Bonnes pratiques de sécurité IaaS à suivre

Suivez les meilleures pratiques de sécurité IaaS pour protéger vos données.

Les décisions concernant la sécurité de l'infrastructure en tant que service (IaaS) sont difficiles en raison de la complexité inhérente des systèmes IaaS et, dans certains cas, du manque de visibilité sur la manière dont une plate-forme IaaS protège vos ressources.

Si vous êtes propriétaire d'entreprise, gestionnaire ou professionnel de l'informatique, ce guide des meilleures pratiques de sécurité IaaS peut vous aider à vous assurer que vos actifs sont protégés. Examinons les risques de sécurité liés à IaaS, avant de nous plonger dans la meilleure approche pour les minimiser.

Risques de sécurité avec IaaS

Malgré la commodité, l'évolutivité et la faible maintenance des systèmes IaaS, ils présentent des risques de sécurité uniques, notamment parce que vous devez confier vos données, votre informatique et votre réseau à un fournisseur de services externe.

Mais en fin de compte, bon nombre des risques de sécurité auxquels vous êtes confronté avec une solution IaaS sont similaires à ceux auxquels est confronté n'importe quel environnement informatique connecté à Internet. Voici quelques-uns des principaux risques dont il faut être conscient :

• Exfiltration de données . Lorsque vous utilisez une solution IaaS, votre système de stockage de données d'entreprise peut être connecté à Internet, ce qui donne aux pirates une chance d'essayer de voler des informations sensibles. Alors que les incidents liés aux données sont souvent appelés « fuites », en réalité, ils résultent souvent d'attaques complexes ou avancées.

• Perte de données : Contrairement au vol de données, la perte de données peut provenir d'un acte malveillant ou d'un accident. Par exemple, un employé qui ne comprend pas la valeur des données dans un système pourrait supprimer des fichiers précieux. Dans le même temps, les attaquants peuvent également pénétrer dans votre système et effacer délibérément des informations ou les retenir en otage dans le cadre d'une attaque par ransomware.

• Accès non autorisé : contrairement à un environnement traditionnel où les utilisateurs disposent d'ordinateurs et d'appareils sur site, une configuration IaaS est accessible via Internet à toute personne disposant des informations d'identification correctes. Cela signifie qu'à moins que tous les utilisateurs ne pratiquent une cyber-hygiène appropriée, leurs informations d'identification pourraient se retrouver entre les mains d'un acteur malveillant cherchant à pénétrer dans le système.

• Attaques internes : Les attaques internes proviennent généralement d'employés mécontents ou de ceux qui ont été payés dans le cadre d'un stratagème de cyberespionnage. Parfois, cependant, un ancien employé qui a encore des identifiants d'accès peut entrer dans un système IaaS et causer des problèmes. En supprimant les privilèges d'accès des anciens employés, vous pouvez empêcher de nombreuses attaques d'initiés.

• Logiciels malveillants et attaques par déni de service : comme pour tous les environnements basés sur des serveurs, les solutions IaaS peuvent être vulnérables à la fois aux logiciels malveillants et aux attaques par déni de service. Mais si votre fournisseur a mis en place des pare-feu et des systèmes de détection d'intrusion de nouvelle génération, il peut empêcher de nombreuses attaques de ce type.

La bonne nouvelle est qu'aucune de ces menaces ne doit vous empêcher d'adopter un modèle IaaS, surtout si vous adoptez les meilleures pratiques suivantes.

Bonnes pratiques de sécurité IaaS

Malgré une augmentation globale de l'activité des pirates et des types de menaces auxquelles les organisations ont été exposées ces derniers temps, vous pouvez faire beaucoup pour assurer la sécurité de vos systèmes. Lorsqu'il s'agit d'une solution IaaS, assurer une sécurité adéquate se résume à quelques considérations clés.

Connaître le modèle de sécurité IaaS de votre fournisseur

Le modèle de sécurité de votre fournisseur IaaS est votre première ligne de défense. À certains égards, un environnement IaaS ressemble beaucoup à toute autre situation dans laquelle vous confiez à une entité distante la sécurité de quelque chose qui vous est cher, qu'il s'agisse d'une installation de stockage, d'une banque ou d'une baby-sitter. Vous devez comprendre comment ils protègent les choses qui sont des éléments essentiels de votre vie.

Voici quelques outils et méthodologies de sécurité sur lesquels demander à votre fournisseur IaaS :

• Quels systèmes sont utilisés pour protéger les interfaces de protocole d'application (API) contre les pirates ? Les API sont accessibles via Internet, votre fournisseur doit donc être en mesure de décrire exactement comment il assure la sécurité de ceux qui contrôlent votre environnement IaaS.

• Les systèmes de prévention des intrusions (IPS) et les systèmes de détection des intrusions (IDS) doivent être au cœur d'une solution de sécurité IaaS. Votre fournisseur doit non seulement disposer de systèmes qui bloquent les menaces, mais doit également utiliser des solutions de surveillance du réseau capables de détecter les activités suspectes.

• Certains fournisseurs IaaS utilisent la segmentation du réseau pour appliquer des solutions de sécurité individuelles à des parties spécifiques de votre environnement cloud. Par exemple, ils peuvent séparer une zone de votre réseau à l'aide d'un pare-feu tandis qu'un autre pare-feu protège l'ensemble de votre infrastructure. Cela peut être utile pour empêcher les menaces de se déplacer latéralement dans votre système.

