Sysdig
Learn Cloud Native

Sign up to receive our newsletter

Présentation de la sécurité d’IBM Cloud

C’est génial d’un point de vue marketing. Mais d’un point de vue de la sécurité, cela signifie plus de configurations potentielles, donc plus de difficultés. C’est pourquoi il est essentiel d’apprendre à sécuriser les environnements IBM Cloud pour tirer parti des services cloud d’IBM, que vous les utilisiez seuls ou dans le cadre d’une stratégie multicloud ou hybride plus large.

Entendons-nous : les défis de la sécurité sont une considération majeure sur n’importe quel cloud, pas seulement celui d’IBM. Mais l’engagement d’IBM en faveur de la flexibilité de ses services et configurations dans le cloud rend particulièrement difficile la gestion des risques de sécurité associés aux diverses architectures et configurations cloud.

Nous expliquons ci-dessous comment sécuriser les workloads exécutés sur IBM Cloud. Plus précisément, nous discutons de l’approche d’IBM concernant le modèle de responsabilité partagée, des erreurs de sécurité commises de façon récurrente dans IBM Cloud, des meilleures pratiques pour sécuriser IBM Cloud, et de la façon de sécuriser et de surveiller IBM Cloud Kubernetes Service, l’une des principales plateformes cloud d’IBM.

Responsabilité partagée sur IBM Cloud

Comme tous les fournisseurs de cloud public, IBM Cloud utilise un modèle de responsabilité partagée qui définit les responsabilités en matière de sécurité et de conformité qui sont gérées par IBM Cloud, et celles qui incombent aux clients.

IBM propose une répartition des responsabilités très détaillée, que vous pouvez consulter si vous voulez tout savoir sur l’architecture de responsabilité partagée d’IBM. En général, cependant, les politiques se résument à ce qui suit :

  • Les clients sont responsables de la sécurisation de toutes les applications et données qu’ils déploient ou exécutent sur IBM Cloud, y compris celles hébergées via des services IBM gérés (comme IBM Cloud Kubernetes Service).
  • IBM est responsable de la sécurisation des réseaux physiques et des serveurs qui font marcher son cloud (bien que, comme indiqué ci-dessous, les clients soient responsables de la sécurisation des serveurs bare-metal qu’ils déploient dans IBM Cloud).
  • La responsabilité de la sécurisation de la plupart des types de ressources virtualisées – comme les serveurs virtuels et les réseaux virtuels – est partagée entre IBM et les clients. IBM s’occupe de la sécurité des composants de virtualisation (comme les hyperviseurs) que les clients ne contrôlent pas, tandis que les clients doivent sécuriser des ressources comme le système d’exploitation qu’ils choisissent d’installer sur les machines virtuelles.

Difficultés de la sécurité d’IBM Cloud

Encore une fois, à un niveau très élevé, le principal défi lié à la sécurité dans IBM Cloud est le suivant : puisqu’IBM donne aux clients tant de façons différentes de configurer et de déployer les workloads, le suivi des meilleures pratiques de sécurité est complexe. Lorsque vous travaillez avec des environnements cloud qui peuvent être conçus et configurés de multiples façons, il n’existe pas de règles simples à suivre.

Il est donc peut-être plus judicieux de réfléchir à ce qu’il ne faut pas faire du point de vue de la sécurité lors de la conception et de la configuration des workloads IBM Cloud. Voici quelques erreurs courantes à éviter en matière de sécurité dans IBM Cloud.

Ne sous-estimez pas les exigences en matière de sécurité des serveurs « bare metal »

L’une des façons dont IBM Cloud vise à offrir plus de choix que les clouds concurrents est de fournir une large sélection d’instances de serveurs IaaS bare-metal. Les serveurs cloud bare-metal offrent généralement de meilleures performances que les serveurs virtuels, car les clients ne doivent pas partager une machine physique sous-jacente avec d’autres utilisateurs.

Cependant, là où vous pouvez vous tromper en matière de sécurité avec les serveurs bare-metal, c’est en supposant qu’IBM gère la sécurité des serveurs pour vous. S’il est vrai qu’en général, la plupart de l’infrastructure physique dans IBM Cloud est sécurisée par IBM, les instances de serveurs bare-metal constituent une exception. Comme les clients déploient ces instances et les dotent du système d’exploitation et des applications qu’ils souhaitent exécuter, ils assument la responsabilité première de la sécurisation des serveurs bare-metal. IBM assure la sécurité physique, mais la plupart des autres responsabilités en matière de sécurité incombent aux clients.

N’oubliez pas de sécuriser les services gérés

IBM Cloud propose un certain nombre de services cloud gérés, allant d’une mise en œuvre hébergée de Tekton, une plateforme CI/CD, à Hadoop géré, en passant par ses différents services d’automatisation et d’analytiques Cloud Pak.

Comme pour les instances de serveurs bare-metal, les services gérés d’IBM Cloud peuvent être un défi du point de vue de la sécurité, car il peut être tentant pour les clients de supposer qu’IBM assume plus de responsabilités en matière de sécurité qu’elle ne le fait. Bien qu’IBM sécurise l’infrastructure sous-jacente qui alimente ses services gérés, ainsi que les applications SaaS et les APIs qu’elle fournit dans le cadre de ces services, IBM ne sécurise pas les applications ou les données que les clients choisissent de déployer en utilisant l’un de ces services gérés.

