Surveillance et gestion de la sécurité du cloud : Aperçu concis
Il n’est pas nécessaire d’être un expert en cybersécurité pour comprendre que la surveillance et la gestion de la sécurité du cloud sont importantes. À l’ère des failles de sécurité récurrentes que connaît le cloud, même les services informatiques les moins modernes ont conscience du rôle crucial que jouent la surveillance et la gestion dans la sécurisation des environnements cloud dont dépendent les entreprises.
Pourtant, la difficulté pour de nombreuses équipes est de comprendre en quoi consiste la surveillance et la gestion de la sécurité du cloud. Pour assurer la surveillance de la sécurité de votre cloud, il ne suffit pas d’activer un service et d’attendre. Il ne suffit pas non plus de déployer un outil ou d’engager des experts pour gérer la sécurité du cloud.
Bien au contraire, la surveillance et la gestion de la sécurité du cloud sont des processus qui revêtent de multiples facettes et qui prennent des formes différentes selon les organisations. Vous devez les adapter à l’architecture et aux workloads uniques de votre cloud.
La manière la plus efficace d’aborder la question de la surveillance et de la gestion de la sécurité dans le cloud consiste peut-être à scinder les processus en fonction des différents types de workloads et de processus qui les composent. C’est ce que fait cet article en passant en revue les concepts et ressources clés qui constituent la base de la sécurité native du cloud. Il explique également les bonnes pratiques à suivre pour chacun de ces points.
Gestion IAM
La plupart des environnements cloud utilisent des composants de gestion des identités et des accès (ou IAM, Identity and Access Management) pour gérer le contrôle des accès et les autorisations pour les workloads dans le cloud. En créant des rôles et des politiques IAM, les organisations peuvent définir qui doit pouvoir faire quoi dans leurs environnements cloud. En d’autres termes, la gestion IAM régit qui peut créer une machine virtuelle, qui peut accéder aux données stockées dans un compte de stockage objet, et ainsi de suite.
En raison du rôle central que joue la gestion IAM dans le contrôle de l’accès au cloud, l’analyse des configurations IAM pour détecter d’éventuelles vulnérabilités est l’une des étapes essentielles de la surveillance et de la gestion globales du cloud. Votre équipe peut, par mégarde, créer une politique IAM qui rend un compte de stockage accessible aux utilisateurs anonymes, par exemple, ou qui donne à une personne le droit de créer des machines virtuelles alors qu’elle devrait uniquement pouvoir visualiser les VM déjà existantes.
En utilisant des outils Cloud Security Posture Management (ou CSPM), les organisations peuvent analyser automatiquement les configurations IAM pour rechercher des vulnérabilités comme celles évoquées, puis alerter les administrateurs des paramètres non sécurisés afin qu’ils puissent y remédier avant qu’une violation ne se produise.
Configurations réseau
Les environnements cloud reposent généralement sur des configurations réseau complexes qui définissent dans quelle mesure les workloads peuvent communiquer avec d’autres workloads. Les configurations réseau définissent également les ressources cloud qui sont accessibles depuis Internet et celles qui ne sont visibles que par des utilisateurs authentifiés qui se connectent à l’environnement cloud.
Comme pour les politiques IAM, lors de la configuration des réseaux cloud, il est facile de commettre des erreurs qui pourraient engendrer ou accentuer un problème de sécurité. Par exemple, vous pourriez activer la connectivité entre des clouds privés virtuels (ou VPC), permettant ainsi, la communication entre des applications qui devraient normalement être isolées. Vous pourriez également configurer une VM cloud de façon à ce qu’elle exécute un service en utilisant un port par défaut, ce qui permettrait ainsi à des personnes mal intentionnées de trouver et d’exploiter plus facilement des vulnérabilités liées à ce service.
L’analyse automatique et continue des configurations réseau vous aide à détecter ces risques et à mettre en place des solutions pour éviter que des violations liées à ces risques ne se produisent.
Surveillance du trafic réseau
Outre l’analyse des configurations réseau, vous devez également analyser le trafic de votre réseau cloud pour détecter les signes d’une éventuelle activité malveillante. Les journaux réseau peuvent révéler des actions malveillantes telles que des analyses de ports. Ils peuvent également faire apparaître des communications entre des workloads que vous aviez l’intention d’isoler, mais qui peuvent tout de même communiquer en raison d’un problème de configuration.
Journalisation d’audit du cloud
La plupart des fournisseurs de cloud proposent des solutions permettant de créer des journaux d’audit. Les journaux d’audit enregistrent systématiquement les modifications apportées à votre environnement cloud, comme la création de nouvelles ressources ou la modification d’une configuration. Ces journaux enregistrent également qui a effectué les modifications.
En surveillant ces données, vous pouvez détecter des schémas qui pourraient être les signes d’une violation ou d’une tentative de violation, comme la création de workloads non autorisés ou la modification de politiques IAM.
Comme les services de journalisation d’audit cloud natifs des fournisseurs de cloud ne fonctionnent généralement qu’au sein de leurs clouds respectifs et uniquement avec des comptes d’utilisateurs individuels, vous devez centraliser et consolider les journaux d’audit de tous vos environnements et comptes cloud pour surveiller les données des journaux d’audit de manière aussi efficace que possible.
