Il y a toujours eu deux piliers fondamentaux de la sécurité du cloud. L’un est la visibilité pour détecter les problèmes. L’autre est la capacité à remédier efficacement aux menaces – idéalement, de manière proactive, ce qui signifie atténuer les risques avant qu’ils ne soient activement exploités. Aucun de ces piliers n’a changé depuis que les entreprises ont commencé à transférer des charges de travail dans le cloud il y a plus de dix ans.
Cependant, ce qui a considérablement évolué ces dernières années, ce sont les outils et les processus dont les entreprises ont besoin pour mettre en place la sécurité du cloud. Alors que les organisations sont passées d’environnements cloud de base alimentés par des machines virtuelles à des environnements distribués, basés sur des microservices et natifs du cloud, les stratégies de sécurité cloud qui suffisaient il y a cinq ou 10 ans ne suffisent plus pour garder une longueur d’avance sur les acteurs de la menace.
Aujourd’hui, il est essentiel de s’assurer que la sécurité du cloud évolue avec votre stratégie et votre architecture cloud. Cet article explique ce que cela signifie et quelles bonnes pratiques les entreprises doivent suivre pour répondre aux exigences de sécurité natives du cloud.
De la sécurité cloud à la sécurité native cloud
Il existe une grande différence entre les environnements de cloud computing traditionnels et les environnements de cloud computing natifs. Par extension, il existe une grande différence entre la sécurité cloud traditionnelle et la sécurité cloud native.
Dans un environnement cloud traditionnel, vous sécurisez les charges de travail en configurant des pare-feu cloud et en définissant des groupes de sécurité. Vous avez obtenu une visibilité sur la sécurité en chargeant des agents sur des machines virtuelles, qui ont collecté des journaux et des métriques. Vous avez peut-être utilisé les outils de sécurité natifs de votre fournisseur de cloud (comme Amazon GuardDuty ou Microsoft Defender) pour interpréter ces données et détecter les menaces. Vous avez peut-être également audité périodiquement vos paramètres cloud IAM pour détecter d’éventuelles erreurs de configuration. Peut-être avez-vous même sous-traité certaines opérations de sécurité à un fournisseur de services de sécurité gérés (MSSP).
Ces types d’outils et de processus restent importants dans les environnements cloud natifs. Cependant, ils ne suffisent pas à eux seuls à relever les défis de sécurité nouveaux et uniques qui se posent dans le contexte des charges de travail natives du cloud. La sécurité cloud traditionnelle ne répond pas aux besoins tels que :
- Identifier les risques au-delà de l’IaaS: Les surfaces d’attaque natives du cloud s’étendent au-delà de l’infrastructure et des applications conventionnelles. Par exemple, les erreurs de configuration Kubernetes RBAC peuvent créer des risques de sécurité, mais la surveillance des machines virtuelles ou des applications ne vous en avertira pas.
- Gérer des configurations en constante évolution: Un environnement moderne et natif du cloud peut inclure des dizaines d’utilisateurs et de charges de travail, avec des milliers de règles de contrôle d’accès définissant qui peut faire quoi, et les paramètres changent constamment. Des audits périodiques ne suffisent pas pour une détection proactive des menaces dans un environnement aussi dynamique et en évolution rapide.
- Besoins de sécurité multi-cloud: Les outils de sécurité natifs des fournisseurs de cloud ne suffisent pas lorsque vous devez sécuriser des charges de travail s’exécutant sur plusieurs clouds à la fois.
- Remédier aux causes profondes: Savoir qu’un risque existe n’est pas toujours suffisant pour le corriger rapidement dans des architectures cloud natives complexes. Par exemple, la détection d’une vulnérabilité d’injection de code dans une application ne signifie pas nécessairement que vous pouvez retracer rapidement le problème jusqu’au microservice ou à la validation de code qui l’a déclenché.
Ainsi, bien que la sécurité cloud conventionnelle reste une partie de la base de la sécurité native du cloud, ce n’est pas une base complète en soi. Pour protéger pleinement les charges de travail cloud natives, vous devez étendre les outils et processus de sécurité que vous avez mis en place pour protéger les charges de travail cloud traditionnelles.
Bonnes pratiques de sécurité cloud natives
Pour obtenir une sécurité complète pour les charges de travail cloud natives, efforcez-vous de suivre des pratiques telles que les suivantes :
1. Intégrez la sécurité dans votre pipeline de développement
Dans un monde cloud natif, vous ne voulez pas attendre d’avoir déployé une application pour détecter les risques. Au lieu de cela, maximisez vos chances de trouver et de résoudre les problèmes avant le déploiement en intégrant des tests de sécurité dans votre pipeline CI/CD. Idéalement, vous effectuerez une série de tests – en commençant par tester le code source brut et en procédant à l’exécution de tests sur les binaires dans un environnement de pré-production.
2. Allez au-delà des agents
Bien que la sécurité basée sur les agents puisse suffire à protéger les charges de travail cloud simples telles que les machines virtuelles, dans certains cas, comme lorsque vous utilisez des fonctions sans serveur, vous ne pouvez pas déployer d’agents pour obtenir une visibilité de la sécurité.
Au lieu de cela, vous devrez instrumenter la visibilité de la sécurité dans votre code lui-même en vous assurant que vos applications exposent les données dont vous avez besoin pour détecter les menaces, sans compter sur des agents pour être votre intermédiaire.
3. Mettre en œuvre une sécurité en couches
Les environnements cloud natifs comprennent de nombreuses couches (infrastructure, applications, orchestration, réseaux physiques et virtuels, etc.) et vous devez sécuriser chacune d’entre elles. Cela signifie déployer des outils et des processus d’analyse de sécurité capables de détecter les risques dans, par exemple, la façon dont vous configurez vos déploiements Kubernetes ou à partir d’images de conteneurs internes, en plus de détecter les risques de sécurité cloud classiques tels que les erreurs de configuration IAM.
4. Auditer en continu et en temps réel
Encore une fois, un audit ou une validation périodique des configurations cloud ne suffit pas pour garantir que vous pouvez détecter et corriger les menaces en temps réel. Vous devriez plutôt déployer des outils capables de surveiller en permanence toutes vos configurations et de vous alerter immédiatement des risques.
5. Automatisez la correction
Dans la mesure du possible, vous devez également déployer des outils de correction automatisés capables d’isoler ou d’atténuer les menaces instantanément, sans qu’un humain soit « au courant ». Non seulement cette approche réduit la charge que vous placez sur vos équipes informatiques et de sécurité, mais elle vous permet également de remédier aux menaces aussi rapidement et de manière proactive que possible.
