5 principes fondamentaux pour la sécurité des clouds hybrides 

Comment mettre en œuvre une stratégie de sécurité du cloud hybride qui soit à la fois efficace, évolutive et abordable.

Le « Cloud sprawl » est devenu une réalité quotidienne à laquelle sont confrontées la plupart des entreprises. En déplaçant leurs charges de travail des data centers sur site vers de multiples plateformes de cloud public, les frontières sensées protéger leur périmètre de défense traditionnel se sont peu à peu brouillées et dissoutes, engendrant une prolifération incontrôlée d'instances, de services et de fournisseurs de cloud associée à des problèmes de sécurité épineux. 

Pour protéger cet environnement poreux de cloud hybride, vous devez déplacer les contrôles de sécurité là où ils sont indispensables, les appliquer à l'aide de nouveaux outils et les agréger autour de cinq principes de base : une gestion des accès unifiée, l'automatisation, une approche « Shift-Left », la sécurité des données et un modèle Zero Trust ».

Dans ce blog, nous allons résumer et expliquer comment adopter ces cinq principes, que nous avions développés lors du webinaire 5 Must-Haves for Hybrid Cloud Security.

Principe numéro 1 : Créer une stratégie de gestion des accès unifiée

Dans le cloud computing, le périmètre traditionnel est déplacé en-dehors du data center de l'entreprise, de sorte que l'identité remplace les réseaux en tant que frontière de confiance principale. Dans cette optique, une stratégie de gestion des identités et des accès (IAM) unifiée est essentielle pour sécuriser le cloud. Pour y parvenir vous devez veiller à :

• Adopter une stratégie de gestion des identités unifiée pour vous assurer que des identités cloud n'existent pas dans des annuaires ou des systèmes d'authentification séparés.
• Appliquer une authentification multifactorielle (MFA) pour tous les accès, ou au minimum, pour les comptes avec privilèges.
• Utiliser des outils automatisés pour surveiller les comptes cloud contre des accès inhabituels et appliquer le principe du moindre privilège.

Il est essentiel de s'assurer que vos comptes cloud sont suivis par votre système IAM central et d'utiliser des outils automatisés qui puissent garantir un scan permanent des accès non autorisés aux comptes cloud. Une authentification de base étant insuffisante pour les comptes utilisateur accessibles depuis l'extérieur, il est donc essentiel d'insister pour obtenir une authentification multifactorielle pour tous les accès au cloud public. Il est impératif d'avoir recours à une MFA au moins pour les comptes avec privilèges.

Principe numéro 2 : Automatiser la configuration et la validation dans tous les clouds

« L'écrasante majorité des incidents de sécurité dans le cloud sont dus à des erreurs involontaires commises par les clients, plutôt qu'à des attaques malveillantes. »

Au cours de mes nombreuses années en tant qu’analyste et conseiller aux entreprises, je me suis rendu compte que l’écrasante majorité des incidents de sécurité du cloud étaient dus aux erreurs ou mauvaises configurations des clients, bien plus que d'attaquants malveillants. Dans le monde cloud, parvenir à une configuration du cloud correcte est aussi important que d'écrire du code sécurisé. Voici les principales recommandations pour réduire les mauvaises configurations :

• Utiliser au minimum la CSPM pour garantir une configuration sécurisée dans tous les environnements
• Avoir recours à une plateforme de sécurité unifiée pour collecter des données dans tous les environnements, tels que la plateforme de gestion de l'exposition Tenable One

L'automatisation de la sécurité du cloud est devenue l'une des stratégies de sécurité moderne les plus importantes. Elle permet aux entreprises de réduire l'effort manuel requis pour gérer leurs environnements cloud, tout en améliorant leur posture de sécurité et possibilité d'évoluer.

C'est pourquoi nous assistons à une adoption et à une évolution constantes des outils CSPM automatisés de gestion de la posture de sécurité dans le cloud tels que Tenable Cloud Security. Les solutions CSPM (Cloud Security Posture Management) ne servent non seulement à valider les configurations de runtime dans le cloud, mais ont évolué pour scanner les référentiels de code IaC et rechercher des problèmes de gestion des identités et des accès, tels que les comptes et rôles dotés de privilèges excessifs.

Principe numéro 3 : Adopter le DevSecOps et les contrôles Shift-Left 

« La sécurité du cloud ne devrait en aucun cas être une entité distincte dotée de ses propres outils et process. Les équipes doivent se réunir sous une même stratégie et utiliser les outils qui leur permettront de communiquer dans la même langue. »

Les équipes et développeurs en sécurité ne parlent pas la même langue. Lorsque les développeurs réfléchissent à la sécurité du cloud, ils pensent en termes de contrôles techniques, de produits open-source tels que Terraform d'Hashicorp et de fonctions géniales capables d'exécuter leurs applications cloud-native sur des conteneurs ou Kubernetes. Lorsque les équipes de sécurité pensent en termes de contrôles, elles souhaitent se renseigner sur le risque, à la fois qualitatif et quantitatif. Elles veulent comprendre quels contrôles sont en place, comment ils sont surveillés et comment les valider. 

