Pratiquement toutes les entreprises utilisent une sorte de réseau cloud, ce qui signifie que la sécurité cloud est vitale. Voici notre liste de sujets que vous devez maîtriser pour rester en sécurité.
Sommaire
Haute disponibilité – y compris les acteurs de la menace
L’un des principaux avantages du cloud est la haute disponibilité qu’il offre à vos ressources hébergées. Ils sont accessibles de n’importe où. Et c’est génial. Mais cela signifie également que votre infrastructure cloud est – inévitablement! – tournée vers Internet. Cela permet à tout acteur menaçant d’essayer de se connecter à vos serveurs et services, d’effectuer des analyses de port, des attaques par dictionnaire et des activités de reconnaissance.
Certains des problèmes de sécurité qui doivent être résolus pour l’infrastructure cloud sont les mêmes que ceux de l’infrastructure traditionnelle sur site. Certains sont différents ou comportent des défis supplémentaires. La première étape consiste à identifier les risques associés à votre infrastructure cloud. Vous devez mettre en œuvre des contre-mesures et d’autres réponses et activités qui réduisent ou atténuent ces risques. Assurez-vous de les documenter et de les répéter avec toutes les parties prenantes présentes et engagées. Cela formera votre stratégie globale de sécurité dans le cloud.
Ne pas avoir de stratégie de sécurité cloud revient à ignorer la cybersécurité des réseaux terrestres. En fait, c’est probablement pire en raison de la nature du cloud face à Internet.
Les risques particuliers auxquels vous êtes confrontés varient légèrement en fonction de la façon dont vous utilisez le cloud et du mélange d’offres cloud que vous utilisez: infrastructure en tant que service, plateforme en tant que service, logiciel en tant que service. Service, Containers-as-a-Service, etc. Et il existe différentes manières de catégoriser les risques. Nous les avons rassemblés en groupes de risque cohérents mais génériques. Il se peut que certains d’entre eux ne s’appliquent pas à vos cas d’utilisation exacts, mais assurez-vous que c’est vraiment le cas avant de les supprimer.
Mauvaise configuration et erreur humaine
Les erreurs de surveillance, le surmenage ou tout simplement ne pas savoir mieux abondent encore dans les organisations de toutes tailles. Les éléments oubliés et les paramètres manqués entraînent des compromissions du système chaque semaine. La violation massive d’Equifax de 2017 qui a divulgué les données personnelles de plus de 160 millions de personnes a exploité un certificat SSL obsolète. S’il y avait eu un processus régissant les éléments renouvelables et des indications claires sur la responsabilité du processus, il est probable que le certificat aurait été renouvelé et que la violation ne se serait jamais produite.
Des conteneurs non sécurisés sont trouvés presque chaque semaine par des chercheurs en sécurité à l’aide d’outils tels que Shodan, un moteur de recherche qui recherche des appareils, des ports et des services. Certaines de ces violations et expositions surviennent parce que les gens s’attendent à ce que les choses soient sécurisées par défaut, ce qui n’est pas le cas. Une fois que vous avez démarré votre serveur distant, vous devez entreprendre les mêmes étapes de renforcement et les mêmes améliorations de sécurité que tout autre serveur. Le patch est également vital. Pour maintenir l’intégrité des défenses du serveur, des correctifs de sécurité et de maintenance doivent lui être appliqués en temps opportun.
Les applications, en particulier les magasins de données et les bases de données telles qu’Elastic Search, doivent également être renforcées après l’installation. Les comptes par défaut doivent voir leurs informations d’identification modifiées et les API protégées avec le plus haut niveau de sécurité offert.
L’authentification à deux facteurs ou à plusieurs facteurs doit être utilisée si elle est disponible. Évitez l’authentification à deux facteurs par SMS, elle est facilement compromise. Les API inutilisées doivent être désactivées si elles ne sont pas nécessaires, ou bloquées avec des clés API non émises – et privées – pour empêcher leur utilisation. Les pare-feu d’applications Web fourniront une protection contre les menaces telles que les attaques par injection SQL et les scripts intersites.
