La sécurité du cloud hybride consiste dans la protection des données et d’une infrastructure combinant des attributs du cloud public, du cloud privé et de l’infrastructure sur site au sein d’une architecture unifiée. L’environnement informatique combinant ces attributs est appelé cloud hybride. Le cloud hybride offre une grande souplesse. Il permet en effet de déplacer rapidement les workloads vers différents environnements tout en tirant le meilleur parti des fonctionnalités de pointe offertes par ces environnements.

L’architecture de cloud hybride présente de nombreux avantages ; cependant, elle s’accompagne de défis supplémentaires en matière de sécurité, que nous aborderons dans cet article. Commençons par examiner les cas d’usage courants d’un cloud hybride.

Cas d’usage du cloud hybride

Le cloud constitue un élément indispensable de l’infrastructure informatique pour toute entreprise déterminée à prospérer. En ce qui concerne le cloud hybride, il existe aujourd’hui trois cas d’usage courants pour les entreprises.

Migration vers un cloud public

Il est tout à fait acceptable d’utiliser l’infrastructure sur site existante au début de votre migration vers le cloud. La plupart des entreprises commencent par installer des machines virtuelles et des clusters Kubernetes dans les datacenters qu’elles contrôlent. Elles convertissent ensuite leurs applications monolithiques en microservices avant de les déployer sur les systèmes sur site.

Lorsque la gestion et la montée en charge des instances sur site deviennent fastidieuses, vous pouvez déplacer quelques workloads vers des systèmes de cloud public. C’est à ce stade que l’aventure du cloud hybride commence, vous permettant ainsi de bénéficier de l’évolutivité d’un fournisseur de cloud public. Dans le même temps, vous vous assurez que les systèmes critiques de votre infrastructure sur site continuent de fonctionner et connaissent une transition fiable vers le cloud public.

Conservation de certains workloads sur site

Les fournisseurs de services cloud offrent une grande flexibilité et évolutivité, mais l’infrastructure appartient à une autre entreprise. Il se peut donc que vous souhaitiez conserver les données sensibles ou stratégiques de votre entreprise dans vos systèmes sur site pour des raisons de réglementation et de politique d’entreprise. Compte tenu de ces exigences, les entreprises tendent à stocker leurs données en interne tout en exécutant leurs workloads de façon efficace et évolutive sur des systèmes cloud externes.

Utilisation de plusieurs fournisseurs de services cloud

Comme chaque fournisseur de services cloud diffère par ses services, tarifs, niveaux d’assistance et accords de niveau de service, vous souhaiterez peut-être avoir recours à plusieurs fournisseurs simultanément. Malheureusement, tous les fournisseurs de services cloud disposent de leurs propres portail de gestion et API, si bien qu’il est difficile de gérer tous les services depuis un seul endroit.

La flexibilité et le modèle composite du cloud hybride le rendent bien plus attrayant que les architectures cloud traditionnelles. Cependant, ces avantages s’accompagnent également de défis de sécurité majeurs que nous allons aborder.

Défis liés à la sécurité du cloud hybride

Le cloud hybride n’élimine ni n’améliore aucun des inconvénients de l’infrastructure monocloud liés à la sécurité. Au contraire, le cloud hybride présente des défis de sécurité supplémentaires qui lui sont propres. Examinons-les.

Lorsque les applications sont distribuées sur plusieurs clouds, elles doivent se connecter les unes aux autres et transmettre des données. Cela signifie que le trafic entre les différents clouds doit être sécurisé et chiffré. La mise en place d’une connexion sécurisée de bout en bout entre plusieurs infrastructures cloud peut s’avérer complexe, surtout en cas de modèles de configuration réseau différents.

Les fonctionnalités de sécurité de chaque offre cloud se concentrent sur la protection de ses propres services et de l’infrastructure qui la sous-tend. Par exemple, vous pouvez limiter l’accès aux ressources cloud à l’aide des rôles AWS IAM, mais ils ne fonctionnent que pour les workloads exécutés dans l’infrastructure AWS.

Les configurations réseau, déjà complexes dans un seul service cloud, deviennent encore plus compliquées lorsque plusieurs offres cloud cohabitent. Par exemple, pour créer des environnements de cloud privé, vous devez configurer Amazon Virtual Private Cloud (VPC),  Azure Virtual Network (Vnet) et Google Virtual Private Cloud (VPC) séparément. Les failles de sécurité sont inévitables lorsque ces environnements ne font pas l’objet d’une attention suffisante ou que certains paramètres sont ignorés.

