Identities: The Connective Tissue for Security in the Cloud

Sur le cloud, l'exposition de presque tous vos assets à cause d'un privilège excessif ou d'une mauvaise configuration ne tient qu'à un fil. Une gestion adéquate de la posture cloud et des droits d'accès permet d'atténuer le risque et d'éliminer les combinaisons toxiques.

Lors de l'implémentation et de la configuration d'une solution de sécurité du cloud, il est facile de se laisser submerger par la multitude de choses à surveiller. Cela inclut les applications web exécutées sur l'infrastructure Kubernetes, telles que les ressources IaaS et de conteneur, ainsi que les identités (humaines et machines) et bien plus encore. Les équipes chargées de la sécurité du cloud doivent gérer l'identité de service de chaque ressource et les scanner pour identifier les vulnérabilités et les mauvaises configurations. Avec autant d'éléments à surveiller, les entreprises recherchent souvent des outils et des solutions ponctuelles pour contrer ces vecteurs de menaces. Nombre d'entre elles ont vu apparaître dans leurs environnements une multitude d'acronymes liés à la sécurité, et tous ces produits disparates ont fait grimper les coûts de configuration et de mise en œuvre. 

Il arrive souvent que les outils génèrent individuellement une multitude de résultats de sécurité avec différents indicateurs de criticité. Par conséquent, même avec des solutions techniquement avancées, les équipes de sécurité doivent encore avoir recours à des feuilles de calcul pour tenter de recouper et prioriser tous ces résultats. 

L'importance des identités sécurisées dans le cloud 

Pour mettre en place une stratégie de sécurité plus efficace, vous devez tout d'abord isoler ce que visent les attaquants lorsqu'ils s'en prennent à votre infrastructure cloud. Depuis peu, il apparaît clairement que presque toutes les intrusions sur le cloud sont dues à des identités et des droits d'accès mal configurés. L'enquête « 2022 Trends in Securing Digital Identities » de l'Identity Defined Security Alliance (IDSA) a révélé que 84 % des entreprises ont subi une violation liée aux identités pendant les 12 mois couverts par l'étude. Pourquoi ?Cela n'est pas seulement dû au fait que les identités sont étroitement mêlées à tout ce que nous exécutons et créons dans le cloud, mais aussi au fait que c'est un problème extrêmement complexe à résoudre. Un nombre incalculable de variables entrent en jeu dans la compréhension des risques associés à la gestion des identités.

Que vous ayez une instance Amazon EC2 publique avec des vulnérabilités exploitables connues ou une infrastructure mal configurée reposant sur des processus manuels ou du code, lorsque les expositions cloud sont exploitées, les attaquants ciblent immédiatement une identité. Ils testent les droits d'accès pour se déplacer latéralement ou élever leurs privilèges afin d'atteindre des données sensibles et d'autres ressources. L'identité constitue le périmètre dans le cloud. Étant donné l'ampleur de son impact, la sécurité des identités et des droits d'accès doit être à la base de tout programme complet de sécurité du cloud. 

Distinguer les identités humaines des identités de services

Lors de la sécurisation des identités, il faut bien comprendre la différence entre les identités humaines et les identités de services, ainsi que les diverses approches pour les sécuriser, afin d'appliquer le principe du moindre privilège. Les identités de services servent les charges de travail et fonctionnent de manière cohérente et prévisible. Pour comprendre le concept des « autorisations effectives », il est important de comparer les autorisations attribuées à celles qui sont réellement utilisées. Puisque les identités de services sont programmées à des fins spécifiques et que les exigences changent rarement, il est possible de leur accorder le minimum d'autorisations nécessaires selon l'activité, ce qui revient à appliquer le principe du moindre privilège. 

En revanche, les identités humaines sont utilisées par de vraies personnes. Cela les rend imprévisibles et empêche de limiter leurs autorisations pour des ressources et actions spécifiques, en particulier en cas de tâche ad hoc. Afin d'adopter une approche « Zero Trust », il est nécessaire de mettre en œuvre un programme d'accès Just-In-Time (JIT). Aucune entreprise ne peut éliminer complètement l'accès au cloud aux utilisateurs humains. Ce n'est tout simplement pas réaliste. Cependant, il est possible de réduire considérablement le risque lié aux identités humaines. Pour cela, il convient de laisser la possibilité à vos équipes DevOps de demander programmatiquement un accès temporaire au cloud pour des tâches spécifiques dans des environnements critiques. Veillez également à ce que ce workflow s'intègre aux outils de communication existants comme Slack, Microsoft Teams ou similaires. 