Ainsi, si vous téléchargez des données sensibles dans IBM Analytics Engine, par exemple, ou si vous déployez vos propres applications à l’intérieur de containers sur IBM Cloud Kubernetes Service, la responsabilité de la sécurisation de ces données et de ces applications vous incombe. IBM ne rendra pas vos données anonymes pour vous et ne recherchera pas les vulnérabilités dans vos images de containers. C’est votre responsabilité.

Configurez IAM efficacement

Comme c’est le cas pour tous les clouds, les workloads hébergés sur IBM Cloud sont aussi sûrs que les politiques de gestion des identités et des accès (IAM) qui les régissent.

IBM Cloud fournit un framework IAM que les clients peuvent utiliser pour gérer les autorisations via la console cloud, le CLI ou l’API. Les règles IAM doivent être configurées de manière à appliquer le principe du moindre privilège pour toutes les ressources exécutées dans un environnement IBM Cloud.

Notez toutefois que IBM Cloud IAM fonctionne un peu différemment des frameworks IAM des autres fournisseurs de cloud. Par exemple, les utilisateurs sont gérés via des outils externes plutôt que d’être définis dans IAM, comme c’est le cas avec AWS IAM. N’hésitez pas à lire les documents sur IAM d’IBM Cloud pour comprendre son approche unique d’IAM, avant de commencer à rédiger des politiques IAM pour vos workloads.

Ne vous fiez pas uniquement à la surveillance et aux alertes de sécurité d’IBM

IBM Cloud fournit certains outils de sécurité natifs. Le plus connu est IBM Cloud Security Advisor, qui fournit un aperçu des problèmes de sécurité potentiels qu’IBM a identifiés dans vos environnements cloud. Les informations sont basées en grande partie sur les configurations de surveillance de la sécurité définies par IBM, mais vous pouvez également créer des règles personnalisées.

Cloud Security Advisor est un bon point de départ pour surveiller la sécurité d’IBM Cloud, mais il ne suffit généralement pas à lui seul pour une surveillance complète de la sécurité, pour deux raisons. La première est qu’il ne fonctionne qu’avec IBM Cloud, ce qui pose un problème si vous utilisez également d’autres clouds ou des environnements on-premises qui ne sont pas intégrés à votre environnement IBM Cloud. La seconde est que Cloud Security Advisor n’est pas toujours en mesure de détecter des types de menaces de sécurité très nuancés ou spécifiques, tels que ceux qui peuvent exister dans un environnement Kubernetes complexe.

Sécuriser IBM Cloud Kubernetes Service

Étant donné qu’IBM Cloud Kubernetes Service s’est imposé comme l’une des principales offres de gestion de Kubernetes, capable de concurrencer Amazon Elastic Kubernetes Service ou Google Kubernetes Engine, il est utile de dire quelques mots sur la sécurisation d’IBM Cloud Kubernetes Service en particulier, dans le cadre d’une stratégie plus large de sécurité d’IBM Cloud.

IBM Cloud Kubernetes Service étant un service géré, IBM gère la sécurité des serveurs qui hébergent les clusters Kubernetes. Il sécurise également le trafic réseau et fournit à chaque client un cluster dédié, à locataire unique, de sorte que les problèmes de sécurité qui concernent les workloads des autres clients ne vous concernent pas.

Au-delà, cependant, la plupart des responsabilités en matière de sécurité incombent aux utilisateurs, notamment les points suivants :

  • Mises à jour et mises à niveau : une fois qu’un cluster est déployé, les utilisateurs doivent mettre à jour leurs clusters manuellement lorsque de nouvelles versions de Kubernetes apparaissent. (IBM Cloud vous informera si une nouvelle version est disponible).
  • Sécurité des images de containers : vous devez vérifier les vulnérabilités des containers que vous déployez sur Kubernetes à l’aide de l’analyse des images de containers.
  • Sécurité de l’API Kubernetes : grâce à des outils tels que Kubernetes RBAC, les clients sont invités à atténuer les risques d’abus de sécurité impliquant l’API Kubernetes.
  • Atténuation des failles de sécurité : bien qu’IBM sécurise les nœuds qui forment les clusters Kubernetes, les clients doivent tout de même prendre des mesures pour atténuer le risque qu’une faille de sécurité soit exploitée, par exemple en empêchant les containers de fonctionner en mode privilégié et en isolant les containers au niveau du réseau.

En général, la sécurisation des workloads exécutés sur IBM Cloud Kubernetes Service est identique à celle de tout type d’environnement Kubernetes. La principale différence est qu’IBM sécurise l’infrastructure sous-jacente des serveurs et des réseaux. La plupart des autres responsabilités en matière de sécurité incombent au client.

Conclusion

Pour tirer pleinement parti des fonctionnalités spéciales offertes par IBM Cloud, qui comprennent une gamme de services gérés ainsi qu’un ensemble particulièrement large de choix entourant des ressources telles que les instances de serveurs bare-metal, vous devez savoir comment sécuriser les workloads que vous déployez dans IBM Cloud. Des outils comme IBM Cloud Security Advisor sont un début, mais la plupart des cas d’utilisation nécessiteront une surveillance et un audit de sécurité supplémentaires à l’aide d’outils tiers.