Sécuriser votre chaîne d'approvisionnement cloud

Par Matt Chiodi, directeur de la sécurité, Cloud public, Palo Alto Networks

La sécurité de la chaîne d'approvisionnement est devenue une priorité pour de nombreux dirigeants, car incident après incident a révélé des vulnérabilités de la chaîne d'approvisionnement qui exposent à des risques organisationnels importants. Les défis de sécurité commelog4jetTempête solaire ont battu des organisations de toutes tailles avec des risques qu'ils ne savaient probablement même pas qu'ils avaient. Avec une attaque de la chaîne d'approvisionnement, une vulnérabilité dans un composant d'une pile logicielle peut exposer toute une organisation à une exploitation potentielle.

Recherche de Palo Alto Networks Unit 42 a identifié un type de risque particulièrement impactant dans la chaîne d'approvisionnement cloud qui devrait être une source de préoccupation majeure. Notre équipe de recherche a découvert que 63 % du code tiers utilisé pour créer une infrastructure cloud n'est pas sécurisé. Les risques de sécurité incluent des erreurs de configuration qui exposent les organisations à des risques, des autorisations mal attribuées et des bibliothèques de code vulnérables.

Qu'est-ce que la chaîne d'approvisionnement cloud de toute façon ?

La plupart du temps, lorsque les individus parlent de la chaîne d'approvisionnement, ils pensent à des choses comme des gadgets physiques et des marchandises qui se déplacent d'un endroit à un autre. Ce que de nombreuses organisations n'ont pas encore compris, c'est le fait que le mouvement de ces biens physiques est souvent rendu possible par des applications qui s'exécutent dans le cloud. Pour aller plus loin, si votre organisation crée ses propres applications cloud natives, vous avez une chaîne d'approvisionnement au sein d'une chaîne d'approvisionnement.

Les applications cloud natives modernes sont créées et composées en trois étapes de haut niveau. Au premier niveau se trouve le provisionnement de l'infrastructure cloud. La deuxième étape consiste à disposer d'un service d'orchestration de conteneurs Kubernetes®, la plate-forme sur laquelle les applications sont déployées. La troisième étape est le déploiement des images de conteneur d'application elles-mêmes. Chacune de ces trois couches peut présenter des erreurs de configuration ou des éléments de code vulnérables.

Abandon de la SBOM (Software Bill of Materials)

Bien que la sécurité de la chaîne d'approvisionnement dans le cloud puisse être complexe, elle offre également des opportunités pour la rendre plus simple. Avec les applications cloud natives, les conteneurs sont presque toujours utilisés, ce qui permet aux organisations de suivre plus facilement le contenu d'une application.

Le concept de nomenclature logicielle (SBOM) est simplifié avec les conteneurs car ils sont déclaratifs. Un utilisateur peut regarder à l'intérieur du manifeste du conteneur et ligne par ligne, et comprendre ce qu'il y a à l'intérieur du conteneur.

Les SBOM sont appelés à faire de plus en plus partie de la chaîne d'approvisionnement des logiciels, en partie grâce àDécret exécutif 14028qui rend obligatoire l'utilisation de SBOM pour les fournisseurs du gouvernement américain.

La chaîne d'approvisionnement cloud peut être complexe, compte tenu de toutes les différentes couches, composants et sources. Bien que complexe, la sécurité de la chaîne d'approvisionnement cloud peut être gérée avec une approche stratégique en quatre étapes :

Étape 1 : Définir la stratégie

Une première étape essentielle consiste à définir une stratégie globale pour la chaîne d'approvisionnement cloud qui commence par une approche de décalage vers la gauche. Le concept de déplacement vers la gauche consiste à déplacer la sécurité plus tôt dans le processus, parfois également appelé DevSecOps. La stratégie n'a pas non plus besoin d'être décrite dans un document volumineux. Tout ce dont vous avez vraiment besoin au départ est un aperçu de la vision, des rôles et des responsabilités. Itérer dans le temps à partir d'ici.

Étape 2 : Comprendre où et comment le logiciel est créé

C'est là que vous devrez peut-être creuser un peu pour comprendre où et comment les logiciels sont créés dans l'organisation. Il s'agit vraiment de sortir et de documenter comment le logiciel le fait depuis l'ordinateur portable d'un développeur jusqu'à ce qu'il arrive dans l'environnement de production en nuage.

Étape 3 : Identifier et mettre en œuvre des garde-corps de qualité de sécurité

Dans les processus de fabrication traditionnels, les contrôles de qualité font depuis longtemps partie des opérations. Cependant, cela n'a pas toujours été le cas lorsqu'il s'agit d'applications cloud. Ce qu'il faut, c'est identifier où l'organisation peut mettre en place des contrôles proactifs tout au long de la création du logiciel. De bons contrôles de sécurité doivent inclure autant d'automatisation que possible pour aider à compléter les efforts de révision manuelle du code, qui ne s'adapteront pas d'eux-mêmes.

Étape 4 : Envisagez les certifications

Alors que les trois premières étapes consistent à intégrer la sécurité dans les applications qu'une organisation développe, il est également nécessaire de valider la sécurité des applications et de l'infrastructure cloud qu'elle consomme. C'est un domaine où les certifications peuvent jouer un rôle. Les grands fournisseurs de cloud ont généralement une litanie d'attestations et de certifications tierces. Parmi les plus courants figurent SOC2 Type II et ISO 27001, qui identifient la manière dont un fournisseur met en œuvre ses propres contrôles de sécurité et les vérifie de manière indépendante.

Il est important d'avoir ces certifications pour pouvoir comprendre comment les fournisseurs traversent et évaluent systématiquement les risques. Ceci est important, car lorsque vous commencez à faire évoluer l'utilisation du cloud, le fournisseur est désormais une extension directe de votre entreprise.

L'utilisation de toutes les étapes décrites ici peut aider un responsable de la sécurité à mettre son organisation sur une voie solide non seulement pour déplacer la sécurité vers la gauche, mais aussi pour faire de la sécurité un synonyme de développement. Compte tenu de la dépendance croissante des organisations vis-à-vis du cloud et des applications cloud natives, le moment est venu de mettre en œuvre une stratégie de sécurité de la chaîne d'approvisionnement cloud

Pour en savoir plus, rendez-nous visiteici.

À propos de Matt Chiodi :

Matt a près de deux décennies d'expérience dans la direction de la sécurité et est actuellement directeur de la sécurité du cloud public chez Palo Alto Networks. Il travaille avec des organisations pour développer et mettre en œuvre une stratégie de sécurité pour l'adoption et la maturité du cloud public. Il le fait par le biais de réunions consultatives avec des clients, de blogs fréquents et de conférences lors d'événements de l'industrie tels que RSA. Il dirige actuellement l'équipe Unit 42 Cloud Threat qui est un groupe d'élite de chercheurs en sécurité exclusivement axés sur les problèmes de cloud public. Chiodi a siégé au conseil d'administration de divers organismes à but non lucratif, notamment le vice-président du conseil d'administration et le gouverneur de l'InfraGard de Philadelphie. Il est actuellement professeur à IANS Research.