Les 3 principaux risques de sécurité du Cloud en IaaS

ship-aground-cause à cause des risques de sécurité

Les entreprises migrent vers les Infrastructures as a Service (IaaS) en raison de leur flexibilité et de leur rapidité. Gartner affirme que « d’ici 2020, les entreprises n’utilisant pas le Cloud seront aussi rares que celles qui n’utilisent pas Internet aujourd’hui ».

Toutefois, le IaaS apporte de nouveaux défis en matière de sécurité tels qu’établis par la Cloud Security Alliance (CSA). La plus importante est la suivante :

Votre fournisseur est responsable de la sécurité du Cloud (infrastructure globale, stockage, bases de données, réseau, calculs, etc.)

Vous êtes responsable de la sécurité dans le Cloud (données, plates-formes, applications, systèmes d’exploitation, pare-feu, etc.) et nous pouvons le gérer avec et pour vous!

Une fois les conséquences de ce nouveau modèle comprises, il faut avoir confiance en son fournisseur IaaS qui respectera sa part de responsabilité. De l’autre côté, le client doit s’attaquer à la sienne. Afin de vous faciliter la vie, nous sommes heureux d’aider les entreprises à sécuriser leur migration vers le IaaS comme celui d’Amazon Web Services (AWS) ou celui de Microsoft Azure.

 

Les 3 principaux risques de sécurité du Cloud en IaaS : Erreurs de configuration, vulnérabilités et IT caché.

 

1- Évitez les mauvaises configurations. Appliquez les meilleures pratiques de sécurité du Cloud

Apply Security Best Practises in the CloudEn tant que client Cloud, vous avez beaucoup d’options pour configurer votre sécurité. Souvent, ces options sont beaucoup trop lourdes et compliquées. En particulier pour une société qui vient de migrer vers une infrastructure IaaS. À l’instar d’une chaîne de développement continue DevOps, nous avons choisi de développer un processus d’automatisation qui utilise les API Cloud. Il laisse vos serveurs de production et réseau en fonctionnement intacts et sûrs.

a. Découvrez votre infrastructure et votre configuration de sécurité initiale.

Le processus de découverte est très rapide et non intrusif. Contrairement aux réseaux traditionnels, nous n’avons pas besoin de nous appuyer sur les analyses réseau. Nous utilisons simplement les API du IaaS.

Les avantages : les actifs sont découverts sans impact sur les transactions du réseau (latence / congestion). Il n’y a pas de risque de faux positifs, d’arrêt ou de suspension (c’est-à-dire sans activité de réseau). De plus, la découverte des actifs est très rapide.

b. Corrigez les erreurs de configuration de sécurité et réduisez le temps nécessaire pour respecter les normes, labels et standards de sécurité du Cloud.

Le IaaS n’est pas géré comme l’IT traditionnel, il est piloté par le code et les API. Et plutôt que de tester une configuration erronée avec une certaine entropie et des effets secondaires, nous interrogeons la configuration de l’installation via les API pour la comparer aux modèles du marché. Ces modèles sont construits à partir de labels et standards de sécurité tels que le CIS Security (nous sommes partenaires du CIS).

Par exemple, dans AWS, nous interrogerons votre compte et le comparerons à un ensemble de 52 règles de sécurité. Ensuite, nous vous conseillons de combler les lacunes afin d’atteindre le niveau de conformité exigé, d’obtenir un niveau de sécurité de 5 étoiles et de réduire les menaces.

Voici un exemple d’un test de configuration:

 

CIS-AWS – 1.1 Avoid the use of the « root » account
Service IAM – Risk Level High

Description
Using the « root » account entity is dangerous and should be avoided, if possible. Users should practice « least-privilege », a technique where specific user accounts are created and assigned the minimum privileges necessary to complete their work. Additional privileges can be added to their account as their scope grows, but no user should have the limitless power of the « root » entity. We examine your account to determine if a non-root entity exists, ensuring that you have at least one IAM user configured to perform daily work functions.

Resolution
Create an IAM user and assign the basic role or privilege that you deem necessary to perform daily functions.

 

En vérifiant la configuration avec plus d’une centaine de tests, nous sommes en mesure d’analyser l’intégralité des configurations de l’IT. Nous relevons ainsi, les configurations incorrectes ou insuffisantes.

c. Surveillez votre infrastructure de façon continue et augmentez les alertes lorsque des modifications ou de nouvelles vulnérabilités de sécurité sont détectées.

