Sysdig
Learn Cloud Native

Sign up to receive our newsletter

Comprendre la conformité au NIST pour les containers et le cloud

Si vous participez à la gestion ou à la sécurisation d’environnements cloud, le NIST peut vous sembler être un ennemi, mais c’est en réalité un ami.

Le NIST fournit (entre autres informations) des conseils destinés à aider les organisations à sécuriser leurs actifs informatiques. Bien que la conformité au NIST puisse sembler insurmontable, il s’agit en fait d’une ressource qui peut aider les équipes informatiques et les développeurs à déterminer les meilleures pratiques à suivre lors de la conception et de la gestion des environnements natifs dans le cloud.

Il existe un certain nombre de directives et de recommandations du NIST, et les maîtriser toutes demande plus qu’un peu de temps. Cependant, pour vous aider à démarrer, cet article fournit une vue d’ensemble des recommandations de conformité au NIST les plus importantes concernant le cloud et les containers, et il présente les meilleures pratiques à suivre afin d’atteindre la conformité NIST dans les paramètres natifs du cloud.

Qu’est-ce que le NIST ?

Le NIST est le National Institute of Standards and Technology, une agence fédérale américaine chargée d’élaborer des normes et des bonnes pratiques que les entreprises doivent suivre. Le NIST ne se concentre pas spécifiquement sur la cybersécurité et la conformité, mais l’un de ses nombreux domaines comprend la sécurisation des systèmes informatiques.

Qu’est-ce que la conformité au NIST ?

La conformité au NIST désigne la conformité à une ou plusieurs des directives ou recommandations du NIST.

La conformité au NIST est un sujet compliqué car le NIST gère une bibliothèque volumineuse de publications. Pour les équipes et les développeurs informatiques modernes, les publications les plus importantes du NIST comprennent toutefois les groupes suivants :

  • NIST SP 800, qui fournit des lignes directrices pour atteindre les objectifs de sécurité informatique. Certaines publications du NIST SP 800 se concentrent sur des types de systèmes spécifiques, notamment le cloud et les containers, tandis que d’autres abordent des sujets de sécurité informatique en général.
  • NIST SP 1800, qui comprend les meilleures pratiques en matière de sécurité informatique. Comme le SP 800, certaines publications du SP 1800 traitent de types de systèmes spécifiques, tandis que d’autres traitent des exigences de sécurité en général. Actuellement, aucune publication du SP 1800 ne traite en profondeur le cloud ou les containers, bien que certaines se concentrent sur des sujets connexes qui intéresseront les équipes qui gèrent des environnements cloud ou des containers.

Qui doit se conformer au NIST ?

Contrairement à d’autres dispositifs législatifs de conformité élaborés par les gouvernements, tels que le GDPR et l’HIPAA, les lignes directrices du NIST sont non réglementaires. Cela signifie qu’il n’existe aucune obligation légale spécifique pour les entreprises en général de se conformer au NIST, et que le NIST lui-même ne pénalise pas les organisations en cas de non-conformité au NIST.

Toutefois, certaines organisations, telles que diverses agences gouvernementales fédérales, peuvent exiger de leurs fournisseurs ou partenaires qu’ils se conforment à certaines recommandations du NIST. Ainsi, bien qu’il n’existe aucune obligation légale de se conformer aux règles du NIST, certaines organisations doivent le faire en vertu des accords commerciaux qu’elles concluent avec des agences gouvernementales ou d’autres organisations qui utilisent les lignes directrices du NIST pour réglementer la manière dont leurs partenaires et fournisseurs gèrent la sécurité informatique.

De manière plus générale, suivre les conseils de sécurité du NIST est une bonne pratique, même si votre organisation n’est pas spécifiquement tenue de le faire. Les lignes directrices du NIST sont conçues pour fournir des recommandations simples et applicables que les organisations peuvent suivre pour atténuer les risques de cybersécurité. Suivre les recommandations de conformité au NIST vous aide à établir une posture solide de la sécurité cloud et à identifier les risques de sécurité que vous pourriez autrement sous-estimer.

Il convient également de noter que, par rapport à de nombreux autres dispositifs législatifs de conformité, les recommandations du NIST ont tendance à être relativement claires et détaillées. En effet, le NIST formule des recommandations techniques très précises sur ce que les équipes informatiques et les développeurs doivent et ne doivent pas faire dans des types d’environnements spécifiques. C’est une bonne chose, car cela élimine une grande partie de l’ambiguïté à laquelle les équipes techniques sont confrontées lorsqu’elles interprètent des lois de conformité telles que la loi HIPAA, qui se concentre sur des exigences de haut niveau et offre très peu de recommandations techniques spécifiques.

