Compte tenu de la souplesse et de l’efficacité offertes par le cloud par rapport aux datacenters traditionnels, les entreprises font plus que jamais confiance aux plateformes cloud pour leurs workloads stratégiques.
La sécurité est l’une des préoccupations majeures des entreprises qui entreprennent de migrer vers le cloud, étant donné que la cloud security induit un changement de paradigme par rapport aux solutions et approches de sécurité traditionnelles. De plus, les compromissions de sécurité et les attaques de logiciels malveillants sont de plus en plus fréquentes dans le cloud, du fait de l’évolution quotidienne des vecteurs d’attaque. Il est donc important de comprendre les concepts associés à la cloud security, d’implémenter les outils appropriés et les bonnes pratiques pour protéger vos workloads cloud et d’adapter vos pratiques de sécurité au fur et à mesure de la migration de votre entreprise vers le cloud.
Dans cet article de blog, nous examinerons les bonnes pratiques de sécurité recommandées à chaque étape de la migration vers le cloud, des plus élémentaires aux plus avancées, en passant par les intermédiaires.
See Crowdstrike Falcon In Action
Téléchargez le Global Threat Report 2022 pour découvrir comment les équipes de sécurité peuvent mieux protéger les personnes, les processus et les technologies d’une entreprise moderne dans un paysage des menaces toujours plus sombre.
TéléchargerBonnes pratiques en matière de cloud security – mesures élémentaires
Il s’agit du point de départ pour toute entreprise. Lors de la première incursion dans le cloud, un certain nombre de concepts de sécurité incontournables entrent en jeu.
Responsabilité partagée
Tous les grands fournisseurs de services cloud — AWS, Azure et GCP — adoptent un modèle de responsabilité partagée en matière de cloud security. Si certains de ces aspects, tels que la sécurité du matériel sous-jacent, sont pris en charge par le fournisseur de services, c’est aux clients qu’il incombe d’assurer la sécurité au niveau de l’infrastructure et de la couche application.
Pour les déploiements IaaS (Infrastructure-as-a-Service), il s’agit de protéger le système d’exploitation de toutes les machines virtuelles en appliquant régulièrement les correctifs, en configurant leur pare-feu et en activant la protection antivirus et antimalware, entre autres mesures. De plus, les mesures de sécurité de la couche application sont généralement activées via les pare-feux des applications web et des outils qui protègent contre les attaques par déni de service distribué (DDoS).
Pour les déploiements PaaS (Platform-as-a-Service), la protection des machines virtuelles incombe au fournisseur de services cloud. Le client doit quant à lui assurer la protection des applications et des données. Pour les déploiements SaaS (Software-as-a-Service), la majorité des contrôles de sécurité jusqu’aux applications sont gérés par le fournisseur de services cloud, le client s’occupant des règles d’utilisation et d’accès.
Il est essentiel d’examiner le modèle de responsabilité partagée de votre fournisseur de services cloud et de prévoir les contrôles pertinents au niveau de vos applications au moyen d’outils et de services de sécurité natifs ou tiers.
Sécurité du périmètre
Les réseaux cloud étant basés sur la technologie SDN (Software Defined Networking), vous disposez d’une plus grande souplesse pour implémenter des dispositifs de sécurité multicouche. Vous devez commencer par effectuer une segmentation de base des workloads entre les différents réseaux virtuels et autoriser uniquement les communications requises entre eux. Vous devez en outre limiter le trafic entrant vers vos applications à l’aide des pare-feux de la couche réseau ou application.
Les attaques, telles que l’injection SQL, l’exposition des données et les scripts intersites, font partie des problèmes de sécurité des applications majeurs qu’un pare-feu d’application web (WAF, Web Application Firewall) basé sur des règles de détection des menaces OWASP est en mesure de détecter et de neutraliser. Une stratégie de défense anti-DDoS multicouche est indispensable pour protéger les workloads contre les attaques par déni de service distribué (DDoS) dans le cloud. Tous les fournisseurs de services cloud proposent des outils de protection contre les attaques DDoS qui peuvent être intégrés au front-end de l’application pour détecter et neutraliser ces attaques.
