Tour d’horizon de l’ingénierie en sécurité Cloud
Objectifs de formation
Une fois cette unité terminée, vous pourrez :
- Définir ce qu’est l’ingénierie en sécurité Cloud
- Identifier comment les ingénieurs en sécurité Cloud travaillent avec d’autres équipes et fournisseurs
- Expliquer l’importance de l’ingénierie en sécurité Cloud
Présentation de l’ingénierie en sécurité Cloud
Le Cloud Computing est associé à de nombreux problèmes et défis de sécurité uniques. Dans le Cloud, les données sont stockées chez un fournisseur tiers et accessibles via Internet. Cela signifie que la visibilité sur la structure qui contient ces données est limitée. Ainsi, les clients peuvent ne pas avoir une vision claire de la surface d’attaque et éprouver des difficultés à prédire les vecteurs d’attaque qu’un acteur malveillant pourrait exploiter. Il est impératif que le client et le fournisseur de services Cloud comprennent quels sont leurs rôles respectifs et les problèmes de sécurité inhérents au Cloud Computing.
En tant qu’ingénieur en sécurité Cloud, vous aidez votre organisation à maintenir une posture de sécurité résiliente dans le Cloud. Pour ce faire, vous protégez la confidentialité, l’intégrité et la disponibilité (CIA) des systèmes Cloud, ainsi que des informations stockées et traitées par ces systèmes. Intéressons-nous de manière plus précise à la signification de chacun de ces termes.
- La confidentialité consiste à garder les données privées ou secrètes en contrôlant l’accès à celles-ci et en en empêchant toute divulgation non autorisée. Par exemple, seuls les employés autorisés doivent avoir accès à la base de données contenant les informations relatives aux paies des employés.
- L’intégrité consiste à s’assurer que les données n’ont pas été altérées et qu’elles sont donc fiables. Par exemple, cela implique de faire en sorte que les informations sur les produits et les prix figurant dans un système de commerce digital soient correctes.
- La disponibilité consiste à faire en sorte que l’infrastructure, les systèmes et les applications soient opérationnels et que les utilisateurs autorisés aient un accès rapide et fiable aux ressources lorsqu’ils en ont besoin. Par exemple, cela leur est utile pour empêcher des attaques par déni de service lors desquelles des individus malveillants rendent délibérément un système inaccessible à ses utilisateurs prévus.
Faisons la connaissance d’Andrea. Elle est ingénieure en sécurité Cloud dans une université. Elle aide son organisation à adopter, créer et mettre en œuvre des technologies Cloud. Elle a travaillé sur des projets tels que la migration de l’ancien système de planification des cours de l’université vers le Cloud, et a participé au processus d’élaboration et d’ingénierie d’un nouveau système Cloud natif dédié aux activités administratives.
Actuellement, Andrea évalue l’infrastructure existante de l’université et recherche des solutions pour transférer différentes fonctionnalités, comme le stockage de la base de données associée aux cours, vers un système s’appuyant sur le Cloud. Elle évalue l’infrastructure informatique existante de l’université et propose des changements en collaboration avec les équipes d’architecture et d’ingénierie. Elle travaille en étroite synergie avec ces équipes pour intégrer la structure existante de la base de données dans un système axé sur le Cloud.
Migration de systèmes, amélioration de la sécurité et application de politiques
Lorsque l’équipe décide de migrer le stockage de la base de données vers le Cloud, Andrea participe à la migration et assure la maintenance du système dans le Cloud. Elle négocie également les conditions des contrats conclus avec les fournisseurs de services Cloud utilisés par l’université. Andrea communique avec la direction de l’université au sujet de l’avancement du projet tout au long de sa réalisation.
Tous les jours, Andrea travaille à améliorer la sécurité des systèmes Cloud de l’université et des données de ses étudiants, de ses professeurs et de son personnel. Elle développe et implémente des meilleures pratiques de sécurité, puis fait la promotion de celles-ci dans l’ensemble de l’environnement informatique de l’université, notamment en fournissant des recommandations de sécurité sur des sujets tels que la conception de microservices (une approche architecturale visant à développer une application unique sous la forme d’une suite de petits services) et le développement d’applications. Elle analyse en permanence les structures Cloud existantes pour créer de nouvelles méthodes de sécurité améliorées, et collabore étroitement avec les architectes de sécurité de l’université afin de développer des cadres de sécurité Cloud pour celle-ci.
