Développer des pratiques de sécurité des données avant, pendant et après les migrations vers le cloud

Vous avez engagé un constructeur pour construire une nouvelle maison sur un terrain que vous avez acquis, et il dit que vous êtes prêt à emballer vos affaires et à emménager. Après inspection, vous vous rendez compte que les portes ont une seule serrure à pêne dormant, les fenêtres du premier étage sont facile à enlever, et ils n’ont pas installé le système d’alarme vidéo. Êtes-vous prêt à emménager ou allez-vous insister pour que l’entrepreneur comble d’abord ces failles de sécurité ?

La question de la préparation de la sécurité se pose chaque fois qu’une équipe devops configure de nouveaux environnements cloud, lève et déplace une application vers le cloud, ou déploie des bases de données cloud et des lacs de données. Il faut un effort d’équipe important pour que toute la technologie soit prête pour les migrations vers le cloud, mais cela nécessite de la discipline pour résoudre les vulnérabilités de sécurité potentielles avant d’ouvrir les services cloud à l’entreprise.

Mais c’est là que s’arrête l’analogie, car la protection d’une maison est beaucoup plus facile à sécuriser qu’une migration vers le cloud.

Nous comprenons comment la plupart des gens utilisent leur domicile et les menaces de sécurité les plus courantes, mais ce n’est pas simple pour les applications cloud et les bases de données. La façon dont les employés accèdent aux données sous-jacentes et les utilisent évolue, y compris l’endroit où les gens travaillent, les outils qu’ils intègrent et l’échelle des opérations sous-jacentes. Les risques de sécurité augmentent également parce que de plus en plus d’employés travaillent à domicile et que de plus en plus d’entreprises collaborent avec des partenaires extérieurs. La configuration et la surveillance des services cloud nécessitent de concevoir et de gérer ces cas d’utilisation de la sécurité.

Les équipes Devops ont besoin de garde-corps de sécurité

Les meilleures équipes de devops doivent adopter une approche axée sur les tests pour sécuriser leurs environnements cloud. Tout comme le développement de cas de test pour les microservices et les applications avant de développer la fonctionnalité, l’équipe doit disposer d’une liste de contrôle pour valider la sécurité du cloud pour les vulnérabilités avant, pendant et après les migrations vers le cloud.

Voici quelques étapes qui peuvent apparaître dans un liste de contrôle de la sécurité de la migration vers le cloud:

• Avant la migration : verrouillez les points de terminaison du réseau, configurez les privilèges d’accès aux données et installez les agents de surveillance.
• Pendant la migration : mettez à jour la CMDB, validez les contrôles d’accès aux applications et mettez à jour les systèmes de gestion des opérations informatiques.
• Après la migration : Surveillez les endpoints, corrigez les vulnérabilités et consolidez les serveurs en fonction de l’utilisation.

La liste de contrôle aide à apporter un état d’esprit de sécurité « décalé vers la gauche » aux équipes devops qui sont sous pression pour migrer davantage d’applications vers le cloud, augmenter la fréquence de déploiement et développer de nouvelles capacités d’analyse.

Après la migration : la protection des données favorise l’hygiène de la sécurité

Les équipes informatiques et de sécurité disposent de nombreuses bonnes pratiques pour protéger les actifs technologiques qui changent rarement, et elles se concentrent sur le verrouillage des terminaux, la sécurisation des communications, les systèmes de correctifs et la surveillance des intrusions.

Les applications et les services métier exécutés dans le cloud ont besoin de ces protections, et bien plus encore.

En effet, les objectifs communs du déplacement des services, des applications, des magasins de données et des systèmes d’entreprise vers le cloud sont d’augmenter l’accès à davantage de personnes et d’augmenter l’utilisation. La plupart des chefs d’entreprise souhaitent améliorer les pratiques axées sur les données et considèrent les migrations vers le cloud comme un moyen de faire évoluer les systèmes, d’améliorer les performances, d’augmenter les intégrations de flux de travail et d’offrir de meilleures expériences de travail hybrides aux employés.

La migration vers le cloud augmente les risques de sécurité, et les groupes informatiques et de sécurité proactifs réagissent en surveiller leurs données sensibles. À mesure que les données augmentent, que l’utilisation augmente et que de nouveaux cas d’utilisation émergent, ces équipes ont besoin d’outils qui alignent les droits d’accès sur les besoins de l’entreprise et suivent l’accès aux données.

Le déplacement des applications et des données vers le cloud présente de nombreux avantages commerciaux, mais les responsables informatiques et de la sécurité doivent pouvoir gérer les défis permanents de la sécurité des données dès les premières étapes des migrations vers le cloud.

A propos de l’auteur:

Isaac Sacolick, président de StarCIOest l’auteur du best-seller Amazon Conduire le numérique : le guide du leader pour la transformation de l’entreprise grâce à la technologie et un livre à venir, Digital Trailblazer : leçons essentielles pour démarrer la transformation et accélérer votre leadership technologique. Il couvre planification agile, devops, science des données, gestion des produits et autres bonnes pratiques en matière de transformation numérique. Sacolick est un CIO social reconnu, un influenceur de la transformation numérique, et a plus de 800 articles publiés sur InfoMonde, CIO.comson blog Social, Agile et Transformationet d’autres sites.

Ce billet vous est proposé par Tanium et CIO Marketing Services. Les points de vue et opinions exprimés ici sont ceux de l’auteur et ne représentent pas nécessairement les points de vue et opinions de Tanium.