La sécurité des applications cloud consiste à protéger les applications logicielles basées dans le cloud tout au long du cycle de vie du développement. Elle couvre les stratégies, les outils, les technologies et les règles au niveau des applications afin d’offrir une visibilité sur l’ensemble des ressources cloud, de protéger les applications cloud contre les cyberattaques et de limiter l’accès aux seuls utilisateurs autorisés.
La sécurité des applications cloud est particulièrement importante pour les entreprises évoluant dans un environnement multicloud hébergé par un fournisseur cloud tiers tel qu’Amazon, Microsoft ou Google, ainsi que celles utilisant des applications web de collaboration, telles que Slack, Microsoft Teams ou Box. Ces services ou applications, qui sont de nature à transformer l’entreprise et son personnel, augmentent considérablement la surface d’attaque et offrent ainsi de nombreux points d’accès permettant aux cyberadversaires d’infiltrer le réseau et de mener des attaques.
Pourquoi les entreprises ont-elles besoin de protéger leurs applications cloud ?
Ces dernières années, de nombreuses entreprises ont adopté un processus de développement logiciel agile appelé DevOps. Cette approche allie développement logiciel traditionnel et opérations informatiques pour accélérer le cycle de vie du développement et distribuer rapidement de nouvelles applications logicielles.
Malheureusement, les mesures de sécurité traditionnelles du réseau, des applications et de l’infrastructure ne protègent généralement pas les applications cloud, ce qui les rend vulnérables à de nombreuses attaques pendant leur développement.
Les entreprises qui s’appuient sur le cloud, en particulier dans le cadre de leur processus de développement logiciel, doivent désormais concevoir et implémenter une solution de sécurité du cloud complète pour se protéger contre un éventail toujours plus large de menaces et des attaques de plus en plus sophistiquées visant l’environnement cloud – y compris celles qui ciblent la couche applicative.
Cadre de sécurité des applications cloud
Le cadre de sécurité des applications cloud comprend trois composants principaux :
- Une solution de gestion du niveau de sécurité du cloud (CSPM), qui se concentre sur les erreurs de configuration, la conformité et la gouvernance, ainsi que sur la protection du plan de contrôle
- Une plateforme de protection des workloads cloud (CWPP), qui supervise la protection à l’exécution et la gestion continue des vulnérabilités des conteneurs cloud
- Une solution CASB (Cloud Access Security Broker), conçue pour améliorer la visibilité sur les endpoints, notamment l’identité des personnes qui accèdent aux données et les modalités d’utilisation de celles-ci
Ensemble, les solutions CSPM, CWPP et CASB constituent le nec plus ultra en matière de protection des données et d’accès au cloud. Il est dès lors recommandé aux entreprises de déployer ces trois solutions de protection pour optimiser leur infrastructure de sécurité du cloud.
Analyse détaillée des solutions CSPM, CWPP et CASB
Gestion du niveau de sécurité du cloud (CSPM)
La gestion du niveau de sécurité du cloud (CSPM) automatise l’identification et la correction des risques dans les infrastructures cloud, y compris les environnements IaaS (Infrastructure-as-a-Service), SaaS (Software-as-a-Service) et PaaS (Platform-as-a-Service).
Une solution CSPM remplit de nombreuses fonctions : visualisation et évaluation des risques, réponse à incident, surveillance de la conformité et intégration du DevOps. Elle permet en outre d’appliquer systématiquement les bonnes pratiques de sécurité du cloud aux environnements hybrides, multicloud et de conteneurs.
Les solutions CSPM proposent une surveillance continue de la conformité, préviennent les écarts de configuration et mènent des investigations SOC (Security Operations Center). Les solutions CSPM ne se contentent pas de surveiller l’état actuel de l’infrastructure, elles créent également des règles qui définissent l’état recherché de l’infrastructure, puis vérifient que toutes les activités réseau respectent ces règles.
Une solution CSPM est spécialement conçue pour les environnements cloud et évalue tout cet environnement, pas simplement les workloads. Elle intègre également des fonctions d’automatisation et d’intelligence artificielle sophistiquées, de même qu’une correction guidée. De cette façon, les utilisateurs sont non seulement informés du problème, mais aussi des solutions possibles pour y remédier.
Certaines entreprises peuvent également adopter une solution CISPA (évaluation du niveau de sécurité des infrastructures cloud), qui est une solution CSPM de première génération. Ce type de solutions se concentrait essentiellement sur la production de rapports, tandis qu’une solution CSPM inclut l’automatisation à de multiples niveaux, de l’exécution de tâches simples à l’usage avancé de l’intelligence artificielle.
Plateforme de protection des workloads cloud (CWPP)
Une plateforme de protection des workloads cloud (CWPP) protège les workloads de tous types, indépendamment de leur emplacement, en offrant une protection unifiée des workloads cloud hébergés par divers fournisseurs. Elle repose sur diverses technologies — gestion des vulnérabilités, protection antimalware et sécurité des applications — qui ont été adaptées aux besoins des infrastructures modernes.