• Des pare-feu virtuels sont-ils utilisés pour protéger des charges de travail spécifiques ? Votre fournisseur IaaS peut proposer des pare-feux virtuels qui peuvent être positionnés devant les applications critiques de l'entreprise. Pour certaines organisations, cela offre un niveau de confiance supplémentaire dans la sécurisation de leurs charges de travail les plus importantes.

Comprendre l'approche de votre fournisseur en matière de responsabilité partagée

Quels que soient les outils dont dispose votre fournisseur IaaS, il est important de comprendre de quels éléments de sécurité il est responsable et lesquels vous incombent.

Par exemple, certains fournisseurs peuvent garantir la sécurité de vos données stockées, mais beaucoup ne promettent pas que les applications que vous utilisez seront à l'abri des violations, notamment parce que vous (le client) fournissez les applications exécutées dans l'écosystème IaaS.

Mais il est important de comprendre qui est censé sécuriser quoi, et de l'obtenir par écrit, afin que vous puissiez travailler avec votre fournisseur IaaS pour assurer la sécurité de tous les actifs.

Mettre en place des protocoles d'accès stricts

En utilisant des protocoles d'accès stricts, vous augmentez considérablement le degré de difficulté pour les pirates et, par conséquent, réduisez considérablement votre surface d'attaque.

Vous pouvez utiliser certaines des approches suivantes pour réduire le risque qu'une personne non autorisée accède à votre environnement IaaS :

• Les contrôles d'accès basés sur les rôles (RBAC) visent uniquement à fournir un accès aux personnes qui ont besoin de ce segment de votre réseau pour faire leur travail. Par exemple, un comptable n'aurait probablement pas besoin d'accéder à une plate-forme de développement Web, et un programmeur n'aurait pas besoin d'accéder à une base de données d'informations sur les clients, à moins qu'il ne crée une application qui l'utilise. Moins il y a de personnes ayant accès, moins votre système est susceptible de subir une brèche.

• Les principes de sécurité Zero Trust supposent que chaque personne, application et réseau qui tente d'accéder à votre système est une menace. Ce n'est qu'après avoir confirmé leur identité qu'ils sont autorisés à accéder à votre réseau. Cela signifie que même les employés n'auront pas le droit de revenir aux sessions qu'ils ont quittées quelques minutes auparavant, à moins qu'ils ne puissent revérifier qui ils sont.

• L'authentification multifacteur oblige les utilisateurs à fournir au moins une méthode supplémentaire de vérification de leur identité, telle qu'une analyse d'empreintes digitales ou un appareil physique, en plus d'un nom d'utilisateur et d'un mot de passe.

Chiffrement des données au repos

En chiffrant les données au repos, vous préservez leur intégrité tout en protégeant les systèmes qui pourraient les utiliser à l'avenir. Avec la plupart des fournisseurs IaaS, le cryptage des données est normal.

Voici comment ça fonctionne:

1. Votre fournisseur IaaS utilise un algorithme pour crypter vos données, en les transformant en un nombre défini de caractères.

2. Seuls les systèmes avec lesquels vos composants de stockage IaaS partagent une clé peuvent déchiffrer les caractères et les rendre lisibles.

3. Les algorithmes de cryptage sont conçus pour empêcher quelqu'un de comprendre le système de cryptage même s'il possède le fichier d'origine et sa forme cryptée.

Par conséquent, si quelqu'un pénétrait dans votre système et accédait au stockage en nuage de votre fournisseur, il ne pourrait pas lire les données qu'il tentait de corrompre ou de voler.

Protocoles de surveillance et inventaire réguliers

En surveillant régulièrement vos actifs cloud, vous et votre fournisseur IaaS pouvez détecter les anomalies du réseau qui indiquent une activité malveillante. La détection des problèmes au début de leur cycle de vie les empêche de se transformer en interruptions d'activité difficiles.

Par exemple, un système de surveillance de réseau peut détecter lorsqu'une grande quantité de données commence soudainement à quitter votre réseau. Dans certaines situations, cela peut être le signe qu'un attaquant externe vole des informations ou que quelqu'un à l'intérieur envoie des données à un acteur malveillant avec lequel il collabore. Avec un système de surveillance en place, vous pouvez détecter cette activité et y mettre un terme immédiatement.

L'inventaire, du point de vue d'un fournisseur IaaS, fait référence aux machines virtuelles et aux charges de travail dont elles sont responsables. En gardant une trace de votre inventaire IaaS, vous pouvez :

• Comprenez comment vos charges de travail les plus exigeantes sont gérées par vos ressources cloud

• Faire des ajustements et demander plus de ressources si nécessaire

• Empêcher une ressource réseau d'être surchargée, ce qui pourrait entraîner des vulnérabilités

Correction cohérente

Lorsque vous corrigez systématiquement les systèmes d'exploitation (OS) et les logiciels que vous utilisez en conjonction avec votre environnement IaaS, vous compliquez la tâche des pirates à la recherche de fruits à portée de main.

Par exemple, certains attaquants essaieront de tirer parti des vulnérabilités que les fournisseurs de logiciels ont déjà corrigées dans une version récente. En appliquant simplement un patch gratuit, vous coupez ces attaquants au passage.

C'est l'une des responsabilités que vous devrez peut-être assumer vous-même, en particulier parce que c'est vous qui décidez quel logiciel est exécuté dans votre environnement cloud. Heureusement, les correctifs sont souvent rapides et faciles, et si vous vous inquiétez des problèmes de compatibilité, une discussion rapide avec votre fournisseur de logiciel ou de système d'exploitation peut vous rassurer.