‹ Retour vers l’espace Cybersecurity 101

Cloud Security
  • voir la démo

    • David Puzas - janvier 24, 2022

    Qu’est-ce que la sécurité du cloud ?

    La sécurité du cloud se réfère à la protection de tous les éléments d’un environnement cloud, y compris l’infrastructure cloud, les données cloud et les applications cloud.

    Ressources de sécurité du cloud

    Types d’environnements cloud

    Les environnements cloud sont de trois types : public, privé ou hybride. Chaque plateforme cloud répond au même objectif : partager des ressources de calcul sur un réseau et permettre la livraison de services basés sur le cloud.

    Un cloud public peut fournir et prendre en charge des services technologiques via l’Internet public par le biais d’un fournisseur cloud tiers. L’accès au cloud public suit un modèle sur abonnement, de type PaaS (Platform-as-a-Service), IaaS (Infrastructure-as-a-Service) ou SaaS (Software-as-a-Service), par exemple. Parmi les fournisseurs de cloud public, citons Amazon Web Services (AWS), Google Cloud Platform (GCP) et Microsoft Azure.

    Les clouds privés poursuivent le même objectif que les clouds publics, mais sont dédiés à un seul client. Ils procurent une infrastructure cloud à l’usage exclusif d’une entreprise privée ou d’un organisme public. Comme le cloud privé n’est pas partagé avec d’autres utilisateurs, ce type de réseau tend à assurer un plus haut niveau de contrôle, de confidentialité et de sécurité, du moins si l’utilisateur a adopté une stratégie de sécurité globale spécifiquement conçue pour le cloud.

    Dans le modèle de cloud hybride, les entreprises peuvent souvent profiter des coûts réduits associés aux clouds publics, tout en conservant un haut niveau de sécurité pour certaines fonctions précises via un cloud privé. Ainsi, une entreprise peut utiliser un cloud public pour les activités à volume élevé et à risque faible (par exemple, pour héberger des applications web comme l’e-mail ou la messagerie instantanée), tandis qu’un cloud privé peut être réservé pour des fonctions qui exigent une sécurité plus stricte, comme le traitement de paiements ou le stockage de données personnelles.

    Lis ‘Cloud public et cloud privé’ >

    Fonctionnement de la sécurité du cloud

    La sécurité du cloud adopte souvent ce qu’on appelle le « modèle de responsabilité partagée ». Un fournisseur de services cloud, ou fournisseur cloud (entreprise ou entité qui fournit l’infrastructure en tant que service), doit surveiller l’environnement pour y détecter les menaces de sécurité ciblant l’infrastructure sous-jacente du cloud et intervenir en cas de besoin.

    De leur côté, les utilisateurs finaux, y compris les particuliers et les entreprises, sont responsables de la protection des données et autres ressources qu’ils stockent dans le cloud contre le vol, les fuites ou d’autres techniques de compromission.

    Pour les entreprises qui utilisent un modèle cloud ou effectuent la transition vers le cloud, il est important de mettre au point et de déployer une stratégie de sécurité globale spécialement conçue pour protéger des ressources basées sur le cloud.

    Trois principes fondamentaux de la sécurité du cloud

    L’avantage du cloud est aussi son principal inconvénient : où qu’ils soient, les utilisateurs peuvent accéder aux environnements cloud au moyen d’une connexion Internet – mais c’est aussi le cas des cybercriminels et des cyberadversaires.

    Pour les entreprises qui migrent vers le cloud, la sécurité est une préoccupation majeure. Elles doivent concevoir et implémenter une solution de sécurité complète pour se protéger d’une panoplie de menaces en expansion constante et d’attaques de plus en plus sophistiquées visant l’environnement cloud. Une stratégie de sécurité du cloud doit respecter les principes suivants :

    1. Se concentrer sur les cyberadversaires

    Dans tous les domaines de la sécurité, y compris le cloud, il est essentiel de comprendre les cyberadversaires et leur modus operandi : qui ils sont, ce qu’ils veulent, ce qu’ils doivent accomplir pour l’obtenir et la schématisation en une surface d’attaque. CrowdStrike a constaté que de nombreux cyberadversaires sévissent à la fois dans le cloud et dans d’autres parties du paysage informatique.

    La différence est que le cloud leur offre la possibilité d’utiliser un nouvel ensemble de tactiques, techniques et procédures (TTP).

    CrowdStrike poursuit ses recherches sur ces menaces natives au cloud et a constaté que les TTP sont en pleine maturation pour les utilisateurs d’AWS et émergentes sur Google Cloud Platform (GCP) et Microsoft Azure. La plupart des techniques actuelles consistent à adapter au cloud les modes d’attaque traditionnels, même si des cyberadversaires chevronnés devraient réussir à développer des techniques propres au cloud.