Conformité NIST pour les containers et le cloud

Maintenant que vous savez comment fonctionne la conformité NIST en général, examinons les recommandations les plus importantes du NIST pour la sécurité du cloud et des containers. Nous allons les décomposer en fonction des publications spécifiques du NIST.

Conformité NIST SP 800-53

SP 800-53 est l’un des plus larges ensembles de recommandations du NIST que les organisations sont invitées à suivre pour sécuriser les environnements informatiques de tous types. Il définit des dizaines de contrôles de sécurité que les organisations peuvent mettre en œuvre pour atténuer le risque d’accès non autorisé aux ressources sensibles du cloud et pour rationaliser les mesures correctives en cas de violation.

Par exemple, la norme recommande de stocker au moins une copie des données de sauvegarde dans un lieu hors site pour permettre une récupération fiable en cas d’atteinte au site principal. Le texte recommande également des pratiques telles que le contrôle d’accès par le moindre privilège.

La version la plus récente du NIST SP 800-53, connue sous le nom de SP-800-53 Revision 5, a été introduite en septembre 2020. Elle a ajouté un certain nombre de nouvelles recommandations, notamment celles relatives à la sécurité de la chaîne d’approvisionnement, c’est-à-dire la gestion des risques de sécurité informatique qui trouvent leur origine dans les systèmes des éditeurs, des partenaires ou des fournisseurs. La révision 5 propose également des recommandations actualisées en matière de cyber-résilience, de gouvernance et de responsabilité, basées sur l’analyse des menaces de sécurité modernes par le NIST. Découvrez comment respecter les directives NIST 800-53 pour le cloud et les containers.

Conformité NIST SP 800-210

Le SP 800-210, qui a été publié en 2020, fournit des orientations en matière de contrôle d’accès adaptées spécifiquement aux environnements cloud. Il aborde chaque couche des environnements cloud standard : réseau, hyperviseurs, machines virtuelles, APIs et IaaS. Il aborde également des sujets tels que le contrôle d’accès aux applications SaaS.

La norme SP 800-210 ne se concentre pas autant sur des sujets tels que la sécurité hybride ou multicloud, ce qui est une limite étant donné que la plupart des organisations ont aujourd’hui adopté l’une (ou les deux) de ces architectures. Néanmoins, si vous recherchez des conseils en matière de conformité NIST spécifiques au cloud, le SP 800-210 est une lecture incontournable.

Conformité NIST SP 800-190

Introduite en 2017, la norme SP 800-190 fournit des conseils pour sécuriser les applications en containers et les environnements dans lesquels elles s’exécutent.

La norme SP 800-190 décompose les risques liés à la sécurité des containers en se basant principalement sur l’architecture des environnements en containers : elle traite des risques liés à l’infrastructure hôte, aux orchestrateurs, aux environnements d’exécution et aux containers individuels. Elle examine également comment les contrôles de sécurité basés sur le matériel peuvent répondre aux risques de sécurité.

Étant donné que la norme SP 800-190 a maintenant quatre ans (et qu’elle a été introduite juste avant qu’il soit clair que Kubernetes deviendrait l’outil d’orchestration de containers prédominant), elle ne traite pas des risques de sécurité spécifiques à Kubernetes de manière aussi approfondie que les ingénieurs informatiques ou les développeurs d’aujourd’hui pourraient le souhaiter. Pour des conseils spécifiques à Kubernetes, vous devrez aller plus loin que le NIST. Il n’en demeure pas moins qu’il s’agit d’une base de référence très utile pour assurer la conformité aux meilleures pratiques standard en matière de sécurité des containers.

Conclusion

Encore une fois, il existe des centaines d’autres publications du NIST qui traitent de la cybersécurité. En fonction des types de workloads que vous exécutez dans le cloud ou via des containers, vous pouvez consulter des orientations supplémentaires du NIST consacrées à des sujets tels que l’informatique mobile ou l’IdO.

Bien entendu, vous devrez également veiller à compléter les directives du NIST par les dernières directives et meilleures pratiques en matière de sécurité. L’un des inconvénients de l’approche du NIST en matière de publication de conseils est que ses publications ne sont pas mises à jour en permanence, ce qui signifie qu’elles ne traitent pas toujours des nouveaux types de menaces. Elles ne se concentrent pas non plus sur les technologies (comme Kubernetes) qui n’étaient pas aussi répandues au moment de la rédaction de ces conseils.

Néanmoins, le NIST reste une ressource essentielle pour déterminer les meilleures pratiques spécifiques à suivre pour sécuriser les environnements modernes et natifs du cloud. Même si vous n’êtes pas contractuellement tenu de respecter les directives du NIST, il est très judicieux de vous y conformer.