Elle participe également à la mise en application de politiques de sécurité et à l’implémentation de contrôles de sécurité pour les systèmes Cloud. Ces contrôles sont notamment liés à la gestion des accès, à l’authentification, à la sécurité des applications, à la protection des données, à la gestion des clés, au chiffrement et aux pare-feux. Elle travaille avec les équipes pertinentes pour concevoir les infrastructures (réseau, systèmes d’exploitation, bases de données) et les applications de sorte qu’elles offrent une protection contre les attaquants et permettent d’établir et d’assurer la sécurité du Cloud. Elle intervient même de manière concrète en implémentant des mécanismes de protection physique tels que des pare-feux et des tunnels de réseau privé virtuel (VPN).
Surveillance des systèmes et production de rapports sur les métriques
En plus d’implémenter ces protections de sécurité, Andrea surveille la posture de sécurité des systèmes et de l’infrastructure Cloud de l’université, s’efforce de détecter les menaces et participe aux activités de réponse aux incidents. Elle met en place des protections contre les menaces zero-day et inspecte le trafic chiffré et non chiffré pour détecter les menaces tout au long de la chaîne de frappe, qui est un modèle décrivant les étapes d’une cyberattaque. Elle effectue des simulations de menaces pour détecter les risques possibles et teste les vulnérabilités de sécurité. Elle configure également la surveillance des systèmes clés pour vérifier la confidentialité, l’intégrité et la disponibilité des ressources et des processus critiques. Elle examine les journaux du système et des applications pour vérifier l’achèvement de tâches planifiées critiques, telles que des sauvegardes.
Enfin, Andrea développe et gère des métriques clés relatives à la sécurité Cloud, et produit des rapports à leur sujet. Parmi les métriques qu’elle suit, on trouve notamment le nombre d’appareils non gérés ayant accès à des données sensibles dans le Cloud, le nombre d’instances de données sensibles sur le Cloud dans lesquelles l’organisation ne gère pas les clés de chiffrement et le nombre d’applications Cloud non gérées qui ne disposent pas de journaux permettant de suivre l’activité et les connexions des utilisateurs. Elle collabore avec les équipes technologiques et commerciales pour pallier les lacunes indiquées par ces métriques. Elle travaille également avec l’équipe de réponse aux incidents pour réparer les conséquences des incidents et des pannes technologiques, et assurer la reprise après ces événements, en assurant la coordination et la communication avec les équipes touchées. C’est une véritable super-héroïne de la sécurité Cloud !
Équipes assurant la sécurité du Cloud
En tant qu’ingénieur en sécurité Cloud, vous faites souvent partie d’une équipe plus large dédiée à la gestion et à la sécurité des activités Cloud. Vous enseignez aux autres équipes les méthodes de programmation appropriées. Vous travaillez également avec des équipes multidisciplinaires composées de collaborateurs spécialisés dans les aspects logiciels, opérationnels et architecturaux.
En outre, l’utilisation du Cloud Computing pourrait entraîner l’externalisation d’un nombre croissant de fonctions informatiques. Il est courant qu’une entreprise travaille avec des prestataires et des sous-traitants pour tirer parti de compétences spécialisées, telles que le chiffrement des données, la gestion des clés et l’authentification Cloud. Dans certains cas, un ingénieur peut avoir besoin d’échanger par téléphone ou par e-mail avec une ressource technique située dans une ville éloignée qui travaille sur son infrastructure Cloud. Ces partenaires Cloud apportent à un projet une expertise qui n’est peut-être pas disponible en interne. Il s’agit d’une stratégie efficace à adopter dans un contexte où les technologies Cloud continuent d’évoluer.
Importance de l’ingénierie en sécurité Cloud
La technologie informatique joue un rôle de plus en plus déterminant dans le monde entier. Presque tous les secteurs s’appuient davantage sur diverses formes de technologie pour mener leurs activités au quotidien. Dans ce paysage en évolution, la sécurité est devenue une considération cruciale.
Dans un contexte où les entreprises s’éloignent du modèle fondé sur les infrastructures sur site pour adopter une approche axée sur le Cloud lors de la mise à niveau ou de la conception de nouveaux environnements, le besoin d’embaucher des spécialistes technologiques ayant une expérience du Cloud a considérablement augmenté.