Lorsque plusieurs infrastructures cloud sont connectées, les systèmes de détection des menaces en temps réel peuvent déclencher de fausses alertes en identifiant à tort le trafic entre les clouds et/ou les systèmes sur site comme du trafic malveillant, ou du moins inhabituel. Lorsque l’infrastructure globale gagne en complexité, les systèmes de surveillance et d’alerte doivent être configurés dans les moindres détails afin de détecter les compromissions de sécurité avérées.

Les gestionnaires de secrets cloud tels que GCP Secret Manager ou AWS Secrets Manager constituent d’excellents outils de stockage des mots de passe, clés, certificats ou autres données sensibles. Cependant, ils sont généralement conçus pour fonctionner uniquement sur les plateformes cloud qui les proposent. Pour distribuer et gérer les secrets sur une infrastructure hybride, vous devez implémenter des outils externes ou centralisés tels que Vault.

Composants et contrôles d’une infrastructure unifiée

Trois composants essentiels sont nécessaires pour créer une infrastructure unifiée dont tous les composants fonctionnent de concert : la mise en réseau, le chiffrement et l’authentification.

Mise en réseau

La connexion de plusieurs infrastructures cloud les transforme de facto en environnement de cloud hybride. Les connexions réseau directes entre l’infrastructure sur site et les clouds ou les tunnels VPN représentent les solutions les plus courantes et sont le plus souvent utilisées ensemble ; le cas échéant, la connexion directe constitue généralement la méthode principale et le VPN une solution de secours.

Chiffrement

Le chiffrement vous permet d’encoder des données de sorte que seules les parties autorisées puissent y accéder. Lorsque des infrastructures et services cloud différents se connectent les uns aux autres, une solution externe (qui peut également être proposée par l’un des fournisseurs cloud de votre environnement de cloud hybride) peut facilement être utilisée pour assurer la sécurité et le chiffrement des communications.

Authentification

Un cloud hybride crée un environnement dans lequel les applications peuvent utiliser des services provenant d’autres fournisseurs cloud. Par exemple, supposons que le workload d’un cloud A (ou sur site) doive s’authentifier auprès d’un cloud B, opération réalisée à l’aide d’un jeu d’identifiants.

Vous devez gérer ces identifiants avec soin, notamment eu égard à la façon dont ils sont distribués. En effet, la fuite de ces identifiants pourrait avoir des conséquences potentiellement dévastatrices. Vous devez également les modifier régulièrement. Par conséquent, il est essentiel de disposer d’une architecture de sécurité des clouds hybrides permettant de connecter les applications déployées sur différentes infrastructures.

Des fonctionnalités de découverte et de visibilité du cloud sont nécessaires pour gérer, configurer et surveiller ces composants au sein d’une infrastructure distribuée. Falcon Horizon CSPM est un outil de gestion du niveau de sécurité du cloud (CSPM) qui détecte les erreurs de configuration et les menaces potentielles tout en assurant la conformité sur diverses plateformes cloud, notamment AWS, Azure et Google Cloud.

Bonnes pratiques

La sécurisation d’un cloud hybride représente un défi de taille en raison de ses multiples composants et de sa nature distribuée. Il est donc recommandé de commencer par les bonnes pratiques communément admises dans le secteur :

• Des experts en sécurité et réseau doivent examiner soigneusement la topologie réseau.
• Veillez à planifier soigneusement la gestion des secrets (identifiants, certificats, clés, mots de passe) pour éviter les fuites. Vous devez également modifier les certificats et les secrets régulièrement.
• Votre équipe doit analyser les images de conteneur afin de détecter les éventuelles vulnérabilités et ne déployer que celles qui sont sûres. Vous pouvez consulter la page CrowdStrike Falcon® Container Security pour identifier les vulnérabilités plus tôt et automatiser les principes DevSecOps.
• Effectuez des audits en continu pour une visibilité et des contrôles de conformité en temps réel.
• Implémentez une approche Zero Trust pour les nouveaux environnements, outils et applications.

Conclusion

Le cloud hybride offre tous les avantages des systèmes sur site et des fournisseurs de services cloud. Cependant, il s’accompagne également de défis de sécurité supplémentaires par rapport à l’utilisation d’un seul et même cloud. Heureusement, les avantages d’une configuration de cloud hybride peuvent généralement justifier les coûts supplémentaires encourus pour sécuriser l’infrastructure complète. Il est néanmoins important d’impliquer des experts en sécurité et réseau dans la conception du système, ainsi que des ingénieurs spécialisés dans chacun des fournisseurs de services cloud.

CrowdStrike fournit des solutions de sécurité de bout en bout pour la sécurité des workloads, CSPM et la sécurité des conteneurs. Commencez votre évaluation gratuite dès maintenant et bénéficiez d’une protection simple et rapide contre toutes les menaces pour votre environnement de cloud hybride.