Visibilité et sécurité du cloud : comprendre les enjeux

Les environnements cloud sont complexes. Comprendre ce qui s’y passe peut être un véritable défi, et les outils de surveillance et de visibilité proposés par les fournisseurs de services cloud n’offrent qu’une solution partielle.

Pour obtenir une véritable visibilité de votre cloud, vous avez besoin d’une politique de gouvernance du cloud et d’outils pour la mettre en œuvre. La gouvernance du cloud est un ensemble de politiques qui définissent la manière dont votre cloud est configuré et quels types de workloads peuvent y exister. En établissant des règles de gouvernance du cloud et en les appliquant automatiquement, les entreprises peuvent renforcer la sécurité de l’infrastructure cloud, même dans les environnements multicloud qui ne peuvent pas être surveillés à l’aide d’un seul ensemble d’outils de surveillance natifs.

Dans cet article, vous comprendrez le rôle que joue la gouvernance du cloud dans la visibilité et la sécurité du cloud, et vous découvrirez les types d’outils que les équipes peuvent déployer pour appliquer la gouvernance du cloud.

La gouvernance du cloud comme base de la surveillance du cloud

À proprement parler, vous n’avez pas besoin de gouvernance du cloud pour obtenir de la visibilité sur votre infrastructure cloud. Vous pouvez surveiller ce qui se passe dans votre cloud sans mettre en place une politique de gouvernance du cloud.

Cependant, la surveillance n’a que peu de valeur sans une politique de gouvernance du cloud qui définit comment interpréter les données de surveillance. Si vous n’avez pas de règles de gouvernance qui définissent les types de configurations de cloud autorisés ou non au sein de votre organisation, vous ne saurez pas comment réagir à une politique IAM qui accorde un accès anonyme à un compte de stockage, par exemple, ou quels types de configurations de réseau doivent être en place pour que votre cloud réponde aux exigences de sécurité.

Pour résumer, la gouvernance du cloud constitue la base pour une stratégie de visibilité et de surveillance du cloud efficace.

Assurer la sécurité de l’infrastructure cloud

Si la gouvernance du cloud définit les configurations à mettre en place pour que votre cloud soit sécurisé, elle ne garantit pas l’existence de ces configurations. C’est pour faire respecter les exigences de gouvernance du cloud que les outils de sécurité de l’infrastructure cloud entrent en jeu. Les outils de sécurité des infrastructures cloud évaluent automatiquement vos environnements cloud pour détecter les violations des politiques de gouvernance ou d’autres risques de sécurité.

D’une manière générale, les outils de sécurité des infrastructures cloud se répartissent en trois grands types de solutions.

Sécurité de type Infrastructure as Code (IaC)

Tout d’abord, vous pouvez déployer des outils qui analysent automatiquement les configurations de type Infrastructure as Code, ou IaC, afin de détecter les cas de non-respect de politiques ou les risques de sécurité.

Les configurations IaC sont des fichiers qui définissent comment les environnements cloud (ou d’autres types de ressources) doivent être configurés. Les équipes peuvent utiliser l’IaC pour provisionner des machines virtuelles fonctionnant dans le cloud ou gérer des comptes de stockage objet, par exemple. En créant une fois pour toute un ensemble de règles IaC et en les déployant automatiquement dans un environnement cloud, les entreprises gagnent un temps précieux et évitent les risques liés aux erreurs de configuration manuelle des workloads dans le cloud.

Toutefois, le principal risque de sécurité lié aux fichiers IaC est qu’une configuration non sécurisée dans un modèle IaC soit automatiquement déployée dans votre cloud, à moins que vous ne la détectiez au préalable. C’est pourquoi l’analyse des fichiers IaC est une étape essentielle pour appliquer les règles de gouvernance du cloud et sécuriser l’infrastructure du cloud. En analysant automatiquement les modèles IaC à la recherche de configurations non sécurisées (telles que l’attribution d’autorisations d’accès au mauvais utilisateur ou l’autorisation d’un accès anonyme à des données sensibles) chaque fois que des règles IaC sont créées ou modifiées, les organisations peuvent éviter de nombreuses erreurs qui entraînent des cas de non-respect de la gouvernance du cloud.

Erreurs de configuration du cloud

Si l’analyse IaC peut contribuer à prévenir les cas de non-respect de gouvernance avant leur déploiement, certaines configurations non sécurisées peuvent échapper à vos analyses et entraîner des configurations erronées dans votre environnement cloud en production. Il peut également arriver que vous configuriez certains workloads dans le cloud manuellement plutôt qu’au moyen de modèles IaC, ce qui crée un risque de configurations non sécurisées dues à une erreur humaine.

