Jump to section

Quelles sont les spécificités de la sécurité dans le cloud ?

Copier l'URL

La sécurité dans le cloud correspond à la protection des données, applications et infrastructures impliquées dans les services cloud et le cloud computing. Plusieurs aspects de la sécurité dans les environnements cloud (public, privé ou hybride) sont similaires à ceux d'une architecture sur site.

Quel que soit le cloud que vous avez choisi de déployer, vous êtes responsable de la sécurité de votre espace au sein de ce cloud. Vous avez opté pour un cloud géré par un prestataire tiers ? Attention, cela ne signifie pas pour autant que vous pouvez vous en désintéresser. Les failles de sécurité découlent souvent d'un manque de précautions. La sécurité du cloud concerne tout le monde et pour vous en assurer, appliquez les principes de précaution suivants :

Utiliser des logiciels fiables

Le contenu de votre cloud a de l'importance. Comme pour n'importe quel code que vous téléchargez à partir d'une source externe, vous devez chercher à savoir d'où viennent les paquets que vous téléchargez, qui les a créés et s'ils contiennent du code malveillant. Téléchargez vos logiciels à partir de sources fiables et connues et assurez-vous qu'ils incluent des mécanismes pour récupérer et installer les mises à jour au moment opportun.

Comprendre les exigences en matière de conformité

Les données personnelles, financières et autres informations sensibles stockées dans le cloud peuvent être soumises à des réglementations strictes. Les lois varient en fonction de l'endroit où vous menez vos activités (et des parties prenantes). Par exemple, dans l'Union européenne, c'est le Règlement général sur la protection des données (RGPD) qui s'applique. Vérifiez bien les exigences en matière de conformité qui vous concernent avant de choisir votre cloud.

Gérer les cycles de vie

Dans un environnement cloud, il est facile de déployer de nouvelles instances, mais aussi d'oublier celles qui s'y trouvent déjà. Les instances négligées (actives, mais non surveillées) peuvent devenir dangereuses, car elles deviennent très vite obsolètes et ne bénéficient plus de nouveaux correctifs de sécurité. Pour éviter cette situation, optez pour une solution de gestion et de surveillance du cycle de vie.

Envisager la portabilité

Êtes-vous en mesure de déplacer facilement vos charges de travail d'un cloud à un autre ? Les contrats de niveau de service doivent définir clairement quand et comment le fournisseur de cloud doit transférer les données ou applications aux clients. Même si vous n'envisagez pas de migration à court terme, la situation finira probablement par se produire. Évitez les futurs problèmes de dépendance en réfléchissant dès aujourd'hui à la portabilité des applications.

Assurer une surveillance en continu

En surveillant ce qui se passe dans vos environnements de travail, vous pouvez éviter les failles de sécurité ou du moins en réduire les effets négatifs.

Choisir le bon fournisseur de cloud

Choisissez des partenaires et des collaborateurs fiables et qualifiés, qui comprennent la complexité inhérente à la sécurité et aux services dans le cloud. Il arrive qu'une infrastructure de cloud public puisse être plus sécurisée que le cloud privé d'une entreprise, car le fournisseur de cloud public dispose d'une équipe chargée de la sécurité mieux informée et qualifiée.

C'est une bonne question, alors parlons-en. Nous avons déjà abordé les différences entre les trois clouds (public, privé, hybride), mais ce qui vous préoccupe vraiment, c'est la sécurité au sein des clouds publics. Sachez que tout dépend de leur utilisation.

Les clouds publics, comme Amazon Web Services (AWS), Microsoft Azure et Google, sont suffisamment sécurisés pour la plupart des charges de travail, mais ils ne sont pas pour autant adaptés à tous les cas, notamment parce qu'ils ne sont pas isolés comme les clouds privés. Un cloud public vous permet de prendre en charge plusieurs clients. En d'autres termes, vous pouvez « louer » de la puissance de calcul (ou de l'espace de stockage) du datacenter d'un fournisseur de cloud en même temps que d'autres « clients ». Chaque client signe avec le fournisseur de cloud un contrat de niveau de service (SLA) qui indique les responsabilités de chacun. Le principe est le même que pour la location d'un appartement auprès d'un propriétaire. Le propriétaire (fournisseur de cloud) s'engage à entretenir le bâtiment (infrastructure cloud), à conserver les clés (accès), sans pour autant s'immiscer dans la vie privée (confidentialité) du locataire (client). En retour, le locataire promet d'éviter toute action susceptible de corrompre l'intégrité du bâtiment ou de déranger les autres locataires (par exemple exécuter des applications non sécurisées). Malheureusement, vous ne choisissez pas vos voisins et il n'est pas exclu que l'un d'eux laisse un jour entrer une personne malveillante. Même si l'équipe chargée de la sécurité de l'infrastructure chez le fournisseur de cloud surveille tout événement inhabituel, certaines attaques agressives ou discrètes (par exemple les attaques par déni de service distribuées ou DDoS) peuvent toujours affecter les autres clients.