    Voici quelques-unes des techniques de pointe actuelles :

    • Outils d’attaque et schémas post-exploitation : désormais disponibles pour les fournisseurs de cloud public, avec des logiciels tels que Pacu et Barq qui peuvent utiliser IAM pour l’élévation des privilèges ou recourir à des fonctions lambda pour la persistance et le contournement.
    • Ransomware S3 : des études ont été publiées sur le ransomware S3, qui pourrait théoriquement être étendu à tout service cloud offrant la fonctionnalité Bring Your Own Key et une rotation aisée, car ces services pourraient également être vulnérables.
    • Analyse de paquets (traffic sniffing) : certains fournisseurs de cloud public ont récemment introduit des capacités de mise en miroir réseau. Outre l’amélioration de la surveillance des réseaux, celles-ci peuvent ouvrir de nouvelles voies pour l’analyse de paquets et l’exfiltration de données en bloc.

    Il peut être difficile de rester informé de ces cybermenaces. C’est pourquoi il est utile de pouvoir compter sur des partenaires de confiance pour la cyberveille et la veille situationnelle. Les tests indépendants, les simulations d’attaques en interne (Red Team) et les programmes de primes aux bugs (bug bounty) sont également utiles lors de la mise en œuvre d’une approche axée sur les cyberadversaires.

    2. Réduire le risque d’exposition

    CrowdStrike s’efforce de réduire le risque d’exposition au minimum afin de garantir la bonne marche de l’entreprise. Il s’agit notamment d’identifier et d’éliminer en continu les surfaces d’attaque inutiles. CrowdStrike promeut une culture de la « sécurité d’abord » à tous les niveaux de l’entreprise, des cadres supérieurs aux nouvelles recrues.

    Voici quelques exemples de tactiques utilisées par CrowdStrike pour réduire la surface d’attaque :

    Segmenter chaque fois que possible pour atténuer l’onde de choc des éventuelles attaques, en utilisant différents comptes cloud, clouds privés virtuels, sous-réseaux et rôles pour différents types de workloads. Éviter le chevauchement des workloads de production, de développement et d’intégration.

    Utiliser si possible le chiffrement natif au cloud des données en transit et au repos dans le cloud. Se montrer proactif en matière de chiffrement, de protocoles, de clés et de certificats, notamment en s’appuyant sur une série d’outils disponibles en interne.

    Sécuriser plus tôt dans le processus (pratique connue sous le nom de « Shift Left ») en déployant des outils, l’automatisation et des normes pour que les ingénieurs puissent facilement adopter le comportement de sécurité souhaité. Ces outils réduisent les frictions pour les développeurs et diminuent la probabilité d’utilisation de configurations non sécurisées ou par défaut dans un environnement réel.

    Utiliser l’authentification multifacteur, le cas échéant, ainsi que des jetons matériels pour les environnements à fort impact, tels que les déploiements GovCloud.

    Maintenir proactivement une bonne hygiène IT en découvrant automatiquement l’empreinte des workloads cloud.

    3. Surveiller la surface d’attaque

    Efforcez-vous en permanence d’améliorer la visibilité sur la surface d’attaque nécessaire. Il sera ainsi plus difficile pour les cyberadversaires de se cacher, sans compter que le coût de leurs attaques augmentera également. La plateforme CrowdStrike Falcon offre une visibilité complète sur l’infrastructure cloud de CrowdStrike. En fait, la clé de voûte de la stratégie interne de visibilité cloud de CrowdStrike peut se résumer en deux mots : « Falcon everywhere ».

    Cette approche consiste à déployer l’agent Falcon sur tous les workloads et conteneurs cloud, et à mobiliser l’équipe Falcon OverWatch pour traquer les cybermenaces de manière proactive et continue (24h/24, 7j/7). En outre, CrowdStrike utilise des indicateurs d’attaque natifs au cloud spécifiques, analyse des modèles de Machine Learning et pratique librement le Threat Hunting, en recherchant les activités de saisie clavier des cyberadversaires au sein du plan de contrôle et des workloads cloud de CrowdStrike.

    Associé au Threat Hunting proactif, ce niveau de visibilité a permis à CrowdStrike de détecter des comportements subtils, presque imperceptibles, avec une précision étonnante, notamment un incident au cours duquel un cyberadversaire vérifiait l’existence de certains compartiments S3. Ces compartiments n’étaient pas publiquement accessibles et le nom qui leur avait été attribué empêchait toute attaque en force. Les analystes de CrowdStrike ont donc cherché à savoir comment le cyberadversaire avait pu obtenir la liste des compartiments S3.

    Après d’intenses recherches, les sources de cyberveille CrowdStrike ont supposé que le cyberadversaire devinait les noms de compartiments S3 grâce à des données de requêtes DNS échantillonnées qu’il avait recueillies à partir de plusieurs flux publics. Ce type de données peut facilement être obtenu en accédant à des ressources à partir d’un réseau Wi-Fi public. La leçon à en tirer est que le cyberadversaire a parfois une meilleure connaissance ou une meilleure visibilité de l’empreinte cloud d’une entreprise que vous ne le pensez.

    Qu’est-ce qui rend la sécurité du cloud différente ?

    Le cloud est dynamique

    Les fournisseurs et les consommateurs de services cloud ne cessent d’évoluer. Des dizaines de nouveaux services natifs au cloud voient le jour chaque année, souvent à destination des développeurs soucieux de gagner en fluidité et en rapidité.