Les outils de Cloud Security Posture Management, ou CSPM, peuvent vous aider à vous défendre contre cette catégorie de menace. En analysant automatiquement et en permanence vos configurations réelles de cloud sur la base de politiques IAM, de groupes de sécurité réseau et de listes de contrôle d’accès, ainsi que de paramètres de chiffrement des données, les outils CSPM avertissent votre équipe en cas de configurations non sécurisées qui ne respectent pas les politiques de gouvernance ou introduisent des vulnérabilités connues dans votre environnement. Votre équipe peut alors prendre des mesures pour mettre à jour les configurations (et, le cas échéant, modifier les modèles IaC qui ont créé les configurations non sécurisées au départ).

Dans certains cas, les outils CSPM peuvent même corriger automatiquement les erreurs de configurations en mettant eux-mêmes les paramètres à jour. La remédiation automatisée garantit que les cas de non-respect de la gouvernance du cloud sont corrigés dès que possible, sans attendre l’intervention d’ingénieurs humains. 

Visibilité du cloud

La dernière grande ligne de défense contre les risques de sécurité de l’infrastructure cloud est constituée par les outils de visibilité du cloud, qui vous aident à détecter les activités qui révèlent des configurations non sécurisées. L’activité pourrait être le résultat d’une violation réelle, ou il peut simplement s’agir d’un trafic réseau ou de modèles de comportement d’application qui révèlent une configuration non sécurisée qui pourrait ouvrir la voie à une violation ou l’aggraver.

La visibilité du cloud implique une vaste catégorie d’outils capables de collecter et d’analyser de nombreux types de sources de données : journaux d’audit du cloud, journaux réseau, métriques de performance de l’infrastructure… afin de détecter les comportements susceptibles de mettre au jour une violation de la gouvernance. Par exemple, les outils de visibilité du cloud peuvent vous alerter sur le trafic réseau entre deux clouds privés virtuels, ou VPC, qui devraient être isolés l’un de l’autre selon les termes de votre politique de gouvernance du cloud. Ou encore, la visibilité du cloud peut vous aider à identifier les comptes qui créent des workloads dans le cloud qu’ils ne sont pas autorisés à générer en fonction de vos règles de gouvernance du cloud.

Votre objectif principal doit toujours être de prévenir les violations de la gouvernance et les configurations non sécurisées. Cependant, les erreurs sont inévitables. Les solutions de visibilité du cloud vous permettent de détecter les risques réels et d’y répondre efficacement lorsqu’ils se présentent.

Remarque sur la gouvernance et la sécurité multicloud

L’intérêt des politiques de gouvernance du cloud réside en partie dans le fait qu’elles peuvent être appliquées non seulement à un seul cloud, mais aussi à plusieurs. Quels que soient les fournisseurs de services cloud que vous utilisez ou les services spécifiques que vous y exécutez, les règles générales que vous définissez dans le cadre de vos politiques de gouvernance peuvent vous aider à gérer les risques sur l’ensemble de vos actifs basés sur le cloud. C’est un avantage dans un monde où la majorité des entreprises utilise plusieurs fournisseurs cloud à la fois.

Cela étant, la mise en œuvre de la gouvernance du cloud sur plusieurs clouds (ou dans un environnement de cloud hybride) est plus difficile que dans un seul cloud. La principale raison en est que la plupart des services d’IaC, de surveillance et d’audit proposés par les fournisseurs de services cloud ne fonctionnent qu’au sein de leurs clouds respectifs. Vous ne pouvez pas utiliser les outils AWS pour obtenir de la visibilité ou appliquer la gouvernance dans votre réseau Azure ou GCP, par exemple.

Dans le cadre d’une architecture multicloud, vous devrez donc généralement faire appel à des solutions de gouvernance et de visibilité tierces capables d’identifier les risques dans tout type de configuration de cloud. Vous pouvez également utiliser les services de surveillance des fournisseurs cloud pour collecter des données, mais vous finirez par regrouper et analyser ces données à l’aide d’une solution externe qui offre une visibilité centralisée de tout votre environnement.

Faire avancer la gouvernance du cloud

Définir des règles de gouvernance du cloud est une chose. Concevoir une stratégie et déployer un ensemble d’outils capables d’appliquer la gouvernance du cloud à tous vos clouds, et à toutes les étapes du cycle de vie du cloud, en est une autre. Reste qu’il est essentiel de vous lancer dans cette voie pour mettre en place une stratégie efficace de visibilité du cloud et optimiser la sécurité de l’infrastructure du cloud.