Un pare-feu performant capable de bloquer les menaces entrantes et les attaques malveillantes doit être déployé au niveau du périmètre réseau. Vous pouvez utiliser des services de pare-feu cloud native ou des outils tiers plus évolués capables de détecter les intrusions, d’inspecter les paquets, d’analyser le trafic et d’identifier les menaces. Vous pouvez également choisir d’installer un système de détection des intrusions (IDS) ou de prévention des intrusions (IPS) distinct au sein de l’architecture pour renforcer la sécurité du périmètre de vos déploiements cloud.
Surveillance des erreurs de configuration
Les infiltrations des workloads cloud sont généralement dues à une mauvaise configuration du service ou à des erreurs de configuration manuelle. Il est dès lors important d’intégrer des solutions de gestion du niveau de cloud security (CSPM) dans votre architecture pour surveiller les erreurs de configuration susceptibles de se glisser dans votre déploiement cloud.
Les solutions CSPM sont précieuses en ce qu’elles comparent vos déploiements à un ensemble de bonnes pratiques, telles que des normes spécifiques à l’entreprise ou des références reconnues en matière de sécurité et de conformité. Un score de sécurité permet de déterminer l’état actuel de la sécurité de l’ensemble de vos workloads dans le cloud, un score élevé indiquant que le déploiement cloud est sécurisé. Ces outils détectent également tout écart par rapport aux pratiques standard afin que les clients concernés puissent prendre les mesures de correction nécessaires.
Chiffrement des données
Lorsque des services cloud sont utilisés pour le stockage des données, ces dernières sont hébergées dans un environnement contrôlé par le fournisseur de services cloud. Il est donc essentiel d’assurer la sécurité des données au repos et en transit. Les fournisseurs de services cloud proposent différentes fonctionnalités de chiffrement prêtes à l’emploi pour les données stockées dans des services de stockage de blocs et d’objets. Pour assurer la sécurité des données en transit, les connexions aux services de stockage cloud doivent être établies au moyen de connexions HTTPS/TLS chiffrées.
Dans les plateformes cloud, le chiffrement des données est activé par défaut au moyen de clés de chiffrement gérées. Pour bénéficier d’un contrôle renforcé sur le chiffrement, les clients peuvent utiliser leurs propres clés et les gérer de façon centralisée via des services de gestion des clés de chiffrement dans le cloud. Pour les entreprises ayant des normes de sécurité et des exigences de conformité plus strictes, il est possible d’implémenter des services de gestion des clés natifs HSM (Hadware Security Module) ou encore des services tiers de protection des clés de chiffrement des données.
Gestion des identités et des accès
Pour protéger vos workloads cloud, il est indispensable d’assurer la sécurité du plan de contrôle, dans la mesure où celui-ci détient les clés de votre royaume. Vous devez recourir à des services de gestion des identités et des accès natifs à votre plateforme cloud pour implémenter un contrôle d’accès granulaire et basé sur les rôles à vos ressources cloud.
Les plateformes cloud fournissent également des outils permettant d’intégrer facilement des solutions sur site, comme Active Directory, à des services de gestion des identités et des accès (IAM) natifs au cloud. Les utilisateurs peuvent ainsi accéder aux workloads hébergés dans le cloud au moyen de l’authentification unique. En ce qui concerne les contrôles IAM, il convient d’appliquer le principe du moindre privilège, qui consiste à octroyer aux utilisateurs des droits d’accès limités aux données et ressources cloud dont ils ont besoin pour faire leur travail.
Bonnes pratiques en matière de cloud security – mesures intermédiaires
Votre entreprise peut implémenter des contrôles supplémentaires pour renforcer la sécurité à mesure de sa migration vers le cloud.
Visibilité sur le niveau de sécurité
À mesure que le cloud s’étend, le risque de compromissions non signalées augmente. Avec les outils appropriés, vous bénéficierez d’une visibilité essentielle sur votre niveau de sécurité et pourrez mettre en place une gestion proactive de la sécurité.