Les programmes de sécurité qui ne tiennent pas compte de ces différences peuvent engendrer du travail supplémentaire et des conflits entre les équipes DevOps et IT. Pour que l'approche DevSecOps tienne toutes ses promesses, la sécurité doit être intégrée aux workflows avec des capacités d'évolutivité. C'est là que les outils intégrés de gestion des droits d'accès à l'infrastructure cloud (CIEM) et de plateforme de protection des applications cloud natives (CNAPP) entrent en jeu. L'intégration de ces outils vous confère visibilité et contrôle sur l'infrastructure cloud, Kubernetes, les conteneurs, l'Infrastructure as Code (IaC), les identités, les charges de travail et bien plus encore.

Recherchez les atouts suivants dans les solutions de sécurité CNAPP et CIEM intégrées : 

• Visualisation et informations sur les droits d'accès : pour reprendre un vieil adage de la sécurité, vous ne pouvez pas sécuriser ce que vous ne voyez pas. Vous devez donc avant toute chose disposer d'une visibilité multicloud précise sur vos ressources, vos autorisations et leur activité. 
• Évaluation permanente du risque : vous devez continuellement surveiller l'environnement cloud pour détecter et évaluer les facteurs de risque tels que l'exposition du réseau, les mauvaises configurations, les autorisations à risque, les secrets exposés et les menaces liées aux identités, y compris les accès inhabituels aux données.
• Application du principe du moindre privilège : les outils intégrés doivent permettre d'automatiser les garde-fous des autorisations à travers des politiques de moindre privilège.
• Remédiation rationalisée : si vous identifiez un risque, sa remédiation dans l'outil doit être simplifiée. Optimisez d'autant plus votre stratégie de sécurité avec la possibilité d'automatiser ce type d'opération. 
• Contrôle d'accès centré sur les développeurs : rendez la sécurité moins frustrante pour les équipes DevOps en leur donnant les outils nécessaires pour intégrer la sécurité à leurs workflows. 

Combattre la fatigue des alertes grâce au contexte

Les équipes de sécurité consacrent beaucoup de temps au réglage des contrôles et des politiques pour éviter un nombre excessif d'alertes. Mais il existe une meilleure approche : l'intégration d'outils de sécurité de type CNAPP et CIEM dans une seule plateforme capable de fournir un contexte enrichi sur la surface d'attaque. Grâce à des outils de sécurité intégrés, vous pouvez standardiser la notion de criticité et mieux comprendre les chemins d'attaque susceptibles de causer des dégâts dans votre environnement cloud. Par ailleurs, ils simplifient les processus de mises à jour lorsque de nouvelles menaces ou des vulnérabilités Zero Day sont découvertes. 

Par exemple, vous pouvez exécuter 100 charges de travail accessibles publiquement dans un environnement cloud, parmi lesquelles seulement 10 présentent des vulnérabilités critiques et 5 présentent à la fois des vulnérabilités critiques et des privilèges élevés. Ce contexte indique aux équipes de sécurité où concentrer leurs efforts en fonction des plus fortes probabilités d'exploitation. Trop souvent, les équipes de sécurité essaient de traiter les 100 charges de travail publiques, car les solutions ponctuelles ne fournissent pas l'intégration et le contexte lié aux identités requis pour contrer efficacement ces menaces. 

Il est essentiel de disposer de fonctionnalités intégrées pour comprendre réellement le risque et l'exposition. Elles ne sont pas seulement justifiées du point de vue de l'infrastructure ou des vulnérabilités. Elles permettent également d'avoir une vision globale et d'ajuster dynamiquement le score du risque en fonction de ce qui se passe dans votre environnement. 

Pour plus d'informations sur la sécurisation des identités dans le cloud, regardez le webinaire à la demande « Managing Security Posture and Entitlements in the Cloud ».