Qu'est-ce que la sécurité du Cloud (Cloud Security)?

Le Cloud correspond à la fourniture de services hébergés, y compris de logiciels, de matériel et de stockage, sur Internet. Ses avantages en termes de déploiement rapide, de flexibilité, de faible coût initial et d’évolutivité, ont fait du Cloud un élément quasiment incontournable pour les entreprises de toute taille, souvent dans le cadre d’une infrastructure hybride/multi-Cloud.

 

La sécurité du Cloud (cloud secrity) fait référence aux technologies, politiques, contrôles et services qui protègent les données, les applications et l’infrastructure du Cloud contre les menaces.

Qu’est-ce que la sécurité du Cloud (Cloud Security)?

La sécurité dans le Cloud est une responsabilité partagée

La sécurité dans le Cloud est une responsabilité partagée entre le prestataire de services dans le Cloud et le client. Il existe essentiellement trois catégories de responsabilités dans le modèle de responsabilité partagée : les responsabilités qui sont toujours celles du prestataire, les responsabilités qui sont toujours celles du client et les responsabilités qui varient en fonction du modèle de service : infrastructure sous forme de service (IaaS), plateforme sous forme de service (PaaS) ou logiciel sous forme de service (SaaS), tels que la messagerie dans le Cloud.

 

Les responsabilités en matière de sécurité qui incombent toujours au prestataire sont liées à la protection de l’infrastructure elle-même, ainsi qu’à l’accès aux hôtes physiques, leur configuration et l’application de correctifs, et le réseau physique sur lequel fonctionnent les instances de calcul et résident les ressources de stockage et autres.

 

Les responsabilités en matière de sécurité qui sont toujours celles du client comprennent la gestion des utilisateurs et de leurs privilèges d’accès (gestion des identités et des accès), la protection des comptes dans le Cloud contre les accès non autorisés, le chiffrement et la protection des ressources de données dans le Cloud, et la gestion de sa posture de sécurité (conformité).

Les 7 principaux défis de la sécurité dans le Cloud

Comme le Cloud public n’a pas de périmètre clair, il présente une réalité fondamentalement différente quant à sa sécurité. Cela devient encore plus problématique lorsqu’on adopte les approches modernes du Cloud, notamment les méthodes automatisées d’intégration et de déploiement continus (CI/CD), les architectures distribuées serverless et les ressources éphémères tels que les fonctions sous forme de services et les conteneurs.

 

Parmi les défis de sécurité avancés liés au Cloud et les multiples niveaux de risque auxquels sont confrontées les entreprises actuelles s’appuyant sur le Cloud :

 

1. Surface d’attaque étendue

Le Cloud public présente une surface d’attaque importante et très attrayante pour les pirates, qui exploitent les ports d’entrée du Cloud mal sécurisés afin d’accéder à des charges de travail et des données dans le Cloud pour les exploiter. Les logiciels malveillants, les menaces zero-day, la prise de contrôle de comptes et de nombreuses autres menaces malveillantes sont devenus une réalité quotidienne.

 

2. Manque de visibilité et de suivi

Dans le modèle IaaS, les prestataires de Cloud ont un contrôle total sur l’infrastructure et ne l’exposent pas à leurs clients. Le manque de visibilité et de contrôle est encore plus important dans les modèles de Cloud PaaS et SaaS. Les clients du Cloud ne peuvent souvent pas identifier et quantifier efficacement leurs ressources dans le Cloud, ni visualiser leurs environnements dans le Cloud.

 

3. Charges de travail en constante évolution

Les ressources dans le Cloud sont provisionnées et déclassées de manière dynamique, à grande échelle et rapidement. Les outils de sécurité traditionnels sont tout simplement incapables d’appliquer les politiques de sécurité dans un environnement aussi souple et dynamique, avec ses charges de travail éphémère changeant constamment.

 

4. DevOps, DevSecOpset automatisation

Les entreprises qui ont adopté la culture hautement automatisée de CI/CD de DevOps doivent veiller à ce que les contrôles de sécurité appropriés soient identifiés et intégrés dans le code et les modèles dès le début du cycle de développement. Tout changement apporté à la sécurité une fois les charges de travail déployées en production peut nuire à la posture de sécurité générale de l’entreprise et allonger le délai de commercialisation.

