’entrée de cloud mal sécurisés afin d’accéder et de perturber les charges de travail et les données dans le cloud. Les logiciels malveillants, les Zero-Day, les prises de contrôle de comptes et de nombreuses autres menaces malveillantes sont devenus une réalité quotidienne.
-
Manque de visibilité et de suivi
Dans le modèle IaaS, les fournisseurs de cloud ont un contrôle total sur la couche d’infrastructure et ne l’exposent pas à leurs clients. Le manque de visibilité et de contrôle est encore plus étendu dans les modèles de cloud PaaS et SaaS. Les clients du cloud ne peuvent souvent pas identifier et quantifier efficacement leurs actifs de cloud ou visualiser leurs environnements de cloud.
-
Charge de travail en constante évolution
Les actifs de cloud sont provisionnés et déclassés de manière dynamique – à l’échelle et à la vitesse. Les outils de sécurité traditionnels sont tout simplement incapables d’appliquer des politiques de protection dans un environnement aussi flexible et dynamique avec ses charges de travail éphémères et en constante évolution.
-
DevOps, DevSecOps et automatisation
Les organisations qui ont adopté la culture hautement automatisée DevOps CI/CD doivent s’assurer que les contrôles de sécurité appropriés sont identifiés et intégrés dans le code et les modèles au début du cycle de développement. Les changements liés à la sécurité mis en œuvre après qu’une charge de travail a été déployée en production peuvent miner la posture de sécurité de l’organisation ainsi qu’allonger le délai de mise sur le marché.
-
Gestion granulaire des privilèges et des clés
Souvent, les rôles des utilisateurs du cloud sont configurés de manière très lâche, accordant des privilèges étendus au-delà de ce qui est prévu ou requis. Un exemple courant consiste à donner des autorisations de suppression ou d’écriture de base de données à des utilisateurs non formés ou à des utilisateurs qui n’ont aucun besoin professionnel de supprimer ou d’ajouter des actifs de base de données. Au niveau de l’application, des clés et des privilèges mal configurés exposent les sessions à des risques de sécurité.
-
Environnements complexes
Gérer la sécurité de manière cohérente dans les environnements hybrides et multiclouds privilégiés par les entreprises de nos jours nécessite des méthodes et des outils qui fonctionnent de manière transparente entre les fournisseurs de cloud public, les fournisseurs de cloud privé et les déploiements sur site – y compris la protection de la périphérie des succursales pour les organisations géographiquement distribuées.
-
Conformité et gouvernance du cloud
Tous les principaux fournisseurs de cloud se sont alignés sur la plupart des programmes d’accréditation bien connus tels que PCI 3.2, NIST 800-53, HIPAA et GDPR. Cependant, il incombe aux clients de s’assurer que leur charge de travail et leurs processus de données sont conformes. Compte tenu de la faible visibilité ainsi que de la dynamique de l’environnement cloud, le processus d’audit de conformité devient proche de la mission impossible, sauf si des outils sont utilisés pour réaliser des contrôles de conformité continus et émettre des alertes en temps réel sur les mauvaises configurations.
La confiance zéro et pourquoi vous devriez l’adopter
Le terme de confiance zéro a été introduit pour la première fois en 2010 par John Kindervag qui, à l’époque, était un analyste principal de Forrester Research. Le principe de base de la confiance zéro en matière de sécurité du cloud est de ne pas faire automatiquement confiance à qui que ce soit ou quoi que ce soit à l’intérieur ou à l’extérieur du réseau – et de tout vérifier (c’est-à-dire autoriser, inspecter et sécuriser).
La confiance zéro, par exemple, favorise une stratégie de gouvernance du moindre privilège selon laquelle les utilisateurs n’ont accès qu’aux ressources dont ils ont besoin pour accomplir leurs tâches. De même, elle invite les développeurs à s’assurer que les applications tournées vers le web sont correctement sécurisées. Par exemple, si le développeur n’a pas bloqué les ports de manière cohérente ou n’a pas mis en place des autorisations selon les besoins, un pirate qui prend le contrôle de l’application aura des privilèges pour récupérer et modifier les données de la base de données.
En outre, les réseaux Zero Trust utilisent la micro-segmentation pour rendre la sécurité du réseau cloud beaucoup plus granulaire. La micro-segmentation crée des zones sécurisées dans les centres de données et les déploiements de cloud computing segmentant ainsi les charges de travail les unes des autres, sécurisant tout ce qui se trouve à l’intérieur de la zone et appliquant des politiques pour sécuriser le trafic entre les zones.