Solution CASB (Cloud Access Security Broker)
Les solutions CASB constituent des points de mise en œuvre de la sécurité, placés entre les fournisseurs de services cloud et leurs clients. Elles vérifient que le trafic est conforme aux règles avant de l’autoriser à accéder au réseau. Les solutions CASB proposent généralement des fonctions telles qu’un pare-feu, l’authentification, la détection des logiciels malveillants et la prévention des fuites de données.
Menaces pour la sécurité des applications cloud
Les applications cloud sont vulnérables à un large éventail de menaces pouvant exploiter des erreurs de configuration système, des mesures de gestion des identités peu efficaces, des API non sécurisées ou des logiciels non corrigés. Voici quelques-unes des menaces les plus courantes que les entreprises doivent prendre en compte lors du développement de leur stratégie et de leur solution de sécurité des applications cloud.
Erreurs de configuration
Les erreurs de configuration constituent la menace la plus sérieuse pour la sécurité du cloud et des applications. Il peut s’agir de compartiments S3 mal configurés, de ports laissés ouverts au public ou de l’utilisation de comptes ou d’API non sécurisés. Ces erreurs font des workloads cloud des cibles de choix faciles à identifier à l’aide d’un simple robot d’indexation. Dans le cloud, une sécurité périmétrique défaillante peut avoir de lourdes conséquences financières. De nombreuses compromissions signalées trouvent leur origine dans des compartiments S3 mal configurés utilisés comme point d’entrée.
Comme de nombreux outils de sécurité des applications nécessitent une configuration manuelle, ce processus est sujet aux erreurs et est long à configurer et à mettre à jour. C’est pourquoi les entreprises doivent adopter des outils et des technologies de sécurité et automatiser le processus de configuration.
API non sécurisées
Les API sont souvent les seules ressources de l’entreprise à disposer d’une adresse IP publique, ce qui en fait des cibles de choix pour les cyberattaquants, en particulier si elles ne sont pas sécurisées en raison de la faiblesse des contrôles d’accès ou des méthodes de chiffrement.
Visibilité et détection des menaces insuffisantes
La migration vers le cloud est un phénomène relativement récent pour de nombreuses entreprises. Dès lors, certaines ne disposent pas d’une infrastructure de sécurité suffisamment mature pour opérer en toute sécurité dans un environnement multicloud.
Par exemple, certains systèmes d’évaluation des vulnérabilités n’analysent pas toutes les ressources, comme les conteneurs présents dans un cluster dynamique. D’autres sont incapables de distinguer les risques réels des opérations habituelles, avec pour conséquence la génération de nombreuses fausses alertes que l’équipe informatique doit ensuite examiner.
Il est donc essentiel que les entreprises développent les outils, technologies et systèmes nécessaires à l’inventaire et à la surveillance de l’ensemble des applications, workloads et autres ressources cloud. Elles doivent également éliminer toutes les ressources inutiles pour leurs activités afin de limiter la surface d’attaque.
Mauvaise compréhension du « modèle de responsabilité partagée » (ou menaces pour les performances d’exécution)
Les réseaux cloud adoptent souvent ce qu’on appelle le « modèle de responsabilité partagée », ce qui signifie qu’une grande partie de l’infrastructure sous-jacente est sécurisée par le fournisseur de services cloud. L’entreprise est quant à elle responsable de tout le reste, notamment du système d’exploitation, des applications et des données. Malheureusement, ce point peut être mal compris et amener certains à penser que les workloads cloud sont totalement protégés par le fournisseur de services cloud. Les utilisateurs exécutent alors sans le savoir dans un cloud public des workloads qui ne sont pas entièrement protégés, permettant ainsi aux cyberadversaires de cibler le système d’exploitation et les applications pour s’introduire. Même les workloads sécurisés peuvent devenir une cible lors de leur exécution, étant donné leur vulnérabilité aux exploits zero day.
Shadow IT
Le Shadow IT, qui couvre les applications et l’infrastructure gérées et utilisées à l’insu du service informatique de l’entreprise, est un autre problème majeur au sein des environnements cloud. Le DevOps contribue également à ce problème dans la mesure où le blocage de l’entrée et de l’utilisation d’une ressource dans le cloud, qu’il s’agisse d’un workload ou d’un conteneur, est extrêmement faible. Les développeurs peuvent aisément créer des workloads à l’aide de leurs comptes personnels. Ces ressources non autorisées représentent une menace pour l’environnement, car elles sont souvent mal sécurisées, sont accessibles avec des mots de passe et des configurations par défaut et sont faciles à compromettre.
