Selon Josh Stella, l’architecte en chef de Snyk, la sécurité dans le cloud ne doit pas être considérée par les entreprises comme un obstacle, mais comme un moyen de favoriser l’innovation.
Les environnements d’infrastructure Cloud favorisent souvent des erreurs de configuration complexes qui peuvent entraîner des temps d’inactivité du système ou des violations majeures.
Ces erreurs de configuration peuvent aller de simples erreurs impliquant des ressources uniques à des défauts de conception architecturale plus larges impliquant plusieurs ressources qui sont plus difficiles à détecter pour les équipes de sécurité, a expliqué Stella.
Les erreurs de configuration sont un problème mondialement reconnu, selon l’Agence Nationale de la Sécurité. « La mauvaise configuration des ressources cloud reste la vulnérabilité cloud la plus répandue », et ajoute une grande complexité à la configuration sécurisée du cloud, a indiqué l’agence dans un rapport récent.
Le cloud computing étant basé sur des logiciels, ces erreurs sont « entièrement évitables », a déclaré Stella. Il suggère de mettre en oeuvre ces cinq stratégies pour éviter les erreurs de sécurité du cloud.
Pensez comme Hacker
La connaissance de votre environnement est essentielle à sa sécurisation. Stella recommande de comprendre comment tous les éléments de votre environnement s’exécutent dans le contexte complet, comment il est conçu et déployé, et comment les pirates peuvent l’exploiter.
« Si vous vous concentrez uniquement sur l’élimination des erreurs de configuration individuelles, vous devez vous y prendre à fond 100 % du temps, lorsque les pirates n’ont besoin d’avoir de la chance qu’une seule fois. Vous devez comprendre ce qu’un attaquant pourrait faire s’il pénétrait votre environnement », a expliqué Stella.
Intégrer la sécurité et la conception
Au moment où un attaquant accède à votre environnement et compromet le plan de contrôle, il est trop tard pour détecter et arrêter l’attaque.
L’astuce est d’éviter que des erreurs de configuration ne soient déployées en premier lieu. Pour ce faire, Stella a indiqué que la conception d’environnements nuageux permet de protéger le plan de contrôle des adversaires et de réduire le rayon de souffle de toute attaque potentielle.
Les entreprises prospères et sécurisées ont ajouté des considérations de sécurité à leurs processus de conception afin d’empêcher les types de vulnérabilités de cloud que les attaquants ciblent dans les processus de déploiement initiaux.
Décaler vers la gauche
La troisième stratégie que Stella observe en pratique dans les organisations avec une sécurité complète du cloud est le déplacement de la sécurité gauche.
Cela signifie donner aux développeurs et aux ingénieurs DevOps — tous ceux qui participent à la conception, au développement et à la gestion de l’infrastructure Cloud — les outils nécessaires pour les aider à concevoir et à déployer en toute sécurité, a déclaré Stella.
« C’est un changement radical dans la relation entre votre équipe de sécurité, les développeurs et les opérations », a-t-il noté. « Les équipes de sécurité assument le rôle d’architectes de la sécurité et guident les autres équipes. »
Implémenter la stratégie en tant que code
L’activateur technologique pour la stratégie susmentionnée est la stratégie sous forme de code. En alignant toutes les équipes sur « la même source de vérité en matière de sécurité », les entreprises peuvent construire une base technologique évolutive pour la sécurité du Cloud, a déclaré Stella.
La création d’applications pour le Cloud diffère de la pratique traditionnelle consistant à insérer des applications dans l’infrastructure physique du datacenter, car elle inclut la création de l’infrastructure pour les applications. C’est chose faite avec le code, ce qui signifie que DevOps et les développeurs sont en charge de ce processus.
« Ce nouveau paradigme oblige l’équipe de sécurité à devenir les experts du domaine de l’architecture cloud sécurisée et à transmettre cette connaissance aux développeurs pour les aider à construire en toute sécurité », a expliqué Stella. La façon dont ils le font est par la politique comme du code.
La stratégie en tant que code permet aux équipes de sécurité de partager des règles de sécurité et de conformité via un langage de programmation qu’une application utilise pour vérifier les erreurs de configuration. Cela peut être fait automatiquement pour vérifier d’autres codes ou environnements en cours d’exécution pour les «erreurs de configuration dangereuses» ou d’autres conditions indésirables, Stella a dit.
« Cela signifie que toutes les parties prenantes du Cloud opèrent sur la même page en matière de sécurité sans ambiguïté ni désaccord sur les règles, et que différentes équipes sont habilitées à appliquer la stratégie à chaque étape du cycle de développement du logiciel », a-t-il expliqué.
L’automatisation de ce processus de recherche et de correction des erreurs de configuration du cloud est essentielle pour éliminer les vulnérabilités avant que les attaquants ne puissent y accéder. Cela réduit également la charge de travail manuelle des équipes de sécurité qui sont sollicitées malgré la pénurie de compétences.
« Lorsque cette automatisation est basée sur une stratégie sous forme de code, vous pouvez l’adapter à l’utilisation du Cloud et à l’augmentation de la complexité. Et les développeurs peuvent utiliser ces mêmes règles pour s’assurer que l’infrastructure est sécurisée avant le déploiement afin de réduire la fréquence des erreurs de configuration qui doivent être corrigées par les équipes de sécurité », a ajouté Stella.
Mesurer ce qui compte
Enfin, les entreprises sécurisées identifient les principaux indicateurs de risque, de vitesse et d’investissement en sécurité à suivre avant d’établir des valeurs de référence, de définir des objectifs et de mesurer les progrès.
« Vous devez savoir où vous en êtes aujourd’hui sur la sécurité du Cloud, où vous voulez aller, et être en mesure de mesurer vos progrès en cours de route », a déclaré Stella. Considérez le niveau de risque que vous prenez dans le cloud, la rapidité avec laquelle vos équipes fournissent des progrès en matière de sécurité cloud et le nombre d’heures d’ingénierie investies dans la sécurité cloud, par exemple.
Ces stratégies sont en pratique dans de nombreuses organisations avec des programmes de sécurité cloud efficaces et devraient être possibles pour toute entreprise à imiter, a conclu Stella.
BRAMS Partenariat avec le leader
Grâce à son expertise, BRAMS vous propose des solutions cloud leaders sur le marché et facturées à l’utilisation. Avec BRAMS, vous pouvez désormais libérer tout votre potentiel et vous concentrer sur ce qui compte le plus : Vos activités. Grâce à ses partenariats et sa collaboration avec les plus grands pionniers mondiaux du Cloud : Microsoft, Amazon Web Services, IBM Cloud et Google Cloud, Brams est devenu un centre d’intérêt multi-industrie, pour aider les entreprises de différents secteurs et tailles à passer au Cloud.
Prenez contact avec un expert ..
Source: https://www.sdxcentral.com/articles/interview/5-ways-to-conquer-cloud-security/2022/04/