À des fins de test, de nouvelles configurations de l’infrastructure, de nouveaux déploiements d’applications, des changements se produisent chaque jours (et s’accélèrent). Ces changements peuvent conduire à des failles de sécurité majeures. Des tests doivent donc être exécutés pour vérifier la sécurité des changements en temps réel.

2- Détecter et atténuer les vulnérabilités des Workloads

Detect and mitigate vulnerabilities in Workloads

Le déploiement d’applications et de données dans le IaaS ne vous protège pas des vulnérabilités et des faiblesses qui les concernent. Comme rappelé en introduction, le fournisseur de Cloud n’est pas responsable de la sécurité des charges de travail (Workloads) dans son infrastruture.

Alors que la gestion des vulnérabilités est un « must have » dans les environnements traditionnels, les Workloads changent plus rapidement dans le Cloud. Vous devez adapter votre approche pour effectuer des analyses de sécurité plus fréquemment, plus d’automatisation et une analyse plus approfondie.

Les avantages de l’utilisation de notre technologie Elastic Workload Protector :

a. SCANNEZ plus souvent sans affecter les Workloads. Grâce à notre technologie brevetée, nous pouvons effectuer une analyse intrusive des serveurs sans aucun impact sur les serveurs en cours d’exécution.
b. PRIORISEZ avec une évaluation rapide du risque réel et résiduel de votre système d’information. Suivez votre évolution de la conformité aux normes de sécurité du marché. (CVE, CIS, PCI, OWASP, ANSSI)
c. RÉMÉDIEZ en tenant compte des conséquences des cyberattaques sur votre entreprise et mettez en place un plan d’action efficace.

 

3- Découvrez vos actifs cachés dans votre IaaS

Uncover Shadow-IT in IaaS

Serveurs virtuels ou Workloads fantômes

Peu de solutions ont la capacité de détecter des serveurs ou des services sans activité. Ces derniers ont pu être lancés pour des tests et oubliés par leur propriétaire. Ils consomment des ressources donc se révèlent être un coût. Étant donné qu’ils ne sont pas utilisés, ils ne sont pas mis à jour ce qui fait d’eux un point d’entrée dans l’infrastructure. (Le cabinet d’étude Gartner mentionne que 28% des serveurs se révèlent être des serveurs fantômes)

Stockage orphelin

Les disques de stockage qui ne sont pas attachés à des ressources informatiques. Ils permettent à n’importe qui de se connecter à n’importe quel serveur. Ces disques de stockage peuvent contenir des données sensibles ou critiques qui peuvent être compromises.

Workloads néfastes (comme le contrôle d’utilisation)

Exemple : l’utilisation du Cloud pour déchiffrer des mots de passe ou lancer des attaques.
Exemple : La détection des attaques de canal latéral à partir de votre propre compte peut être détectée avec Elastic Detector, simplement en détectant une activité suspecte sur votre propre compte (plusieurs lancements et terminaisons sur une machine virtuelle).

De nombreux nouveaux services et API

Ceux-ci introduisent une nouvelle surface d’attaque. Il est très facile de faire des erreurs sur des lignes de code qui ont un grand impact (par exemple la désactivation de tous les pare-feu prend 1 ligne de code !!!).

AWS compte plus de 50 services différents et en publie de nouveaux chaque mois. Il est difficile de garder le rythme et facile de faire des erreurs au début. Vous ne pouvez pas être un expert sur tout

Ressources dormantes

Dans Cloud en IaaS, il est très facile de déployer un nouveau serveur et d’arrêter simplement l’ancien. Ce serveur est oublié et n’est pas mis à jour pendant que vous effectuez un patch par exemple. Dans ce cas, lorsque vous allez redémarrer ce serveur pour quelque raison que ce soit (vérification de la version ancienne du site web par exemple, restauration due à un crash de serveur, etc.), il deviendra le serveur le plus critique et le plus vulnérable de votre infrastructure.

L’automatisation, en suivant la culture DevOps, est la meilleure solution pour réduire ces risques. Elle permet de gérer la majeure partie du travail et surtout celle qui est la plus aliénante. Elastic Workload Protector a été développée suivant cette culture et s’avère être la solution la plus efficace du marché. Pour vous le démontrer, nous vous invitons à l’essayer!

Pour découvrir plus d’informations sur la sécurité des Cloud Workloads et les risques liés à la sécurité:
sécurisez vos cloud workloads

Leave a Reply

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.