Toutes les plateformes cloud de premier plan proposent une solution CSPM native de niveau avancé/premium dotée de fonctionnalités telles que la détection des exfiltrations de données, la détection des menaces, la gestion des identités et des accès (IAM), la détection des piratages de comptes et du minage de cryptomonnaie, pour n’en citer que quelques-unes. Notez toutefois que ces fonctionnalités sont parfois limitées aux plateformes cloud qui les proposent. En cas de déploiements hybrides ou multicloud, il est recommandé d’intégrer un outil spécialisé pour bénéficier d’une visibilité sur le niveau de sécurité.
Règles de cloud security
Les règles de cloud security ont pour but d’appliquer des restrictions à l’échelle de l’entreprise afin de renforcer la sécurité. Vous pouvez, par exemple, limiter le déploiement de workloads à partir d’adresses IP publiques, restreindre le trafic est-ouest ou mettre en place une surveillance des modèles de trafic des workloads conteneurisés.
L’implémentation varie selon le fournisseur de services. Dans Azure, les clients peuvent utiliser les règles Azure, tandis que dans GCP, ils peuvent appliquer des règles propres à l’entreprise. Les règles de sécurité ont l’avantage de permettre l’application automatique des normes de conformité à tous les niveaux des déploiements cloud.
Sécurité des conteneurs
La sécurité des conteneurs implique de protéger à la fois les conteneurs et la plateforme d’orchestration et, à cet égard, Kubernetes est la solution la plus souvent utilisée dans le cloud. Vous devrez créer des règles de base standard pour la sécurité des workloads conteneurisés, avec surveillance continue et signalement des écarts.
Les entreprises ont besoin d’outils capables de détecter les activités malveillantes dans les conteneurs, y compris celles survenant pendant l’exécution. On n’insistera jamais assez sur l’importance des technologies de sécurité offrant une visibilité sur les activités liées aux conteneurs, ainsi que des fonctionnalités de détection et de mise hors service des conteneurs non approuvés. Compte tenu de l’évolution continue du paysage des menaces, il est préférable de recourir à des technologies qui exploitent l’intelligence artificielle (IA) avancée et le Machine Learning pour détecter les logiciels malveillants sans s’appuyer sur des signatures.
Évaluation et correction des vulnérabilités
Vous devez disposer d’un service d’évaluation et de correction des vulnérabilités en temps réel pour protéger vos workloads contre les virus et les logiciels malveillants. Ce service doit être en mesure de prendre en charge les workloads déployés sur des machines virtuelles, ainsi que dans des conteneurs.
Optez pour une solution de gestion des vulnérabilités qui analyse en continu les workloads à la recherche de vulnérabilités, compile des rapports, présente les résultats dans des tableaux de bord et corrige automatiquement les problèmes, le cas échéant.
Approche Zero Trust
L’approche Zero Trust constitue la référence en matière de cloud security. Elle consiste à ne faire confiance à aucun service, même ceux situés à l’intérieur du périmètre de sécurité de l’entreprise.
L’approche Zero Trust repose sur la segmentation et l’autorisation du minimum de communication entre les différents services au sein d’une application. Seules les identités autorisées doivent être utilisées pour ces communications, conformément au principe du moindre privilège. Toute communication s’effectuant dans des ressources ou avec des ressources externes doit être surveillée, consignée et analysée à la recherche d’anomalies. Ce principe s’applique également aux activités des administrateurs. Ici, vous pouvez opter pour des outils de surveillance et de journalisation natifs ou tiers.
Bonnes pratiques en matière de cloud security – mesures avancées
Les adeptes du cloud jouissant d’une vaste empreinte cloud, en particulier les entreprises cloud native, doivent envisager l’application de bonnes pratiques avancées en matière de cloud security.
Sécurité des environnements de cloud hybride et multicloud
Les grandes entreprises ont rarement recours à un seul fournisseur de services cloud ou uniquement au cloud. Au moment de concevoir leur architecture de sécurité, ces entreprises optent pour des outils et des services capables d’appliquer les contrôles de sécurité au sein des déploiements de cloud hybride et multicloud.