Surveillance des performances du cloud
Outre la journalisation des audits, les fournisseurs de cloud vous permettent d’enregistrer et de surveiller toute une variété d’autres métriques liées à vos workloads. Les métriques exactes varient d’un type de service cloud à un autre, mais elles offrent toutes une visibilité sur l’état et la santé du service.
Bien que ces données aient pour principal objectif d’aider les équipes à gérer les performances du cloud, elles jouent également un rôle dans la gestion de la sécurité du cloud en permettant aussi d’identifier d’éventuelles anomalies qui pourraient refléter des problèmes de sécurité. Par exemple, un pic soudain de consommation de ressources par une application (ou par l’infrastructure cloud hébergeant cette application) dont l’explication ne peut être une augmentation de la demande légitime, pourrait être en réalité le signe d’une attaque DDoS ou d’une infection par un logiciel malveillant qui effectue des activités gourmandes en ressources, comme le minage de crypto monnaies.
Ce qui est important ici est que si vous utilisez déjà les données de surveillance des performances du cloud pour assurer la fiabilité et l’efficacité de vos workloads dans le cloud, vous devriez également prendre en compte ces données pour la surveillance et la gestion de la sécurité du cloud.
Sécurisation des conteneurs dans le cloud
Bien que chaque type de service cloud présente ses propres défis en matière de sécurité, aucune catégorie de workloads dans le cloud n’est aussi complexe du point de vue de la sécurité que les conteneurs. Les conteneurs constituent un écosystème à part entière, ce qui oblige les équipes à gérer toute une série de risques de sécurité liés aux conteneurs. Vous devez analyser les images des conteneurs pour détecter les logiciels malveillants et les vulnérabilités. Vous devez sécuriser votre système d’orchestration de conteneurs en déployant des configurations sécurisées. Il est nécessaire de surveiller l’environnement d’exécution de conteneurs pour détecter les signes d’une violation active.
Les spécificités de la sécurité des conteneurs varient en fonction du type de service de conteneurs cloud que vous utilisez. La sécurisation de Kubernetes est différente de la sécurisation d’un service de conteneurs comme AWS ECS, par exemple. Cependant, quelle que soit la configuration que vous avez choisie, le plus important est de considérer la sécurité des conteneurs comme un défi à part entière et de déployer des outils spécialement conçus pour détecter les menaces liées à la sécurité des conteneurs et y remédier.
Surveillance du stockage cloud
Les menaces en matière de sécurité qui pèsent sur les données que vous stockez dans le cloud (que ce soit dans une base de données, un compte de stockage, un volume de stockage ou ailleurs) peuvent être gérées par la plupart des méthodes de surveillance de la sécurité cloud déjà abordées précédemment, comme l’analyse IAM et la journalisation des audits.
Cependant, un autre type de problème de sécurité que vous devez gérer lorsque vous utilisez un stockage cloud est la présence potentielle de données sensibles dans des endroits où elles ne devraient pas être. Par exemple, les informations d’identification personnelle (ou PII) qui sont stockées dans le cloud peuvent être soumises à certaines contraintes de sécurité imposées par des cadres réglementaires, comme GDPR ou CPRA. Bien que ces régulations ne vous interdisent pas de stocker des données sensibles dans le cloud, celles-ci vous obligent cependant à mettre en œuvre certains types de protections en matière de confidentialité et de sécurité.
C’est la raison pour laquelle il est important de « connaître vos données » en évaluant le contenu réel des informations que vous stockez dans le cloud. Les fournisseurs de cloud proposent certains services (comme AWS Macie) qui sont conçus pour identifier les données sensibles dans le stockage cloud. Cependant, vous pouvez bénéficier d’une visibilité encore plus importante en déployant des outils tiers capables d’analyser le stockage à travers plusieurs clouds.
Sécurité multicloud et cloud hybride
Dans ce contexte, il est important d’admettre que la grande majorité des entreprises utilisent aujourd’hui plusieurs clouds en même temps et/ou une architecture hybride qui combine des ressources de cloud public avec celles hébergées sur site ou dans un centre de données privé.
Ces configurations imposent une stratégie de surveillance et de gestion de la sécurité du cloud qui puisse fonctionner de manière efficace et ce, quel que soit le type d’environnement. En général, cela implique l’utilisation d’outils qui ne dépendent pas d’un cloud spécifique. Les outils de surveillance et de gestion de la sécurité doivent également pouvoir ingérer et analyser des données structurées de plusieurs façons. En effet, différents clouds peuvent produire différents types de fichiers journaux et différentes métriques.
Élaborer votre propre stratégie de surveillance du cloud
Chaque stratégie de surveillance et de gestion de la sécurité du cloud est unique, car elle doit être adaptée aux workloads et aux configurations spécifiques qu’elle protège. Néanmoins, toutes les opérations de sécurité natives du cloud reposent sur un ensemble commun de sources de données et de pratiques en matière d’analyse pour éviter les menaces, les identifier et y répondre. De l’analyse IAM et des configurations réseau à la surveillance des données réseau et de performance du cloud, en passant par la sécurisation des données sensibles de stockage du cloud et au-delà, la gestion de la sécurité du cloud nécessite une approche à plusieurs niveaux, afin d’identifier et de gérer les nombreux types de risques de sécurité qui peuvent survenir dans les environnements cloud.