 

5. Administration granulaire des clés et des privilèges

Les rôles des utilisateurs du Cloud sont souvent configurés de manière très vague, accordant des privilèges étendus au-delà de ce qui est prévu ou requis. L’octroi d’autorisations de suppression ou d’écriture dans la base de données à des utilisateurs non formés, ou qui n’ont tout simplement pas besoin de supprimer ou d’ajouter des ressources dans la base de données, est un exemple courant. Au niveau des applications, la mauvaise configuration des clés et des privilèges expose les sessions à des risques de sécurité.

 

6. Environnements complexes

La gestion cohérente de la sécurité dans les systèmes hybrides et multi-Cloud privilégiée par les entreprises aujourd’hui requiert des méthodes et les outils fonctionnant de manière transparente sur l’ensemble des prestataires de Cloud public et de Cloud privé, et les déploiements sur site, y compris la protection du périmètre des agences pour les entreprises réparties dans différentes régions.

 

7. Gouvernance et conformité du Cloud

Les principaux prestataires de Cloud se sont alignés sur la plupart des programmes d’accréditation bien connus tels que PCI 3.2, NIST 800-53, HIPAA et RGPD. Cependant, les clients doivent veiller à ce que leurs charges de travail et leurs processus de données soient conformes. Compte tenu de la faible visibilité sur l’environnement dans le Cloud et de sa dynamique, il est quasiment impossible d’effectuer le processus d’audit de la conformité, à moins que des outils ne soient utilisés pour effectuer des contrôles de conformité en continu, et émettre des alertes en temps réel en cas de mauvaise configuration.

Le principe Zero Trust et pourquoi vous devriez l'adopter

Le terme Zero Trust a été introduit pour la première fois en 2010 par John Kindervag qui, à l’époque, était un analyste senior de Forrester Research. Le fondement du principe Zero Trust en matière de sécurité dans le Cloud est de ne pas faire automatiquement confiance à quiconque ou à quoi que ce soit à l’intérieur ou à l’extérieur du réseau, et de tout vérifier (c’est-à-dire autoriser, inspecter et sécuriser).

 

Il met par exemple en avant une stratégie de gouvernance à moindre privilège selon laquelle les utilisateurs n’ont accès qu’aux ressources dont ils ont besoin pour accomplir leurs tâches. De même, il invite les développeurs à veiller à ce que les applications destinées au web soient correctement sécurisées.  Par exemple, si un développeur n’a pas bloqué les ports de manière cohérente ou n’a pas mis en œuvre des autorisations « selon les besoins », un pirate informatique prenant le contrôle de son application obtiendras des privilèges pour récupérer et modifier des données dans la base de données.

 

Les réseaux Zero Trust utilisent également la micro-segmentation pour améliorer nettement la granularité de la sécurité des réseaux dans le Cloud. La micro-segmentation créée des zones sécurisées dans les Datacenters et les déploiements dans le Cloud, qui séparent les charges de travail les unes des autres pour protéger tout ce qui se trouve à l’intérieur de la zone, et elle applique des politiques de sécurisation du trafic entre les zones.

Les 6 piliers d'une sécurité robuste dans le Cloud

Tandis que les prestataires de Cloud tels qu’Amazon Web Services (AWS), Microsoft Azure (Azure) et Google Cloud Plateform (GCP) offrent de nombreuses fonctionnalités de sécurité natives dans le Cloud, des solutions tierces supplémentaires sont essentielles pour protéger les charges de travail dans le Cloud contre les failles de sécurité, les fuites de données et les attaques ciblées. Seule une infrastructure de sécurité intégrée, indépendante et native dans le Cloud, offre une visibilité centralisée et un contrôle granulaire reposant sur des politiques pour se conformer aux bonnes pratiques du secteur :

 

1. Contrôles granulaires d’authentification des identités et des accès pour les infrastructures complexes

Travaillez avec des groupes et des rôles plutôt qu’avec des utilisateurs individuels afin de faciliter la mise à jour des définitions des accès en fonction de l’évolution des besoins métiers. N’accordez que les privilèges d’accès minimaux aux ressources et aux API qui sont essentielles pour qu’un groupe ou un rôle puisse accomplir ses tâches. Plus les privilèges sont étendus, plus les niveaux d’authentification sont élevés. Et ne négligez pas les bonnes pratiques de sécurité, en appliquant des politiques de mots de passe strictes, l’expiration des permissions, etc.