Certains fournisseurs de services cloud proposent des outils natifs (par ex., Azure Defender, Google Chronicle) qui offrent un certain niveau de protection aux ressources multicloud et du cloud hybride. Cependant, il est souvent compliqué de disposer d’une vue unifiée. Pour les déploiements hybrides ou multicloud, pensez à privilégier des outils qui procurent une visibilité sur le niveau de sécurité et facilitent la prise de mesures de prévention des événements de sécurité potentiels dans tous les environnements.
Intégration au pipeline CI/CD
Il est primordial de déployer une stratégie de sécurité Shift Left au tout début du cycle de vie d’une application afin d’identifier les vulnérabilités et les failles de sécurité. Pour ce faire, intégrez les bonnes pratiques de sécurité à vos pipelines d’intégration et de distribution continues (CI/CD) lors des phases de conception, de test et de déploiement. L’utilisation d’images vérifiées dans les pipelines de déploiement, la détection des menaces et la gestion du niveau de vulnérabilité des pipelines sont quelques-unes des mesures à adopter pour y parvenir.
Visibilité en temps réel et Threat Hunting proactif
Les entreprises doivent recourir à des outils offrant une visibilité en profondeur sur leurs workloads, en particulier ceux exécutés dans des conteneurs : accès aux fichiers, connectivité réseau et processus, entre autres. Le Threat Hunting proactif est une autre fonctionnalité incontournable qui facilite le suivi de l’origine du vecteur d’attaque et de son déplacement latéral. Certains fournisseurs de services de cloud security proposent des services de sécurité entièrement managés, notamment un Threat Hunting piloté par des experts pour identifier et corriger de façon proactive les vulnérabilités, comme Falcon Cloud Workload Protection Complete, qui inclut des services de sécurité.
Exercices Red Team / Blue Team
La mise en œuvre de plusieurs bonnes pratiques en matière de cloud security ne suffit pas à éliminer tous les risques susceptibles d’être exploités par les cyberattaquants. L’organisation régulière d’exercices de sécurité Red Team/Blue Team permet d’identifier ces failles et de renforcer votre niveau de sécurité dans le cloud.
La Red Team est composée d’experts en cybersécurité dont la mission est d’infiltrer les défenses de cybersécurité d’une entreprise. La Blue Team est quant à elle chargée de défendre l’entreprise, ainsi que de contrer et de neutraliser l’attaque. Cet exercice permet également d’évaluer l’efficacité du mécanisme de réponse aux incidents de sécurité.
Test d’intrusion et protection proactive
Des tests d’intrusion ou pen tests proactifs réguliers permettent d’évaluer le dispositif de défense global de votre entreprise contre différents types de cyberattaques. Une analyse automatisée du réseau et des applications est nécessaire pour identifier les vulnérabilités difficiles à détecter pouvant être exploitées lors d’une attaque. Pour déjouer les attaques réelles, il convient de mettre à jour les contrôles de sécurité en fonction des résultats de ces tests.
Conclusion
Les principales plateformes cloud proposent des outils natifs capables de mettre en place certains des contrôles de sécurité présentés ci-dessus. Nous vous conseillons toutefois de compléter votre dispositif natif de cloud security par des outils avancés, tels que ceux proposés par CrowdStrike.
CrowdStrike offre des fonctionnalités de gestion unifiée du niveau de cloud security et de prévention des compromissions pour les workloads déployés dans des environnements hybrides et multicloud. La solution Falcon Horizon CSPM offre une visibilité essentielle sur les déploiements muticloud, surveille les erreurs de configuration, élimine les infractions à la conformité et assure une protection continue contre les menaces liées à l’identité. Elle identifie et corrige en outre les menaces les plus discrètes pour garantir une sécurité totale des conteneurs.
Votre entreprise peut également opter pour la solution Falcon Cloud Workload Protection, qui offre une protection totale des workloads, des conteneurs et des environnements Kubernetes contre les compromissions, ce qui vous permet de concevoir, de gérer et de sécuriser rapidement les applications cloud native.
Demandez une démonstration sans plus tarder pour en savoir plus sur les outils et services de sécurité CrowdStrike qui vous aideront à mettre en place les bonnes pratiques présentées dans cet article.