Heureusement, vous pouvez compter sur plusieurs normes de sécurité, réglementations et structures de contrôle reconnues par le secteur, notamment la matrice CCM (Cloud Control Matrix) de la Cloud Security Alliance (CSA). Vous pouvez également vous isoler au sein d'un environnement multi-client en déployant certains outils de sécurité supplémentaires (comme le chiffrement ou des techniques de mitigation de DDoS) qui protègent les charges de travail sur une infrastructure compromise. Et si cela ne suffit pas, vous pouvez déployer des solutions CASB (Cloud Access Security Brokers) pour surveiller les activités et renforcer les politiques de sécurité pour les fonctions d'entreprise peu risquées. Toutefois, toutes ces précautions ne suffisent souvent pas dans les secteurs régis par des règles de confidentialité, de sécurité et de conformité très strictes.

Le modèle DevSecOps associe les pratiques DevOps et les stratégies de sécurité. Les entreprises qui l'adoptent peuvent renforcer la sécurité informatique et réduire l'exposition aux risques. Les technologies cloud-native telles que Kubernetes, les conteneurs, les microservices et les Service Mesh se sont démocratisées, car elles fournissent les éléments de base nécessaires aux entreprises pour créer, déployer et exécuter des applications cloud de manière plus dynamique, fiable et à plus grande échelle qu'auparavant. 

Les changements introduits par les technologies cloud-native obligent les entreprises à faire évoluer leur sécurité vers un modèle DevSecOps. Cela signifie que les équipes de sécurité et d'ingénierie doivent travailler ensemble pour développer des stratégies qui aident l'entreprise à créer et exécuter des applications modernes et évolutives, avec des pratiques shift left qui intègrent la sécurité plus tôt dans le cycle de vie du développement logiciel et des workflows qui mettent en œuvre la sécurité en tant que code.

Multiple icons forming a circle around a business man icon

Les décisions en matière de sécurité dépendent fortement du niveau de tolérance aux risques et de l'analyse coûts-avantages. De quelle manière les risques et les avantages potentiels peuvent-ils affecter l'état global de votre entreprise ? Quelles sont les priorités ? Toutes les charges de travail ne nécessitent pas le même niveau de chiffrement et de sécurité. Prenons un exemple concret : en verrouillant la porte de votre domicile, vous mettez tous vos biens en sécurité, mais cela ne vous empêche pas d'enfermer quand même vos objets de valeur dans un coffre-fort. Il est toujours intéressant de disposer de plusieurs options

et c'est exactement pour cette raison que de nombreuses entreprises se tournent aujourd'hui vers les clouds hybrides, qui vous offrent tous les avantages de tous les types de clouds. Un cloud hybride est la combinaison d'au moins deux environnements de cloud interconnectés, publics ou privés.

En effet, les clouds hybrides vous donnent la possibilité de répartir vos charges de travail et vos données en fonction des exigences en matière de conformité, d'audit, de politique ou de sécurité. Vous pouvez ainsi protéger les charges de travail sensibles dans un cloud privé et exécuter les charges de travail moins critiques dans un cloud public. Bien qu'il existe quelques problèmes de sécurité spécifiques au cloud hybride (comme la migration des données, l'accroissement de la complexité et l'élargissement de la surface d'attaque), la présence de plusieurs environnements constitue une barrière solide contre les risques de sécurité.

En savoir plus sur l'approche de Red Hat en matière de sécurité et de conformité

Keep reading

ARTICLE

Le DevSecOps, qu'est-ce que c'est ?

Si vous souhaitez tirer pleinement parti de l'agilité et de la réactivité d'une approche DevOps, vous devez également intégrer la sécurité informatique au cycle de vie complet de vos applications.

ARTICLE

Quelles sont les spécificités de la sécurité dans le cloud ?

Les préoccupations en matière de sécurité de haut niveau affectent les systèmes informatiques traditionnels et cloud. Découvrez quelles sont les différences.

ARTICLE

Le SOAR, qu'est-ce que c'est ?

Le SOAR fait référence à trois capacités logicielles clés qu'utilisent les équipes de sécurité : la gestion des cas et des workflows, l'automatisation des tâches et la centralisation de l'accès, de l'interrogation et du partage des renseignements sur les menaces.

En savoir plus sur la sécurité

Produits

Structure de sécurité qui gère les identités des utilisateurs et préserve la confidentialité des communications.

Solution de sécurisation des conteneurs native pour Kubernetes et adaptée aux entreprises, qui permet de créer, de déployer et d'exécuter des applications cloud-native de manière sécurisée.

Service d'analyses prédictives qui aide à identifier et à écarter les menaces qui compromettent la sécurité, les performances et la disponibilité de votre infrastructure Red Hat.

Console unique pour le contrôle des clusters et applications Kubernetes, avec des politiques de sécurité intégrées.

Ressources