Manque de contrôle du changement
Les vulnérabilités introduites lorsque vous modifiez ou mettez à jour un système opérationnel sont liées aux erreurs de configuration. devrait être fait de manière contrôlée et prévisible. Cela signifie planifier et convenir des modifications, examiner le code, appliquer les modifications à un système en bac à sable, les tester et les déployer sur le système actif. C’est quelque chose qui convient parfaitement à l’automatisation, à condition que le pipeline de développement vers le déploiement soit suffisamment robuste et teste réellement ce que vous pensez qu’il fait, aussi minutieusement que vous en avez besoin.
D’autres changements dont vous devez être conscient se trouvent dans le paysage des menaces. Vous ne pouvez pas contrôler les nouvelles vulnérabilités découvertes et ajoutées à la liste des exploits que les acteurs de la menace peuvent utiliser. Ce que vous pouvez faire est de vous assurer que vous analysez votre infrastructure cloud afin que tous actuellement connu les vulnérabilités sont corrigées.
Des analyses de pénétration fréquentes et approfondies doivent être exécutées sur votre infrastructure cloud. La recherche et la correction des vulnérabilités est un élément essentiel pour garantir la sécurité de votre investissement dans le cloud. Les analyses de pénétration peuvent rechercher des ports ouverts oubliés, des API faibles ou non protégées, des piles de protocoles obsolètes, des erreurs de configuration courantes, toutes les vulnérabilités de la base de données Common Vulnerabilities and Exposures, etc. Ils peuvent être automatisés et configurés pour alerter lorsqu’un élément exploitable a été découvert.
Détournement de compte
Le détournement de compte est le nom de la compromission d’un système en accédant au compte de messagerie d’une personne autorisée, aux informations de connexion ou à toute autre information requise pour s’authentifier auprès d’un système ou d’un service informatique. L’acteur menaçant est alors libre de modifier le mot de passe du compte et de mener des activités malveillantes et illégales. S’ils ont compromis le compte d’un administrateur, ils peuvent créer un nouveau compte pour eux-mêmes, puis s’y connecter, laissant le compte de l’administrateur apparemment intact.
Les attaques de phishing ou les attaques par dictionnaire sont des moyens courants d’obtenir des informations d’identification. En plus des mots du dictionnaire et des permutations utilisant les substitutions courantes de nombres et de lettres, les attaques par dictionnaire utilisent des bases de données de mots de passe provenant d’autres violations de données. Si l’un des titulaires de compte a été pris dans des violations précédentes sur d’autres systèmes et réutilise le mot de passe compromis sur vos systèmes, il a créé une vulnérabilité sur votre système. Les mots de passe ne doivent jamais être réutilisés sur d’autres systèmes.
L’authentification à deux facteurs et à plusieurs facteurs sera utile ici, tout comme l’analyse automatisée des journaux à la recherche de tentatives d’accès infructueuses. Mais assurez-vous de vérifier les politiques et les procédures de votre fournisseur d’hébergement. Vous supposez qu’ils suivront les meilleures pratiques du secteur, mais en 2019, il a été révélé que Google stockait les mots de passe G Suite en texte brut depuis 14 ans.
Visibilité réduite
Conduire dans le brouillard est une tâche ingrate. Et administrer un système sans les informations granulaires de bas niveau que les professionnels de la sécurité utilisent pour surveiller et vérifier la sécurité d’un réseau est une perspective similaire. Vous ne ferez pas un aussi bon travail que si vous pouviez voir ce dont vous avez besoin.
La plupart des serveurs cloud prennent généralement en charge plusieurs méthodes de connexion telles que le protocole de bureau à distance, Secure Shell et les portails Web intégrés, pour n’en nommer que quelques-uns. Tous ces éléments peuvent être attaqués. Si des attaques se produisent, vous devez le savoir. Certains hébergeurs peuvent vous offrir une meilleure journalisation ou un accès plus transparent aux journaux, mais vous devez en faire la demande. Ils ne le font pas par défaut.
L’accès aux journaux n’est que la première étape. Vous devez les analyser et rechercher des comportements suspects ou des événements inhabituels. Agréger les journaux de plusieurs systèmes différents et les parcourir sur une seule chronologie peut être plus révélateur que de parcourir chaque journal individuellement. Le seul moyen d’y parvenir de manière réaliste est d’utiliser des outils automatisés qui rechercheront des événements inexplicables ou suspects. Les meilleurs outils vont également correspondre et trouver des modèles d’événements qui pourraient être le résultat d’attaques et qui méritent certainement une enquête plus approfondie.