    Si la plupart des équipes de sécurité comprennent leur rôle au sein du modèle de responsabilité partagée, il n’en demeure pas moins difficile pour elles de suivre les évolutions. Même les entreprises dotées d’un solide programme de sécurité et d’une grande expertise ne sont pas à l’abri de déficiences au niveau de la sécurité.

    Par exemple, une grande entreprise de services financiers disposant de capacités de sécurité cloud sophistiquées a été victime d’une compromission impliquant son infrastructure cloud, alors qu’elle avait auparavant contribué à l’élaboration d’un kit d’outils de sécurité du cloud à code source libre. Le cloud étant dynamique, les outils utilisés pour le sécuriser doivent être réactifs et portables pour pouvoir être déployés dans des environnements multiclouds.

    Environnements multiclouds et workloads variés

    Les attaques peuvent traverser plusieurs plans et impliquer différents types de workloads. L’attaque contre l’entreprise de services financiers reposait sur des tactiques ciblant les applications web traditionnelles, les endpoints et les ressources natives au cloud. D’après les rapports concernant la compromission de données, une faille applicative a été exploitée pour extraire une clé de station à station (STS) temporaire depuis le service de métadonnées EC2 (Amazon Elastic Compute Cloud) de l’hôte sous-jacent. La clé a ensuite servi à accéder, depuis l’extérieur, à des ressources cloud sensibles, dont des compartiments S3.

    CrowdStrike a enquêté sur un incident qui a débuté par une menace interne, et dans le cadre duquel l’auteur de l’attaque a exécuté un exploit sur les ressources Amazon Web Services (AWS). En exploitant une vulnérabilité d’AWS, le cyberadversaire a pu faire main basse sur des données stockées dans des compartiments S3. CrowdStrike s’attend à une multiplication des attaques impliquant plusieurs types de workloads et le cloud.

    Les produits de sécurité cloisonnés qui se concentrent uniquement sur une niche spécifique sont incapables d’offrir la visibilité nécessaire pour surveiller une attaque qui se déplace d’un endpoint vers différents services cloud. Seule une combinaison d’outils de sécurité des endpoints et natifs au cloud travaillant de concert permet de détecter les attaques de cette nature. Les entreprises ont souvent plus d’un cloud à prendre en charge. Celles qui exécutent des workloads dans le cloud public cherchent à améliorer la fiabilité et la disponibilité en adoptant une stratégie multicloud. Bien qu’elles soient déjà sur la bonne voie, ces entreprises constatent que tous les fournisseurs de services cloud n’offrent pas les mêmes fonctionnalités de sécurité.

    Des contrôles de sécurité différents peuvent donner lieu à des erreurs de configuration

    Les contrôles de sécurité varient d’un cloud à l’autre. Même lorsque les fournisseurs de services cloud proposent des contrôles de sécurité similaires, les comportements et l’implémentation de ceux-ci peuvent différer. Des éléments aussi simples que les journaux de bord nécessaires au Threat Hunting et les schémas de conception permettant de les récupérer varient également d’un cloud à l’autre.

    Ces variations compliquent la courbe d’apprentissage, chaque fournisseur de cloud public proposant des ensembles de contrôles de sécurité différents. Les paramètres de configuration par défaut diffèrent aussi selon le fournisseur. En dépit de certaines correspondances, on relève des mises en œuvre différentes et des nuances dans le déploiement. Tant que les entreprises ne seront pas capables de sécuriser l’ensemble de leurs clouds, les cyberadversaires continueront de tirer parti des erreurs de configuration.

    Solutions CrowdStrike de sécurité du cloud

    Pour bloquer les intrusions à l’aide de données et d’analyses cloud, une plateforme étroitement intégrée est indispensable. Chacune des fonctions suivantes joue un rôle crucial dans la détection des menaces modernes, et doit être conçue et développée dans un souci constant de vitesse, d’évolutivité et de fiabilité.

    La sécurité du cloud moderne va plus loin que les approches ad hoc, en unifiant tous les outils requis en une seule plateforme :

    EN SAVOIR PLUS

    Découvrez comment Falcon Cloud Security crée moins de travail pour les équipes de sécurité, se défend contre les violations du cloud et optimise les déploiements multi-cloud.Démarrer L’évaluation Gratuite: plateforme Falcon

    À PROPOS DE L'AUTEUR

    David Puzas est un dirigeant d’entreprise et un expert en marketing dans les domaines de la cybersécurité, du cloud et des services IT avec plus de vingt ans d’expérience à son actif. Chargé de renforcer la valeur client et les résultats des innovations pour des entreprises telles que CrowdStrike, Dell SecureWorks et IBM au niveau mondial, il met l’accent sur l’optimisation des innovations informatiques, des tendances et de leurs implications commerciales en matière de croissance et d’expansion des marchés. David Puzas est responsable de la mise sur le marché du portefeuille de solutions de sécurité du cloud de CrowdStrike à l’échelle mondiale ainsi que de la fidélisation des clients.

    Featured Articles

    Featured Image
    Qu'est-ce que le harponnage (Spear Phishing) ?
    Featured Image
    Bonnes pratiques en matière de Cloud Security
    Featured Image
    Présentation du cloud computing