Sécurité des ressources cloud – Modèle de responsabilité partagée

Dans mon post précédent sur Ressources cloud – Politique et pratique j'ai fait référence au «modèle de sécurité partagé» adopté par tous les fournisseurs de cloud. Dans cet article, nous approfondirons les différences et les conséquences du partage de la responsabilité de la sécurisation des ressources informatiques, des applications, des données et des réseaux. Que votre organisation se développe dans des ressources basées sur le cloud ou déplace un centre de données sur site, il est essentiel pour toutes les parties prenantes de comprendre les changements dans la posture de sécurité. L'incapacité à identifier et à modifier les politiques et processus de sécurité de l'entreprise peut entraîner des conséquences indésirables, telles que des violations de données, des amendes réglementaires, des pertes de revenus et un impact sur la réputation de l'entreprise.

Autrement dit, garantir l'informatique sécurisée à l'aide de ressources basées sur le cloud est un partage responsabilité entre le prestataire de services et le consommateur de ces services. La difficulté vient d'identifier exactement où cette ligne réside. Dans «l'ancien monde» des centres de données sur site, toute la responsabilité de la sécurité des serveurs (à l'exception peut-être de l'accès physique) était maintenue par l'organisation elle-même. Ce modèle de responsabilité partagée change lors de l'utilisation de ressources basées sur le cloud. Comme indiqué dans la figure 1, le client (également appelé «locataire») conserve l'entière responsabilité de certains aspects, tels que la sécurité concernant l'accès aux données, leur transfert et leur modification.

Figure 1. Resource Cloud Le fournisseur de cloud conserve l'entière responsabilité de l'installation physique, comme le matériel, le câblage, l'alimentation, la connectivité réseau, etc. Modèle de sécurité partagé

Avant d'étudier ce qui est partagé, il est important de noter que certaines responsabilités des clients ne sont jamais partagées. La responsabilité des domaines stratégiques essentiels, tels que le contrôle des privilèges administratifs, la maintenance du journal d'audit, la récupération des données, la réponse aux incidents et la sensibilisation à la sécurité des applications, est toujours conservée par le client. Pour ces politiques, le passage au cloud modifie le type et l'implémentation des contrôles (par exemple AWS CloudWatch pour l'audit et les journaux), mais pas leur nécessité.

Software as a Service

Il est d'abord nécessaire de clarifier le cloud- modèle d'utilisation informatique. Comme indiqué dans la figure 1, cela dépend fortement du type de ressources informatiques exploitées auprès d'un fournisseur de cloud. Pour le logiciel en tant que service (SaaS), à l'exception de la gestion des identités, la plupart des contrôles de sécurité sont transférés au fournisseur de cloud. Dans ce modèle d'utilisation, le locataire utilise une application «telle quelle» du fournisseur. Les exemples incluent Salesforce, Atlassian Jira / Confluence, GitHub, Chef Automate et de nombreux autres systèmes logiciels accessibles via un navigateur Web ou des appels d'API programmatiques.

Pour aider les équipes de développement et de sécurité, le Center for Internet Security ( CIS) a identifié les politiques et les contrôles requis pour le cloud computing en fonction du modèle d'utilisation. Sur la base de ces recommandations, les domaines de politique de sécurité suivants doivent être examinés / révisés lors de l'utilisation du SaaS basé sur le cloud:

• Contrôle de l'inventaire des actifs logiciels
• Configuration sécurisée pour les appareils mobiles et les postes de travail
• Configuration sécurisée des e-mails et du Web- navigateurs
• Protection et chiffrement des données
• Contrôles d'accès aux données basés sur les autorisations des utilisateurs
• Identifier la gestion de l'accès aux applications et des licences

Platform as a Service

Comme le montre la figure 1, en tirant parti des offres d'un fournisseur de cloud pour La plate-forme en tant que service (PaaS) entraîne un transfert significatif de responsabilité envers le consommateur de services. Les offres PaaS varient considérablement entre les fournisseurs de services et comprennent l'hébergement d'applications architecturales complètes, comme AWS Elastic Beanstalk et la prise en charge complète de l'automatisation du développement, comme Azure DevOps . Dans ce modèle informatique, le locataire assume la tâche de configuration d'application, de déploiement et d'autorisations d'identité, en plus de l'ensemble de l'intégrité des données et du contrôle d'accès mentionnés précédemment. Selon le degré de PaaS, le nombre et la nature des politiques / contrôles de sécurité du client devront être déterminés. En utilisant les directives CIS, les domaines de politique de sécurité suivants doivent être examinés / révisés lors de l'utilisation du PaaS basé sur le cloud:

• Contrôle de l'inventaire des actifs logiciels
• Configuration sécurisée pour les appareils mobiles et les postes de travail
• configuration sécurisée des e-mails et des navigateurs Web
• Protection et chiffrement des données
• Contrôles d'accès aux données basés sur les autorisations des utilisateurs
• Identifier la gestion de l'accès aux applications et des licences
• Surveillance des logiciels malveillants et des vulnérabilités (si l'accès au serveur fait partie de l'offre PaaS)
• Configuration et segmentation sécurisées du réseau

Infrastructure as a Service

Le modèle d'utilisation de l'Infrastructure as a Service (IaaS) entraîne un nouveau transfert de responsabilité vers le locataire. Dans ce cas, le fournisseur de cloud est uniquement responsable de la sécurité et de la résilience de l'installation physique. Essentiellement, dans ce modèle informatique, l'organisation tire parti de la flexibilité du fournisseur de cloud pour créer et supprimer des serveurs virtuels, des connexions réseau et le stockage de données. À l'exception de l'absence de matériel physique, ce modèle est le plus proche d'un modèle standard sur site. Le locataire est donc entièrement responsable de la sécurisation des systèmes d'exploitation, des serveurs, de la configuration du réseau, du contrôle d'accès, ainsi que du déploiement de toutes les applications. Sur la base de ces exigences, les directives CIS ajoutent les domaines de politique suivants pour examen lors de l'utilisation d'IaaS:

• Contrôle des stocks sur le matériel et les actifs logiciels
• Configuration sécurisée pour les appareils mobiles et les postes de travail
• configuration sécurisée de courriers électroniques et navigateurs Web
• Protection et chiffrement des données
• Contrôle d'accès aux données basé sur les autorisations des utilisateurs
• Identifier la gestion de l'accès aux applications et des licences
• Surveillance des logiciels malveillants et des vulnérabilités (si l'accès au serveur fait partie de l'offre PaaS)
• Configuration et segmentation sécurisées du réseau
• Accès limité aux ports, protocoles et services du réseau
• Capacités de récupération des données
• Défense des limites
• Renforcement du système d'exploitation

Conclusion

Comme discuté dans cet article, il peut être difficile pour les équipes de développement et de sécurité de comprendre d exactement où se situe la responsabilité de la sécurité et de la conformité lors de l'utilisation de ressources informatiques basées sur le cloud. Le modèle de sécurité partagée offre certaines directives, tout comme les ressources en ligne telles que CIS et HiTrust pour faciliter l'identification et l'établissement de politiques appropriées. Au bout du compte, cependant, il appartient aux équipes de développement, de sécurité et de gestion des produits d'assurer la conformité et la sécurité appropriées lors de l'utilisation des ressources informatiques basées sur le cloud.