Les 6 piliers d’une sécurité cloud robuste
Alors que les fournisseurs de cloud tels qu’Amazon Web Services (AWS), Microsoft Azure (Azure) et Google Cloud Platform (GCP) offrent de nombreuses fonctionnalités et services de sécurité natifs du cloud, des solutions tierces supplémentaires sont essentielles pour obtenir une protection des charges de travail cloud de niveau entreprise contre les brèches, les fuites de données et les attaques ciblées dans l’environnement cloud. Seule une pile de sécurité intégrée native du cloud/tiers fournit la visibilité centralisée et le contrôle granulaire basé sur des politiques nécessaires pour offrir les meilleures pratiques industrielles suivantes :
-
Contrôles d’authentification et d’IAM granulaires et basés sur des politiques sur des infrastructures complexes
Travaillez avec des groupes et des rôles plutôt qu’au niveau de l’IAM individuel pour faciliter la mise à jour des définitions de l’IAM à mesure que les besoins de l’entreprise évoluent. N’accordez que les privilèges d’accès minimaux aux actifs et aux API qui sont essentiels pour qu’un groupe ou un rôle puisse accomplir ses tâches. Plus les privilèges sont étendus, plus les niveaux d’authentification sont élevés. Et ne négligez pas une bonne hygiène IAM, en appliquant des politiques de mots de passe forts, des délais d’autorisation, etc.
-
Contrôles de sécurité du réseau cloud à confiance zéro sur des réseaux et micro-segments isolés logiquement
Déployez les ressources et les apps critiques pour l’entreprise dans des sections isolées logiquement du réseau cloud du fournisseur, comme les clouds privés virtuels (AWS et Google) ou vNET (Azure). Utilisez des sous-réseaux pour micro-segmenter les charges de travail les unes des autres, avec des politiques de sécurité granulaires au niveau des passerelles de sous-réseau. Utiliser des liaisons WAN dédiées dans les architectures hybrides, et utiliser des configurations de routage statiques définies par l’utilisateur pour personnaliser l’accès aux périphériques virtuels, aux réseaux virtuels et à leurs passerelles, ainsi qu’aux adresses IP publiques.
-
Application des politiques de protection des serveurs virtuels et des processus tels que la gestion des changements et les mises à jour logicielles :
Les fournisseurs de sécurité du cloud fournissent une gestion robuste de la posture de sécurité du cloud, en appliquant de manière cohérente des règles et des modèles de gouvernance et de conformité lors du provisionnement des serveurs virtuels, en auditant les écarts de configuration et en y remédiant automatiquement lorsque cela est possible.
-
Sécuriser toutes les applications (et en particulier les apps distribuées natives du cloud) avec un pare-feu d’application web de nouvelle génération
Celui-ci inspectera et contrôlera de manière granulaire le trafic vers et depuis les serveurs d’applications web, mettra automatiquement à jour les règles WAF en réponse aux changements de comportement du trafic, et sera déployé plus près des microservices qui exécutent les charges de travail.
-
Protection renforcée des données
Protection renforcée des données avec un chiffrement à toutes les couches de transport, des partages de fichiers et des communications sécurisés, une gestion continue des risques de conformité et le maintien d’une bonne hygiène des ressources de stockage des données, comme la détection des buckets mal configurés et la fin des ressources orphelines.
-
Une intelligence des menaces qui détecte et remédie aux menaces connues et inconnues en temps réel
Les fournisseurs tiers de sécurité du cloud ajoutent un contexte aux flux importants et divers de journaux natifs du cloud en croisant intelligemment les données agrégées des journaux avec des données internes telles que les systèmes de gestion des actifs et des configurations, les scanners de vulnérabilité, etc. et des données externes telles que les flux publics d’intelligence des menaces, les bases de données de géolocalisation, etc. Ils fournissent également des outils qui aident à visualiser et à interroger le paysage des menaces et favorisent des temps de réponse plus rapides aux incidents. Des algorithmes de détection des anomalies basés sur l’IA sont appliqués pour attraper les menaces inconnues, qui font ensuite l’objet d’une analyse forensique pour déterminer leur profil de risque. Les alertes en temps réel sur les intrusions et les violations de politiques raccourcissent les délais de remédiation, déclenchant même parfois des flux de travail de remédiation automatique.
En savoir plus sur les solutions Check Point CloudGuard
La plateforme unifiée de sécurité du cloud CloudGuard de Check Point s’intègre de manière transparente aux services de sécurité natifs du cloud des fournisseurs pour garantir que les utilisateurs du cloud respectent leur part du modèle de responsabilité partagée et maintiennent des politiques de confiance zéro sur tous les piliers de la sécurité du cloud : contrôle d’accès, sécurité du réseau, conformité des serveurs virtuels, protection des charges de travail et des données, et intelligence des menaces.
Solutions de sécurité cloud unifiées de Check Point
- Solutions de sécurité cloud natives
- Gestion de la posture de sécurité cloud
- Protection des charges de travail cloud
- Intelligence cloud. et chasse aux menaces
- Sécurité des réseaux cloud
- Sécurité sans serveur
- Sécurité des conteneurs
- Sécurité AWS
- Azure Security
- Sécurité GCP
- Branch Cloud Security
.
