Présentation
La sécurité des clouds hybrides désigne la protection des données, applications et infrastructures associées à une architecture informatique qui implique un certain degré de portabilité, d'orchestration et de gestion des charges de travail à travers divers environnements informatiques, notamment au moins un cloud public ou privé.
Les clouds hybrides contribuent à réduire l'exposition potentielle des données. Ils permettent de stocker les données sensibles ou critiques hors du cloud public tout en tirant parti de ce dernier pour les données qui ne présentent pas le même niveau de risques.
Avantages du cloud hybride en matière de sécurité
Les clouds hybrides donnent aux entreprises la possibilité de répartir leurs charges de travail et leurs données en fonction de leurs exigences d'audit, de politiques, de sécurité ou de conformité.
Si les divers environnements qui composent un cloud hybride restent séparés et bien distincts, les conteneurs et API chiffrées simplifient la migration des ressources et charges de travail entre ces emplacements. Avec une telle architecture, il est possible d'exécuter les opérations stratégiques dans le cloud privé et de réserver le cloud public aux tâches moins sensibles. Cette approche réduit l'exposition des données et permet aux entreprises de personnaliser leur portefeuille de solutions.
Exemples de défis de sécurité rencontrés dans le cloud hybride
Protection des données
Le chiffrement limite l'exposition des données d'une entreprise. Que les données soient en transit ou au repos, elles ont besoin de protection. Il est donc important de prévoir des mesures de sécurité qui limitent l'exposition dans les deux états.
Conformité et gouvernance
Des exigences supplémentaires s'appliquent aux infrastructures de cloud hybride dans les secteurs soumis à une forte réglementation, notamment la santé, les finances ou l'administration publique. Les entreprises doivent ainsi savoir comment vérifier la conformité des environnements distribués, comment mettre en œuvre des mesures personnalisées ou réglementaires, mais également comment se préparer aux audits de sécurité.
Sécurité de la chaîne d'approvisionnement
Les environnements de cloud hybride englobent souvent des produits et des logiciels provenant de plusieurs fournisseurs au sein d'un écosystème complexe. Aussi, il est important de connaître les procédures de test et de gestion appliquées par les fournisseurs. Les entreprises doivent notamment connaître les dates de vérification des codes sources, les directives de mise en œuvre suivies ainsi que les dates prévues pour la publication des mises à jour et correctifs.
Ressources Red Hat
Facettes de la sécurité du cloud hybride
La sécurité des clouds hybrides, comme la sécurité informatique en général, s'applique à trois niveaux : physique, technique et administratif.
Les contrôles physiques assurent la sécurité du matériel. Il s'agit par exemple de verrous, de gardiens et de caméras de surveillance.
Les contrôles techniques désignent les protections intégrées aux systèmes informatiques, notamment les mécanismes de chiffrement, l'authentification réseau ou encore les logiciels de gestion. Les outils les plus efficaces pour la sécurité des clouds hybrides entrent dans cette catégorie.
Enfin, les contrôles administratifs sont des programmes qui aident le personnel à assurer la sécurité, par exemple les formations ou la planification en cas de sinistre.
Contrôles physiques pour la sécurité du cloud hybride
Les clouds hybrides s'étendent sur plusieurs sites, ce qui complique la sécurité physique. En effet, il n'est pas possible d'ériger un mur autour de toutes les machines et d'en verrouiller l'accès.
Dans le cas de ressources partagées, comme dans un cloud public, certains fournisseurs de cloud proposent des contrats de niveau de service (SLA) pour définir les normes de sécurité physique à respecter. Par exemple, dans le cas du secteur public, l'accès au matériel physique peut-être restreint à certains membres du personnel.
Cependant, aussi bien pensés que soient les SLA, le recours à un fournisseur de cloud public implique toujours de renoncer à un certain niveau de contrôle. De ce fait, les autres aspects de la sécurité gagnent en importance.
Contrôles techniques pour la sécurité du cloud hybride
Les contrôles techniques sont au cœur de la sécurité du cloud hybride. La gestion centralisée de ce type d'architecture facilite leur mise en œuvre.
Le chiffrement, l'automatisation, l'orchestration, le contrôle des accès ou encore la sécurité des points de terminaison comptent ici parmi les outils de contrôle technique les plus efficaces.
Chiffrement
Le chiffrement réduit considérablement le risque d'exposition des données lisibles, et ce, même en cas de compromission d'une machine physique.
Les données peuvent être chiffrées aussi bien en transit qu'au repos. Voici comment procéder.
Pour protéger des données au repos :
- Le chiffrement de disques complets (ou de partitions), qui protège les données lorsque les ordinateurs sont éteints. Testez le format Linux Unified Key Setup-on-disk, qui peut chiffrer plusieurs partitions à la fois.
- Le chiffrement matériel protège les disques durs contre les accès non autorisés. Vous pouvez utiliser le module TMP (Trusted Platform Module), une puce matérielle qui stocke les clés de chiffrement. Lorsque ce module est activé, le disque dur est verrouillé jusqu'à ce que l'utilisateur authentifie sa connexion.
- Les volumes racines peuvent être chiffrés sans saisir manuellement de mot de passe. Si vous disposez d'un environnement cloud hautement automatisé, profitez-en pour automatiser le chiffrement. Pour les environnements Linux, la technologie NBDE (Network Bound Disk Encryption) fonctionne aussi bien avec les machines virtuelles que physiques. Vous pouvez même ajouter un module TPM pour mettre en œuvre deux couches de sécurité (la technologie NBDE pour les environnements en réseau et le module TPM pour les instances sur site).
