Au cours de la dernière décennie, les organisations ont prévu – ou ont déjà prévu – déplacé toutes leurs données vers le cloudÀ première vue, le cloud computing semble prometteur : coûts d’exploitation réduits, déploiements géographiques illimités et puissance de calcul exponentielle (et stockage de données)… mais qu’en est-il des risques associés ? sécuriser les données dans votre environnement cloud ?
Examinons certains des risques potentiels liés au fait de placer toutes vos données dans le cloud sans visibilité, connaissances, stratégie de sécurité (ou portes) appropriées, ou plan de remédiation des risques.
Déploiement en un clic (ou déploiements d'infrastructure en tant que code)
Le cloud computing a permis de déployer l'infrastructure de manière fluide (y compris les banques de données). Les systèmes de modèles sont faciles à déployer et, à grande échelle, permettent aux équipes d'ingénierie de créer très facilement des solutions complexes. environnements cloud. Avec toute cette facilité de déploiement, il existe le risque qu'une simple mauvaise configuration laisse l'accès aux bases de données/magasins de données (AWS s3) grand ouvert ou un attaquant accédant à vos pipelines de build et injectant du code malveillant.
Ces derniers mois, nous avons constaté une recrudescence des attaques d'acteurs malveillants, comme TeamTNT, qui compromettent les modèles AMI (Amazon Machine Image) des entreprises et y injectent des cryptomineurs. Lorsque les équipes d'ingénierie extraient automatiquement les modèles dans leurs pipelines de build, elles déployaient souvent des modèles compromis. Bien qu'il ne s'agisse que d'un exemple de cryptomineur, il aurait tout aussi bien pu s'agir d'un malware d'accès à distance ou d'une voie express vers l'adresse IP de l'attaquant.
Lacunes en matière de connaissances
Toute nouvelle technologie ou plateforme engendre inévitablement des difficultés de croissance. Le cloud computing ne fait pas exception. Chaque fournisseur de cloud utilise une appellation différente pour le calcul (EC2 ou VM), le stockage (S3 ou Blob) et le réseau (Route 53 ou DNS), ce qui peut compliquer la recherche d'ingénieurs maîtrisant parfaitement la configuration de ces deux technologies. On observe déjà une pénurie d'ingénieurs hautement qualifiés, ce qui contraint les entreprises à former leurs ressources (ou à manquer de personnel) à la volée. En attendant, elles poursuivent leurs activités comme si de rien n'était, tout en stockant des téraoctets ou des pétaoctets de données dans un stockage cloud non configuré de manière sécurisée.
Regardez le Violation de données chez Optus Cela a été signalé il y a quelques jours… « Un employé avait l'intention d'ouvrir la base de données d'identité des clients d'Optus via une API, mais n'a pas requis d'authentification et l'accès a été laissé via un réseau de test. » Cela a finalement conduit un pirate informatique à compromettre environ 11 millions de dossiers clients et à menacer de divulguer les données si Optus ne payait pas 144 millions de dollars américains.
Que pouvez-vous faire pour lutter contre les risques liés au cloud ?
Même si tout cela semble voué à l'échec, ce n'est pas forcément le cas. Placer vos données dans le cloud ne signifie pas forcément que vous êtes voué à l'échec, aux risques et à la vulnérabilité. Les fournisseurs de cloud ont renforcé leurs capacités de sécurité, et plusieurs d'entre elles doivent être un enjeu majeur pour votre entreprise. pile de sécurité cloudCroyez-le ou non, au final, tout ce que les attaquants (du moins le 99%) veulent, ce sont vos données ou vos ressources informatiques. Leur objectif final est un gain financier.
1. Visibilité des données –
- Si vous ne savez pas où se trouvent vos données, comment pouvez-vous les protéger ? Il n'est plus acceptable de supposer que vos données se trouvent uniquement dans le compartiment S3 sur lequel vous pensiez qu'elles se trouvaient ou qu'elles sont stockées dans cette base de données.
- Vous avez besoin visibilité complète des données dans votre environnement cloud et la capacité de remédier à la situation lorsque vous trouvez des données non chiffrées, externes ou obsolètes.
2. Gestion de la posture de sécurité du cloud (CSPM) –
- Savez-vous seulement ce qui est déployé ?
- …et lorsque vous savez ce qui est déployé, êtes-vous conscient des vulnérabilités ou des erreurs de configuration ?
- C'est là qu'un CSPM est crucial. Être capable d'analyser les systèmes en temps réel et d'identifier les vulnérabilités et les erreurs de configuration est absolument essentiel pour sécuriser votre environnement cloud.
3. Accès contrôlé –
- Qui dans votre organisation a la capacité de accéder à votre environnement cloud ?
- Qui a la capacité de déployer des systèmes/charges de travail ?
- Le contrôle des accès peut être assuré par votre fournisseur d'identité et la mise en œuvre d'un contrôle d'accès basé sur les rôles (RBAC). Il est essentiel de limiter l'accès à votre environnement cloud et de limiter les personnes autorisées à déployer les systèmes. Il est essentiel de garantir une approbation adéquate pour le déploiement des charges de travail. Il est très difficile de gérer les systèmes cloud si tout le monde peut y accéder et lancer une charge de travail.
- Si vous êtes une entreprise SaaS hébergeant un ou plusieurs produits pour des clients : je vous le recommande vivement solutions d'accès en libre-service/juste à temps qui permettent un accès spécifique en fonction des rôles (par exemple, support) et garantissent que l'accès est révoqué après une période de temps définie.
4. Analyse de l'infrastructure en tant que code (IAC) –
- Les déploiements cloud étant désormais codifiés, il est important que les modèles, fichiers, modules et variables soient analysés par un scanner IAC dans vos pipelines de build pour détecter les erreurs de configuration et les vulnérabilités avant d'être poussés vers la production.
Le cloud est une formidable innovation. Adoptez-le. Mais soyez intelligent : assurez-vous de bien couvrir vos données. stockage dans le cloud, à la configuration, aux contrôles que vous mettrez en place pour gérer les risques.
Obtenir une démonstration 1:1 avec nos experts en sécurité dès aujourd'hui !