Absence de stratégie complète de sécurité du cloud
À l’heure de la migration des workloads vers le cloud, les administrateurs persistent à sécuriser ces ressources de la même manière que les serveurs hébergés dans des datacenters privés ou sur site. Malheureusement, les modèles de sécurité traditionnels de ces datacenters ne sont pas adaptés au cloud. Face aux attaques sophistiquées et automatisées d’aujourd’hui, seule une solution de sécurité avancée intégrée peut empêcher les compromissions. Cette solution doit protéger l’ensemble de l’environnement informatique, y compris les environnements multicloud, ainsi que les datacenters et les utilisateurs mobiles de l’entreprise. Une approche homogène intégrée, qui offre une visibilité totale et un contrôle granulaire à l’échelle de l’entreprise, réduira les frictions, limitera les perturbations des activités et permettra aux entreprises d’adopter le cloud en toute sécurité et confiance.
Bonnes pratiques de CrowdStrike en matière de sécurité des applications cloud
Les entreprises doivent concevoir et implémenter une solution de sécurité du cloud complète pour se protéger d’une panoplie de menaces en expansion constante et d’attaques de plus en plus sophistiquées visant l’environnement cloud et notamment les applications cloud. Une stratégie de sécurité du cloud doit respecter les principes suivants :
1. Se concentrer sur les cyberadversaires
Dans tous les domaines de la sécurité, y compris le cloud, il est essentiel de comprendre les cyberadversaires et leur modus operandi : qui ils sont, ce qu’ils veulent, ce qu’ils doivent accomplir pour l’obtenir et la schématisation en une surface d’attaque. CrowdStrike a constaté que de nombreux cyberadversaires sévissent à la fois dans le cloud et dans d’autres parties du paysage informatique.
La différence est que le cloud leur offre la possibilité d’utiliser un nouvel ensemble de tactiques, techniques et procédures (TTP).
2. Réduire le risque d’exposition
Chaque application ou workload cloud élargit la surface d’attaque de l’entreprise, offrant ainsi de nouveaux points d’entrée aux éventuels cyberattaquants.
Deux solutions principales s’offrent à vous pour réduire le risque d’exposition :
- Améliorer la visibilité sur l’ensemble de l’environnement cloud en dressant un inventaire de l’ensemble des applications, workloads et autres ressources cloud
- Limiter la surface d’attaque en identifiant et en supprimant les applications ou workloads qui ne sont pas nécessaires à l’activité de l’entreprise
3. Développer et implémenter des règles, un cadre et une architecture de sécurité du cloud
Élaborez et appliquez des règles homogènes afin d’offrir une protection continue à l’ensemble des ressources cloud. Ces règles doivent déterminer les utilisateurs autorisés à accéder aux applications, ainsi que les modalités d’authentification et d’octroi de cet accès via des mesures de sécurité avancées, telles que l’authentification multifacteur (MFA) et la gestion des identités et des accès (IAM).
Les entreprises doivent également élaborer une stratégie de sécurité complète intégrant tous les aspects de la cybersécurité, notamment la sécurité du réseau, la sécurité de l’infrastructure, la sécurité des endpoints et la sécurité du cloud. L’architecture de sécurité du cloud doit prendre en charge différents aspects critiques de l’infrastructure : protection, surveillance et visibilité des données, détection des menaces, gouvernance du cloud, conformité aux réglementations pertinentes et mesures de sécurité mises en place pour les composants physiques de l’infrastructure.
4. Surveiller la surface d’attaque
Il est important de chercher en permanence des solutions pour améliorer la visibilité sur la surface d’attaque. Il sera ainsi plus difficile pour les cyberadversaires de se cacher, sans compter que le coût de leurs attaques augmentera également.
Cette approche consiste à déployer l’agent CrowdStrike Falcon® sur tous les workloads et conteneurs cloud, et à mobiliser l’équipe CrowdStrike Falcon OverWatch™ pour traquer les cybermenaces de manière proactive et continue (24 h/24, 7 j/7). En outre, CrowdStrike utilise des indicateurs d’attaque natifs au cloud spécifiques, analyse des modèles de Machine Learning et pratique librement le Threat Hunting, en recherchant les activités de saisie clavier des cyberadversaires au sein du plan de contrôle et des workloads cloud de CrowdStrike.
Associé au Threat Hunting proactif, ce niveau de visibilité a permis à CrowdStrike de détecter des comportements subtils, presque imperceptibles, avec une précision étonnante, notamment un incident au cours duquel un cyberadversaire vérifiait l’existence de certains compartiments S3. Ces compartiments n’étaient pas publiquement accessibles et le nom qui leur avait été attribué empêchait toute attaque en force. Les analystes de CrowdStrike ont donc cherché à savoir comment le cyberadversaire avait pu obtenir la liste des compartiments S3.
Après d’intenses recherches, les sources de cyberveille CrowdStrike ont supposé que le cyberadversaire devinait les noms de compartiments S3 grâce à des données de requêtes DNS échantillonnées qu’il avait recueillies à partir de plusieurs flux publics. Ce type de données peut facilement être obtenu en accédant à des ressources à partir d’un réseau Wi-Fi public. La leçon à en tirer est que le cyberadversaire a parfois une meilleure connaissance ou une meilleure visibilité de l’empreinte cloud d’une entreprise que vous ne le pensez.