Ceux qui obtiennent la bonne sécurité cloud valorisent la productivité, la vitesse et la réduction des risques pour aider leur organisation à réussir.
Les cas d'utilisation du cloud évoluent rapidement
L'introduction du cloud computing représente une rupture radicale avec le centre de données, exigeant la sécurité teams fonctionner différemment pour garder infrastructure cloud sécurisée. Le modèle de responsabilité partagée du cloud, qui décrit les responsabilités de sécurité des fournisseurs de services cloud et des clients du cloud, a soulagé la sécurité teams des charges liées à la sécurisation des infrastructures physiques. Mais ce qui reste dans leur assiette - les instances de serveur virtuel, les réseaux virtuels et les groupes de sécurité - nécessite tous des outils et des approches différents pour être sécurisé.
Il y a dix ans, les infrastructures cloud ressemblaient beaucoup plus à des infrastructures de centres de données (même si les deux sont fondamentalement différentes). Lors de la comparaison des services et architectures cloud teams adoptent aujourd'hui, ces premiers environnements cloud semblaient assez familiers, presque comme un "centre de données distant".
Ces cas d'utilisation sont toujours répandus, mais un changement plus important est en cours, qui a des ramifications majeures pour la sécurité. De plus en plus, l'application teams créent et exécutent de nouvelles applications dans le cloud, au lieu d'utiliser simplement le cloud en tant que plate-forme d'hébergement d'applications migrées ou tierces. Ces teams exploitent de nouveaux types de ressources cloud, et leurs environnements ne ressemblent plus à ce que vous trouveriez dans un centre de données.
L'évolution des architectures cloud a bouleversé la sécurité
Les fournisseurs de services cloud proposent désormais des centaines de services cloud spécialisés qui teams profitent, et chaque service spécialisé a ses propres considérations de sécurité uniques. Lorsque ces nouveaux services sont combinés dans des architectures cloud natives, la sécurité teams se rendent compte que ce qui fonctionnait auparavant ne fonctionne plus bien ou ne s'adapte plus bien maintenant. Les schémas d'attaque du cloud ont également changé ; ils tirent désormais parti de l'automatisation pour détecter les erreurs de configuration et utilisent des clés API pour fonctionner par rapport au plan de contrôle du cloud pour la découverte, le déplacement et l'extraction de données. Les victimes de violation ne sont souvent pas au courant de ces attaques jusqu'à ce que leurs données apparaissent sur Internet.
Sur une note positive, il existe des organisations qui obtiennent la bonne sécurité du cloud. Il est utile d'examiner ce qu'ils font différemment pour comprendre pourquoi ils réussissent alors que tant d'autres échouent. Développement et sécurité teamLes entreprises de ces organisations performantes réduisent leur taux de vulnérabilités de mauvaise configuration, alors même que leur utilisation du cloud évolue en taille et en complexité. Ils aident aussi teams dans le reste de leurs organisations évoluent plus rapidement et deviennent plus productifs.
Les cinq principes fondamentaux de la sécurité du cloud
Toutes les organisations qui obtiennent une bonne sécurité dans le cloud se concentrent sur les éléments suivants cinq principes fondamentaux.
- Ils connaissent leur environnement.
Ces teams sont au courant de chaque ressource exécutée dans leur cloud, de la façon dont les ressources sont configurées et de la manière dont elles sont liées les unes aux autres (ce n'est pas rare pour les entreprisesrise sécurité cloud teams de ne pas être au courant de 20 % ou plus de ce qui se passe dans leur environnement). Ils savent quelles applications s'exécutent sur quelle infrastructure cloud, ainsi que les données impliquées. Et ils maintiennent une visibilité sur le software cycle de développement (SDLC) pour leur infrastructure cloud, y compris toute infrastructure en tant que code en développement et les pipelines CI/CD utilisés.
- Ils se concentrent sur la prévention et la conception sécurisée.
La façon d'arrêter les failles modernes dans le cloud consiste à prévenir les conditions qui les rendent possibles, et non à se concentrer sur la détection et l'arrêt des attaques en cours. Ces teams vont au-delà de la simple prévention des erreurs de configuration des ressources individuelles et se concentrent sur la conception d'environnements cloud intrinsèquement sécurisés contre les attaques par compromission du plan de contrôle. Le rôle d'architecte de sécurité cloud devient un rôle clé dans ces organisations.
- Ils permettent aux développeurs de construire et d'exploiter en toute sécurité.
La sécurité cloud d'aujourd'hui teams savent qu'ils ne peuvent pas tout faire, et ils se concentrent sur l'autonomisation des autres teams pour assurer la sécurité. En fournissant des outils qui permettent aux ingénieurs de développer l'infrastructure en tant que code en toute sécurité, ils positionnent ces ingénieurs pour détecter et corriger les problèmes tôt, éviter les corrections chronophages et les retouches ultérieures, et fournir une infrastructure sécurisée plus rapidement. Ces sécurité teams aident également les ingénieurs à intégrer des barrières de sécurité dans les pipelines CI/CD, afin de s'assurer que les vulnérabilités ne se retrouvent pas dans les environnements en cours d'exécution.
- Ils alignent et automatisent l'utilisation de la politique en tant que code (PaC).
Lorsque les politiques de sécurité sont exprimées uniquement en langage humain et existent dans des documents PDF, elles peuvent aussi bien ne pas exister du tout. PaC permet d'exprimer les règles dans un langage que d'autres outils et applications peuvent utiliser pour valider l'exactitude du code et des configurations. PaC élimine les différences d'interprétation, de mise en œuvre et d'application, et il permet à la sécurité du cloud teams redoubler d'efforts sans avoir à augmenter les effectifs.
- Ils mesurent ce qui compte.
La sécurité du cloud concerne la discipline opérationnelle et la mise en place des bons processus. Sécurité réussie teams identifier ce qui compte le plus, qu'il s'agisse de réduire le taux de mauvaise configuration, d'accélérer les processus d'approbation ou de réaffecter des ressources à des tâches à plus forte valeur ajoutée. Ils établissent leurs lignes de base, fixent des objectifs, puis travaillent avec diligence pour les atteindre. Et ils sont en mesure de démontrer la posture de sécurité de leur environnement et leurs progrès à tout moment.
Ceux qui maîtrisent la sécurité du cloud la considèrent comme un catalyseur d'innovation, et non comme une fonction de blocage. Ils opérationnalisent la sécurité du cloud dans toute l'organisation afin que chacun puisse se déplacer plus rapidement et de manière plus sécurisée.