Tout système informatique connecté à Internet nécessite une sécurité robuste. Le Cloud est particulièrement vulnérable aux attaques car un grand nombre de ses composantes peuvent faire l’objet de menaces. Lorsque les applications sont hébergées dans le centre de données d’une entreprise, l’approche en matière de sécurité peut s’avérer très simple : il vous suffit d’implémenter les solutions de technologie de sécurité appropriées aux endroits adéquats pour répondre aux problèmes de sécurité vous concernant spécifiquement. La sécurité du centre de données peut être assurée en protégeant étroitement les connexions externes avec des pare-feux et des systèmes de détection d’intrusion.
Toutefois, dans l’environnement moderne du Cloud Computing distribué, assurer le maintien de la sécurité s’avère beaucoup plus difficile. Dans l’environnement Cloud, la sécurité est une responsabilité partagée entre le fournisseur de Cloud et le client utilisant les services Cloud.
Responsabilités du fournisseur et du client
Conçue sous forme de différentes couches, la sécurité inclut à la fois des composants physiques et des composants logiques. L’infrastructure Cloud fournie par les fournisseurs d’infrastructure en tant que service (IaaS) est protégée de diverses manières. Du point de vue de la disponibilité, l’infrastructure est conçue par le fournisseur pour être hautement disponible, et cet aspect relève de sa responsabilité. En ce qui concerne la sécurité, le fournisseur est uniquement responsable de la sécurisation de l’infrastructure qu’il fournit.
En tant que client, lorsque vous installez une ou plusieurs applications virtualisées dans l’infrastructure Cloud du fournisseur, vous êtes responsable de la sécurisation des accès, du trafic réseau et des applications de données. De nombreux fournisseurs proposent des outils de sécurité permettant de sécuriser différentes sections de l’environnement des applications Cloud du client. Cependant, l’utilisation de ces outils peut poser quelques problèmes.
Premièrement, ces outils peuvent fournir uniquement quelques fonctionnalités de sécurité de base, et sont par ailleurs déjà utilisés par les fournisseurs pour sécuriser l’infrastructure sous-jacente. Si un attaquant s’avérait capable d’outrepasser la protection offerte par ces outils au niveau de l’infrastructure, il serait probablement en mesure d’en faire de même au niveau de l’application du client.
Deuxièmement, et c’est peut-être là un aspect encore plus important, de nombreuses organisations opèrent dans un environnement hybride au sein duquel certaines de leurs applications restent hébergées dans leurs propres centres de données, d’autres sur la plate-forme Cloud IaaS d’un fournisseur ou la plate-forme Cloud d’un autre fournisseur, tandis que d’autres encore sont gérées par plusieurs fournisseurs de logiciels en tant que service (SaaS). C’est ce que nous appelons un environnement « multi-cloud », et il s’accompagne d’un problème qui lui est inhérent, à savoir l’existence de plusieurs solutions de sécurité indépendantes et non coordonnées. Une telle situation peut d’ailleurs se complexifier en fonction du nombre de fournisseurs de Cloud impliqués. Cela peut poser un défi de sécurité conséquent, et souligne l’importance et la nécessité de disposer d’ingénieurs qualifiés en sécurité Cloud.
Conclusion
Le Cloud Computing offre de nombreux avantages aux développeurs et peut contribuer à rendre la technologie plus accessible au monde entier. Toutefois, pour employer efficacement cette technologie, les organisations doivent intégrer la sécurité dans le Cloud. La migration vers les environnements Cloud fait émerger de nouveaux défis et nécessite une réévaluation des solutions de sécurité et de conformité. Cela signifie que vous avez beaucoup de travail en tant qu’ingénieur en sécurité Cloud pour garantir la sécurité des solutions Cloud utilisées par votre organisation. Dans l’unité suivante, nous examinerons de plus près vos responsabilités en la matière et les compétences qui s’y rapportent.
Ressources
- Site externe : CSA : bienvenue dans Cloud Security Alliance
- Site externe : Fortinet : L’évolution de la cybersécurité (Connexion requise)
- Site externe : CISA : Site externe : McAfee : Problèmes de sécurité du Cloud Computing