 

2. Contrôles de sécurité réseau Zero Trust dans le Cloud pour les micro-segments et les réseaux logiquement isolés

Déployez des ressources et des applications critiques pour l’entreprise dans des sections logiquement isolées du réseau dans le Cloud du prestataire, tel que les Clouds privés virtuels (AWS et Google) ou vNET (Azure). Utilisez des sous-réseaux pour micro-segmenter les charges de travail les unes des autres, avec des politiques de sécurité granulaires sur les passerelles des sous-réseaux. Utilisez des liens WAN dédiés dans des architectures hybrides, et utilisez des configurations de routage statiques pour personnaliser l’accès aux appareils virtuels, aux réseaux virtuels et à leurs passerelles, et aux adresses IP publiques.

 

3. Mise en œuvre de politiques et de processus de protection des serveurs virtuels, tels que la gestion des changements et les mises à jour de logiciels

Les prestataires de sécurité dans le Cloud propose une robuste gestion de la posture de sécurité dans le Cloud, en appliquant de manière cohérente des règles et des modèles de gouvernance et de conformité lors du provisionnement des serveurs virtuels, en recherchant des écarts de configuration, et en y remédiant automatiquement lorsque cela est possible.

 

4. Protection de toutes les applications (en particulier les applications distribuées natives dans le Cloud) grâce à un pare-feu de nouvelle génération pour applications web

Ce système inspecte et contrôle de manière granulaire le trafic à destination et en provenance des serveurs d’applications web, met automatiquement à jour les règles WAF en réponse aux changements de comportement du trafic, et peut être déployé plus près des micro-services qui exécutent des charges de travail.

 

5. Amélioration de la protection des données

Protection des données renforcée grâce au chiffrement de toutes les couches de transport, la sécurisation des partages de fichiers et des communications, la gestion des risques de conformité en continu, et l’application de bonnes pratiques aux ressources de stockage des données, telles que la détection des espaces mal configurés et l’élimination des ressources orphelines.

 

6. Intelligence sur les menaces détectant et corrigeant les menaces connues et inconnues en temps réel

Les prestataires tiers de sécurité dans le Cloud ajoutent un contexte aux flux importants et variés de journaux natifs dans le Cloud, en rapprochant intelligemment les données de journaux agrégées avec des données internes issue de systèmes de gestion des ressources et des configurations, les analyses de vulnérabilité, etc. et des données externes telles que les flux de renseignements sur les menaces publiques, les bases de données de géolocalisation, etc. Ils fournissent également des outils de visualisation et d’interrogation du paysage des menaces, pour réagir plus rapidement en cas d’incident. Des algorithmes de détection des anomalies s’appuyant sur l’IA sont utilisés pour détecter les menaces inconnues, qui sont ensuite analysées de manière plus approfondie pour déterminer leur profil de risque. Les alertes en temps réel sur les intrusions et les infractions de la politique de sécurité réduisent les délais de remédiation, parfois même en déclenchant des processus de remédiation automatique.

En savoir plus sur les solutions Check Point CloudGuard

La plateforme de sécurité unifiée Check Point CloudGuard s’intègre de manière transparente aux services de sécurité natifs des prestataires de Cloud pour garantir que les utilisateurs respectent leur part du modèle de responsabilité partagée et maintiennent des politiques Zero Trust sur tous les piliers de la sécurité du Cloud : contrôle des accès, sécurité réseau, conformité des serveurs virtuels, protection des charges de travail et des données, et intelligence sur les menaces.

 

Solutions Check Point de sécurité unifiée du Cloud

Ressources recommandées