Pour protéger des données en transit :
- Chiffrez les sessions réseau. Le risque d'interception ou de modification est bien plus élevé pour les données en transit. Vous pouvez recourir à l'extension du protocole Internet IPsec (Internet Protocol Security) qui utilise le chiffrement.
- Optez pour des produits qui intègrent déjà des normes de sécurité. Nous vous conseillons de choisir des produits conformes à la norme de sécurité FIPS 140-2 (Federal Information Processing Standard) qui prévoit l'utilisation de modules de chiffrement pour protéger les données à haut risque.
Automatisation
Il suffit d'imaginer les inconvénients de la surveillance et des corrections manuelles pour se convaincre des avantages de l'automatisation en matière de sécurité du cloud hybride.
La surveillance manuelle de la sécurité et de la conformité présente souvent plus de risques que de bénéfices. Les correctifs manuels et la gestion de la configuration risquent d'être mis en œuvre de manière asynchrone. Cette approche complique également la mise en place des systèmes en libre-service. En cas de faille de sécurité, les enregistrements des correctifs manuels et des configurations risquent d'être perdus, ce qui peut engendrer des tensions et des conflits au sein de l'équipe. Enfin, les processus manuels ont tendance à demander plus de temps et à engendrer davantage d'erreurs.
L'automatisation, en revanche, favorise une gestion des risques proactive plutôt que réactive. L'automatisation simplifie la définition des règles ainsi que le partage et la vérification des processus, ce qui facilite la réussite des audits de sécurité. Aussi, lorsque vous évaluez vos environnements de clouds hybrides, pensez à automatiser les processus suivants :
- Surveillance des environnements
- Gestion des données
- Contrôle de la conformité
- Application des correctifs
- Mise en œuvre de mesures de sécurité personnalisées ou réglementaires
Orchestration
L'orchestration du cloud permet d'aller encore plus loin. On pourrait comparer l'automatisation à la phase d'identification des ingrédients nécessaires à la réalisation d'une recette, et l'orchestration aux étapes de la recette qui indiquent comment utiliser ces ingrédients.
Les outils d'orchestration permettent de gérer les ressources cloud et leurs composants logiciels comme une seule unité, puis de les déployer de manière automatisée et reproductible au moyen d'un modèle.
En matière de sécurité, le principal avantage de l'orchestration reste la standardisation. En effet, elle offre la flexibilité du cloud tout en assurant que les systèmes déployés respectent vos exigences de sécurité et de conformité.
Contrôle des accès
La sécurité des clouds hybrides dépend également du contrôle des accès. Les meilleures pratiques consistent à restreindre les privilèges des utilisateurs à ceux dont ils ont besoin et à mettre en place l'authentification à double facteur. Pour assurer le respect des exigences de sécurité, vous pouvez également limiter l'accès aux utilisateurs connectés à un VPN.
Sécurité des points de terminaison
La sécurité des points de terminaison implique souvent l'utilisation d'un logiciel pour révoquer des accès ou supprimer des données sensibles à distance en cas de perte, de vol ou de piratage d'un smartphone, d'une tablette ou d'un ordinateur.
Puisque les utilisateurs peuvent se connecter au cloud hybride à l'aide d'appareils personnels où qu'ils se trouvent, il est essentiel de vérifier la sécurité des points de terminaison. Des pirates peuvent cibler vos systèmes avec des attaques par hameçonnage visant les utilisateurs ou utiliser des logiciels malveillants qui compromettent les périphériques.
Si nous avons choisi de la référencer comme un contrôle technique, la sécurité des points de terminaison est en réalité une combinaison de contrôles physiques, techniques et administratifs. Elle requiert en effet de sécuriser les appareils physiques, de mettre en œuvre des contrôles techniques pour limiter les risques si un appareil tombe entre de mauvaises mains et de former les utilisateurs aux meilleures pratiques de sécurité.
Contrôles administratifs pour la sécurité du cloud hybride
Enfin, les contrôles administratifs sont mis en place pour tenir compte des facteurs humains. En effet, dans les environnements hautement connectés comme les clouds hybrides, la sécurité relève de la responsabilité de chaque utilisateur.
La préparation aux sinistres et la récupération après sinistres sont deux exemples de contrôles administratifs. Vos équipes connaissent-elles leur rôle en cas de panne ? Avez-vous mis en place des protocoles pour la récupération des données ?
Les architectures hybrides offrent des avantages considérables en matière de sécurité administrative. En effet, puisque les ressources sont réparties entre les équipements matériels sur site et hors site, vous disposez de plusieurs options de sauvegarde et de redondance. Dans les environnements hybrides qui incluent à la fois un cloud privé et un cloud public,vous pouvez basculer sur le cloud public en cas de défaillance système dans un datacenter sur site.
La sécurité informatique, une tâche de longue haleine
La sécurité informatique demande du temps et des mises à jour régulières. Le paysage de la sécurité évolue constamment. Alors au lieu de chercher à créer le système parfait (ce qui est impossible), agissez méthodiquement, en prenant des mesures raisonnables et réfléchies pour renforcer progressivement le niveau de sécurité.
Le blog officiel de Red Hat
Découvrez les dernières informations concernant notre écosystème de clients, partenaires et communautés.
