Lorsque vous effectuez des analyses post-mortem sur les violations d’applications et d’ensembles d’informations dans le cloud, les problèmes sont souvent liés à l’interaction. Régulièrement, il ne s’agit pas d’interactions d’ordinateur à ordinateur, mais d’interactions avec les humains développant les systèmes basés sur le cloud et ceux qui sont chargés de sa sécurité.
Les applications utilisant des systèmes contemporains tels que les conteneurs, Kubernetes , et les microservices manquent généralement de vulnérabilités de sécurité qu’ils exposent. L’exemple que j’aime utiliser est que les concepteurs développent la meilleure structure intelligente connue au monde mais n’installent pas de serrures. Les serrures devaient être intégrées au bâtiment lors de la conception et ne pas être une réflexion après coup, comme elles le sont généralement dans le monde de la sécurité des systèmes cloud.
L’essence de ce problème est un manque de bonnes pratiques et d’exigences sur lesquels les personnes qui conçoivent ces options cloud natives peuvent compter. Nous commençons à voir émerger des orientations qui permettent à la fois aux équipes d’architecture et de sécurité de mieux se coordonner autour des normes et des meilleures pratiques.
Un exemple de meilleures pratiques et normes émergentes serait celles établies par l’application Groupe de travail sur les conteneurs et les microservices de la Cloud Security Alliance. Ils offrent aux concepteurs d’applications et aux concepteurs, ainsi qu’à toute personne responsable de la sécurité des conteneurs d’applications et des microservices, une méthode reproductible pour concevoir, établir et déployer un modèle d’architecture de microservices.
En d’autres termes, cet ensemble de conseils informe vous explique comment exécuter un microservice séparément et interagir avec d’autres microservices. Les microservices ont en fait progressé pour devenir un élément d’application commun des nouveaux systèmes basés sur le cloud. De toute évidence, les composants d’application ne doivent pas devenir des vecteurs d’attaque d’un pirate informatique qui a découvert comment utiliser les microservices. Quand le style rencontre la sécurité.
L’idée ici est d’avoir une coordination étroite entre ceux qui conçoivent et développent des applications cloud natives (avec ou sans microservices) et ceux qui sont responsables de la sécurité. Une grande partie de cela s’est en fait éloignée de la culture informatique, car les groupes de sécurité se sentent aveuglés par l’adoption de toutes nouvelles technologies, telles que les microservices. Dans le même temps, les équipes de développement ressentent la pression de proposer des utilisations plus innovantes et plus précieuses de la technologie cloud native pour aider l’entreprise. Nous devons faire les deux.
- Créer une culture de coordination et de communication étroites avec les équipes d’architecture cloud et de sécurité cloud.
- Motiver en utilisant les normes et les meilleures pratiques pour l’architecture. et la sécurité.
- Promouvoir l’amélioration continue et continue de l’architecture cloud native et des meilleures pratiques et innovations en matière de sécurité.
Assez simple si vous voulez mon avis. Je pense que je vais briser les batailles entre les équipes d’application et de sécurité au cours des deux prochaines années. Vous avez besoin de m’aider.
Toute l’actualité en temps réel, est sur L’Entrepreneur