Les bonnes pratiques de la protection des traitements cloud

Sécuriser les machines virtuelles

Pour assurer la protection des traitements cloud basés sur des machines virtuelles, il convient de respecter ce qui suit :

1. S’assurer de l’existence de standards de configuration pour tous les systèmes d’exploitation utilisés pour les VM. Ceux-ci peuvent suivre les références du Centre pour la Sécurité d’Internet (CIS) ou d’autres, mais formaliser ses propres standards est un bon départ. Cela fait, des modèles d’images de machines virtuelles conformes à ces standards doivent être construits puis sauvegardés suivant les formats de VM cloud tels que les Amazon Machine Images ou les modèles Azure VM.
2. Pour les déploiements hybrides, il est généralement préférable d’implémenter un outil agnostique tel que Chef ou Puppet qui pourra être utilisé aussi bien en interne que dans le cloud pour configurer automatiquement les machines virtuelles et en surveiller en continu la configuration. Si vous utilisez déjà des recettes de Chef ou des playbooks Ansible, il est possible d’étendre simplement les modèles de configuration aux traitements cloud. Il convient alors de catégoriser ces modèles appliqués aux traitements avec des tags ou autres métadonnées.
3. Si possible, appliquer les correctifs et les mises à jour aux modèles de VM au lieu des machines en production, plus déployez de nouvelles machines virtuelles avant d’arrêter les anciennes. Toutefois, ce type de cycle de mise à jour peut prendre du temps à mettre en place.
4. Utilisez les systèmes d’administration intégrés aux plateformes cloud, comme AWS Systems Manager pour les déploiements exclusivement cloud. Mais sans oublier que ces services enferment d’une certaine manière dans un environnement et ne sont pas adaptés aux déploiements multiclouds.

Améliorer la protection des hôtes

Pour la sécurité des hôtes, il convient de se pencher avant tout sur les options adaptées au cloud, voire nativement cloud. De nombreux éditeurs de solutions de détection et de remédiation sur les hôtes (EDR) ont adapté leurs agents pour supporter toutes les plateformes cloud. Les outils de protection contre les logiciels malveillants devraient être sélectionnés à partir des places de marché des fournisseurs cloud et intégrés à toutes les images stockées dans son environnement.

Les outils de gestion de la posture de sécurité des hôtes cloud tels que Dome9 et Cloud Passage devraient également être intégrés à toutes les images afin de s’assurer qu’ils sont actifs pour tous les nouveaux déploiements de traitements.

Assurer la sécurité des conteneurs

Pour les contrôles permettant de sécuriser les traitements conteneurs en environnement cloud, mettez en œuvre n’importe quel service d’analyse d’images de conteneurs proposé par votre fournisseur cloud, comme ceux mis à disposition par Google Cloud Platform ou AWS. Ces outils sont intégrés nativement à l’environnement cloud et sont souvent assez faciles à automatiser pour valider les images – et toute nouvelle image devrait être analysée à la recherche de vulnérabilités.

Pour la sécurité à l’exécution en revanche, un outil tiers sera probablement nécessaire, comme ceux proposés par Aqua Security, Sysdig, ou Palo Alto Networks (Twistlock), notamment. Activez chaque appliance virtuelle ou installez chaque agent de runtime dans toutes les images de conteneurs pour permettre à ces outils de surveiller le comportement à l’exécution et protéger contre les infections de maliciels et autres attaques.

Protéger les fonctions serverless

Il n’y a que peu d’outils spécifiques à la protection des fonctions serverless. Là, il est nécessaire de surveiller tous les journaux d’activité liés aux mises à jour et aux changements appliqués au code et à la configuration des fonctions serverless. Il convient également d’appliquer au code serverless le principe de moindre privilège – de même qu’aux autres accès à ces fonctions, tant au sein du cloud que de la part des administrateurs.

Certains éditeurs comme Aqua Security ou PureSec et Twistlock (chez Palo Alto Networks) savent surveiller et protéger les fonctions serverless en supervisant leur comportement en phase d’exécution. Ces outils peuvent s’avérer critiques lorsque les fonctions serverless constituent un élément clé des modèles de déploiement.

Pour aller plus loin

La mise en place de mécanismes de protection des traitements en cloud doit s’accompagner de celle d’un cycle d’amélioration continue positif et constructif. Pour cela, révisez périodiquement la posture de risque globale de vos déploiements pour vous assurer de l’implication continue des équipes DevOps et de sécurité. Mais également, verrouillez autant que possible les instances cloud et ajustez l’exposition en fonction de la sensibilité des données concernées. Faites également attention à la gestion des privilèges – au niveau des utilisateurs, des groupes et des rôles – associés aux traitements. Les déviations peuvent survenir rapidement dans un environnement dynamique.

Le développement d’une culture de supervision continue est également nécessaire : elle aide à automatiser la détection et la réponse programmatique, et donc à minimiser autant que possible les interventions manuelles.

Les vulnérabilités identifiées doivent être discutées avec toutes les membres des équipes concernées pour s’assurer que notamment que les équipes DevOps sont impliquées dans les échanges autour de la gestion des vulnérabilités, des correctifs et des configurations, ainsi que ceux relatifs à la création des politiques.

Il convient également à cet égard de discuter avec les équipes DevOps des évolutions du paysage des menaces et de solliciter leurs avis sur les mesures pratiques pouvant être prises pour implémenter la sécurité la plus effective, sans pénaliser le rythme des activités métiers.