Ceux qui obtiennent une sécurité cloud digne d’intérêt réduisent la productivité, la vitesse et le danger pour aider leurs organisations réussissent.
Les cas d’utilisation du cloud évoluent rapidement
L’introduction du cloud computing représente une rupture radicale avec le centre de données, obligeant les groupes de sécurité à fonctionner d’une manière différente pour assurer la sécurité de l’infrastructure cloud. La conception partagée du cloud, qui définit les responsabilités de sécurité des fournisseurs de services cloud et des consommateurs de cloud, a en fait éliminé les groupes de sécurité des problèmes de sécurisation de l’infrastructure physique. Cependant, ce qui reste à leur charge – les circonstances des serveurs virtuels, les réseaux virtuels et les groupes de sécurité – nécessite tous des outils et des approches différents pour être sécurisé.
Il y a quelques années, les installations cloud ressemblaient beaucoup plus à des infrastructures de centre d’information (même si les 2 sont fondamentalement différentes) . En comparant les services cloud et les architectures que les équipes adoptent aujourd’hui, ces premiers environnements cloud semblaient assez familiers, ressemblant pratiquement à un « centre de données distant ».
Ces cas d’utilisation sont encore répandus, mais une modification plus importante est en cours : celui qui a des implications majeures pour la sécurité. De plus en plus, les équipes d’application développent et exécutent de toutes nouvelles applications dans le cloud, au lieu d’utiliser simplement le cloud comme plate-forme pour héberger des applications migrées ou tierces. Ces équipes tirent parti d’un nouveau type de ressources cloud et leurs environnements ne ressemblent plus à ce que vous trouveriez dans un centre d’information.
La modification des architectures cloud a bouleversé la sécurité
Les fournisseurs de cloud proposent désormais des centaines de services cloud spécialisés dont les groupes bénéficient, et chaque service spécialisé a ses propres facteurs de sécurité particuliers à prendre en compte. Lorsque ces services plus récents sont intégrés dans des architectures cloud natives, les groupes de sécurité se rendent compte que ce qui fonctionnait auparavant ne fonctionne plus bien ou évolue bien maintenant. Les schémas d’attaque du cloud ont également changé ; ils utilisent désormais l’automatisation pour découvrir les erreurs de configuration et utilisent des clés API pour s’exécuter par rapport au plan de contrôle du cloud pour la découverte, le déplacement et l’extraction d’informations. Les victimes de violation ne sont généralement pas au courant de ces attaques jusqu’à ce que leurs données apparaissent sur Internet.
Sur une note favorable, certaines organisations obtiennent la sécurité du cloud. Il est utile d’analyser ce qu’ils font différemment pour comprendre pourquoi ils réussissent alors que de nombreux autres échouent. Les équipes de développement et de sécurité de ces organisations efficaces réduisent leur taux de vulnérabilités de mauvaise configuration, alors même que leur utilisation du cloud évolue en taille et en complexité. Ils aident également les groupes du reste de leurs organisations à agir plus rapidement et à devenir plus efficaces.
Les cinq principes de base de la sécurité dans le cloud
Toutes les organisations qui bénéficient de la sécurité dans le cloud d’accord, concentrez-vous sur les 5 principes fondamentaux suivants.
- Ils connaissent leur environnement.
Ces groupes connaissent toutes les ressources exécutées dans leur cloud, comment les ressources sont configurées et comment elles s’associent les unes aux autres (ce n’est pas inhabituel pour les groupes de sécurité du cloud d’entreprise ne pas être au courant de 20 % ou plus de ce qui se passe dans leur environnement). Ils savent quelles applications fonctionnent sur quelles installations cloud, en plus des données incluses. Et ils préservent l’exposition sur le cycle de vie du développement d’applications logicielles (SDLC) pour leur infrastructure cloud, composée de toute infrastructure en tant que code en développement et des pipelines CI/CD utilisés.
- Ils se concentrent sur la prévention et le style protégé.
La méthode pour arrêter les failles cloud contemporaines consiste à prévenir les conditions qui possible, sans se concentrer sur la détection et l’arrêt des attaques en cours. Ces groupes ne se contentent pas d’éviter les erreurs de configuration de ressources spécifiques et se concentrent sur le développement d’environnements cloud qui sont intrinsèquement protégés par rapport aux attaques de compromission de l’avion de contrôle. La fonction d’architecte de sécurité cloud devient un rôle clé dans ces organisations.
- Ils permettent aux développeurs de développer et d’opérer fermement.Les équipes de sécurité cloud
d’aujourd’hui savent que ils ne peuvent pas tout faire et ils se concentrent sur l’autonomisation des autres équipes pour obtenir la sécurité. En fournissant des outils qui permettent aux ingénieurs d’établir une infrastructure en tant que code en toute sécurité, ils positionnent ces ingénieurs pour détecter et résoudre les problèmes tôt, éviter les longs déménagements et remodeler plus tard, et fournir des installations sûres et sécurisées plus rapidement. Ces équipes de sécurité aident également les ingénieurs à construire des garde-fous de sécurité dans les pipelines CI/CD, pour s’assurer que les vulnérabilités ne se retrouvent pas dans les environnements en cours d’exécution.
- Ils alignent et automatisent l’utilisation de la politique en tant que code (PaC).Lorsque les politiques de sécurité sont entièrement exprimées en langage humain et existent dans des fichiers PDF, elles peuvent également ne pas exister à tout. PaC permet d’exprimer les règles dans un langage que d’autres outils et applications peuvent utiliser pour confirmer l’exactitude du code et des configurations. PaC supprime les distinctions dans l’analyse, l’application et l’application, et il permet aux groupes de sécurité cloud d’augmenter leurs efforts sans avoir à augmenter les effectifs. Ils déterminent ce qui compte.
- La sécurité du cloud est liée à la discipline fonctionnelle et à la mise en place des meilleures procédures. Des groupes de sécurité efficaces identifient ce qui compte le plus, qu’il s’agisse de réduire le taux de mauvaise configuration, d’accélérer les procédures d’approbation ou de réaffecter des ressources à des tâches de plus grande valeur. Ils développent leurs lignes de base, fixent des objectifs, puis travaillent avec vigilance pour les atteindre. Et ils sont en mesure de démontrer la posture de sécurité de leur environnement – et leurs progrès – à tout moment. Ceux qui maîtrisent la sécurité du cloud la considèrent comme un catalyseur d’innovation, et non comme une fonction de blocage.
Ils opérationnalisent la sécurité du cloud dans toute l’organisation afin que chacun puisse se déplacer plus rapidement et de manière plus sécurisée.
Toute l’actualité en temps réel, est sur L’Entrepreneur
- La sécurité du cloud est liée à la discipline fonctionnelle et à la mise en place des meilleures procédures. Des groupes de sécurité efficaces identifient ce qui compte le plus, qu’il s’agisse de réduire le taux de mauvaise configuration, d’accélérer les procédures d’approbation ou de réaffecter des ressources à des tâches de plus grande valeur. Ils développent leurs lignes de base, fixent des objectifs, puis travaillent avec vigilance pour les atteindre. Et ils sont en mesure de démontrer la posture de sécurité de leur environnement – et leurs progrès – à tout moment. Ceux qui maîtrisent la sécurité du cloud la considèrent comme un catalyseur d’innovation, et non comme une fonction de blocage.