Non-conformité aux réglementations sur la protection des données
La non-conformité est l’équivalent de la protection et de la confidentialité des données d’une mauvaise configuration du système. Le fait de ne pas mettre en œuvre les politiques et procédures légalement requises pour garantir la collecte, le traitement et la transmission licites des données personnelles est un autre type de vulnérabilité, mais il s’agit néanmoins d’une vulnérabilité.
C’est aussi un piège facile à tomber. La protection des données est évidemment une bonne chose, et la législation qui oblige les organisations à fonctionner de manière à sauvegarder et protéger les données des personnes est également une bonne chose. Mais il est très difficile de suivre la législation elle-même sans une aide spécialisée ou des ressources internes dotées de compétences et d’une expérience suffisantes.
Une nouvelle législation est constamment promulguée et la législation existante est modifiée. Lorsque le Royaume-Uni a quitté l’Union économique européenne (UEE) le 31 janvier 2020, les entreprises britanniques se sont retrouvées dans une position curieuse. Ils doivent adhérer à la version britannique du règlement général sur la protection des données contenue dans le chapitre deux de la loi britannique de 2018 sur la protection des données – pour toutes les données qu’ils détiennent sur des citoyens britanniques. Si l’une des données personnelles qu’ils détiennent appartient à des personnes résidant ailleurs en Europe, le RGPD de l’UE entre en jeu.
Et le RGPD s’applique à toutes les organisations, peu importe où elles sont basées. Si vous collectez, traitez ou stockez les données personnelles appartenant à des citoyens britanniques ou européens, l’un de ces RGPD s’appliquera à vous – ce ne sont pas seulement les organisations britanniques et européennes qui doivent faire face à cela. Le même modèle s’applique à la California Consumer Privacy Act (CCPA). Il protège les résidents californiens quel que soit l’endroit où le traitement des données a lieu. Ce n’est donc pas quelque chose que seules les organisations californiennes doivent maîtriser. Ce n’est pas votre emplacement qui compte. C’est l’emplacement du personne dont vous traitez les données ça compte.
La Californie n’est pas la seule à aborder la confidentialité des données par le biais de la législation. Le Nevada et le Maine ont également une législation en place, et New York, le Maryland, le Massachusetts, Hawaï et le Dakota du Nord mettent en œuvre leurs propres lois sur la confidentialité des données.
Cela s’ajoute à la législation de la législation fédérale à orientation verticale telle que la loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA), la règle de protection de la vie privée en ligne des enfants (COPPA) et la loi Gramm-Leach-Bliley (GLBA) si l’un des ceux-ci s’appliquent à vos activités.
Si vous collectez des informations via un portail ou un site Web dans votre infrastructure cloud, ou si vous traitez des données sur un serveur hébergé, une partie de cette masse de législation s’appliquera à vous. La non-conformité peut entraîner des sanctions financières importantes en cas de violation de données, ainsi que des atteintes à la réputation et la possibilité de recours collectifs.
Bien fait, c’est un travail à temps plein
La sécurité est un défi sans fin et le cloud computing apporte son propre ensemble de préoccupations uniques. Un choix judicieux de l’hébergement ou du fournisseur de services est un facteur critique. Assurez-vous de faire preuve de diligence raisonnable avant de vous engager formellement avec eux.
- Sont-ils eux-mêmes sérieux en matière de sécurité? Quel est leur bilan?
- Offrent-ils des conseils et du soutien, ou vous vendent-ils leur service et vous laissent-ils faire?
- Quels outils et mesures de sécurité fournissent-ils dans le cadre de leur offre de services?
- Quels journaux sont mis à votre disposition?
Lorsque le cloud computing est discuté, quelqu’un propose généralement cette phrase bien connue: «Le cloud signifie simplement l’ordinateur de quelqu’un d’autre.» Comme toutes les extraits sonores, c’est une simplification excessive. Mais il y a encore du vrai là-dedans. Et c’est une pensée qui donne à réfléchir.