Pour toutes ces raisons, il n'est pas conseillé d'autoriser les équipes cloud à concevoir les contrôles de sécurité. Il incombe aux équipes de sécurité d'adopter les pratiques DevSecOps et de s'assurer que les contrôles sont implémentés aussi tôt que possible dans le pipeline de développement. La sécurité du cloud ne devrait pas constituer une entité distincte avec ses propres outils et process. Les équipes doivent être unifiées sous une stratégie unique et utiliser les outils qui leur permettent de parler la même langue entre équipes. Pour adopter une approche « Shift-Left », vous devez :

• Scanner votre infrastructure à la recherche de mauvaises configurations dans le pipeline de développement à l'aide d'outils IaC (Infrastructure-as-Code), tels que Terrascan
• Standardiser vos images de base et les scanner dans un environnement de développement isolé
• Adopter une approche Shift-Left de sorte à évoluer vers plusieurs cloud en réduisant les contrôles et en les appliquant avant le déploiement sur des plateformes de cloud public.

La consolidation des outils, un aspect à ne pas négliger

Il est important d'utiliser aussi peu d'outils que possible pour vous donner une mesure précise de l'exposition au risque et normaliser les facteurs de risque sur plusieurs environnements sur site et cloud publics. S'agissant de cloud public, l'on a assisté à une prolifération de nouveaux fournisseurs sur le marché, occupés à combler les lacunes des contrôles à l'aide de techniques innovantes tandis que les acteurs majeurs choisissaient de suivre une approche plus mesurée. Par chance, ce n'est plus le cas. Des solutions comme Tenable One sont capables de protéger des charges de travail sur site et dans le cloud public pour vous offrir une plateforme de sécurité cloud hybride cohérente.

Principe numéro 4 : Renforcer la sécurité des données

Les entreprises doivent sécuriser les données du cloud en chiffrant toutes les données en transit. Au minimum, vous devez configurer le système natif de gestion des clés du fournisseur de services cloud (CSP) pour utiliser une clé principale contrôlée par le client. Dans l'idéal, il est recommandé d'émettre vos propres clés de chiffrement principales et de les conserver sur site dans un module de sécurité matériel (HSM) ou d'utiliser un tel module virtuel dans un environnement de cloud public.

Voici une liste des meilleures pratiques concernant la gestion des clés pour une sécurité de cloud public :

• Chiffrer toutes les données en transit, tout en contrôlant les clés de chiffrement
• S'intégrer aux systèmes de gestion des clés des fournisseurs cloud
• Utiliser dans l'idéal votre propre module HSM et conserver les clés sur site ou sur une plateforme cloud alternative

Principe numéro 5 : Adopter l'approche Zéro confiance pour unifier les stratégies

« Zero Trust », ou zéro confiance, est certes un terme galvaudé, mais dans notre cas, il signifie une confiance zéro implicite doublée d'une visibilité totale sur tous les comportements de post-authentification aux entités utilisateurs et tout au long du cycle de chaque session. Il s'agit là d'une exigence clé pour le cloud, mais le principe de la confiance zéro doit être également introduit dans les environnements de cloud privés.

Pour profiter pleinement des avantages du Zero Trust :

• Adoptez les principes de la stratégie zéro confiance sur les environnements cloud publics et privés chaque fois que cela est possible.
• Renoncez aux réseaux approuvés et à l'idée de « confiance implicite »
• Les principes de stratégie cloud-native et zéro confiance peuvent devenir une force vive pour transformer la sécurité, en sécurisant vos applications dans les environnements cloud hybrides

Conclusion

Une sécurité du cloud hybride réussie passe par une approche unifiée. L'IT bimodale a laissé une dette technique et des angles morts de sécurité sur les charges de travail dans le cloud public. Les responsables sécurité doivent éliminer les problèmes de sécurité avant tout déploiement vers une infrastructure partagée en appliquant des normes robustes à travers le pipeline de développement et dans les environnements de cloud privés et publics.

Dans nos efforts continus d'adoption du cloud public, il est essentiel de faire évoluer notre stratégie de sécurité en adoptant les meilleures techniques issues d'opérations éprouvées et de les combiner aux meilleures pratiques de sécurité issues des technologies cloud. Il est également vital de consolider les outils traditionnellement cloisonnés qui entraînent trop de contrôles, finissent par vous ralentir et font ressortir des lacunes issues d'un manque de couverture cloud unifiée.

Même si l'interaction avec les équipes technologiques peut sembler complexe, les responsables sécurité ont pour mission d'adopter la transition vers des principes basés sur une stratégie cloud-native et zéro confiance. En vous basant sur ces cinq principes, vous êtes assuré que vos applications cloud hybrides seront mieux sécurisées et plus simples à gérer que celles de votre data center sur site.

Si vous souhaitez obtenir plus d'informations sur les cinq principes clés recommandés ici, nous vous invitons à consulter le webinaire à la demande intitulé 5 Must-Haves for Hybrid Cloud Security. Vous pouvez également en savoir plus sur Tenable Cloud Security et vous inscrire pour un essai gratuit dès aujourd'hui.

(Notre auteur invité Tom Croll de Lionfish Tech Advisors est consultant pour Tenable.)