Sécurité Cloud-Native : réduisez les risques pour votre entreprise

Jamais les systèmes et données des entreprises n’ont connu pareilles menaces. Le problème ? Les approches traditionnelles de la sécurité ont peu évolué. Même chez les fournisseurs de cloud public, l’heure est encore aux tactiques réactives qui traitent les symptômes des attaques, sans en éradiquer les causes racines. Les choses sont pourtant en train de changer à tous les niveaux avec l’arrivée des applications cloud-natives. De l’infrastructure au développement applicatif, les méthodes d’hier contrastent fortement avec une approche cloud-native plus moderne, fondée sur des modèles et pratiques qui semblent aujourd’hui faire consensus : une culture DevOps, un déploiement continu et une architecture de microservices. Pourquoi la sécurité n’a-t-elle pas su se mettre à l’heure du cloud-native ? Quid de l’audace et des idées nouvelles ? Car ce sont elles qui génèrent l’innovation indispensable à la sécurité cloud-native : une démarche transformatrice de réduction du risque pour l’entreprise.


Qu’est-ce que la sécurité d’entreprise cloud-native ?

La sécurité cloud-native désigne une méthode de protection efficace des entreprises. Elle repose sur trois principes :

Réparation

Corrigez les logiciels vulnérables dès la publication de mises à jour.

Restitution

Restaurez fréquemment vos serveurs et applications au dernier état fonctionnel connu.

Rotation

Modifiez fréquemment les identifiants utilisateurs afin de raccourcir leur durée de vie.

Ces principes forment les fameux « trois R » de la sécurité : réparation, restitution, rotation.





Or, cette nouvelle approche de la sécurité fait encore cruellement défaut dans les entreprises. L’approche traditionnelle de la sécurité est à bout de souffle. Pour s’en convaincre, il suffit de se pencher sur le tableau quelque peu effrayant dépeint dans le rapport Symantec 2016 sur les menaces de sécurité par Internet. Parmi les chiffres alarmants de 2015 :

Une nouvelle vulnérabilité zero-day découverte chaque semaine

Un demi-milliard de dossiers personnels volés ou perdus

Des vulnérabilités détectées sur les trois quarts des sites web

Une hausse de 55 % des campagnes de spear-phishing ciblant des salariés d’entreprises

Une augmentation de 35 % des ransomwares (un chiffre qui devrait encore exploser au vu des événements de 2017)

Pourtant, derrière cette croissance exponentielle du volume d’attaques qui ravagent les data centers se cachent en fait des méthodes relativement simples :

Malware

Ce mot valise englobe les virus, les chevaux de Troie, les vers, les logiciels espions et autres programmes malveillants.

Menaces persistantes avancées (APT, Advanced Persistent Threats)

Schéma selon lequel un pirate parvient à accéder à un réseau et y reste longtemps sans être détecté. Plus la détection de la menace est longue, plus les données sont exposées.

Fuite d’informations d’identification

Les identifiants et mots de passe contrôlent l’accès des utilisateurs aux informations, ressources et autres système critiques. Or, les entreprises ont beau faire tout ce qu’elles peuvent pour verrouiller ces précieux sésames, ils finissent tôt ou tard par se retrouver dans la nature.


Enjeux de la sécurité d’entreprise cloud-native

Les data centers ne sont plus en sécurité

Aujourd’hui, le poids des traditions pèse lourdement sur la sécurité des entreprises. Chaque requête se voit presque toujours rejetée. À tous les niveaux de l’organigramme, le changement est perçu comme une menace potentielle qu’il faut éviter à tout prix. Bref, une situation aux antipodes de celle que l’on connaît dans le développement et l’exploitation d’applications. Dans ce domaine, ces deux équipes jadis séparées travaillent désormais main dans la main, selon la nouvelle méthode « DevOps », pour accélérer le déploiement de nouveau code. Face à une menace puissante, omniprésente et mouvante, les équipes de sécurité doivent elles aussi repenser leur approche dans l’ère cloud-native.

Évolution des menaces plus rapide que jamais

Les malwares et menaces persistantes avancées prolifèrent. Cela n’est guère étonnant quand on sait que très peu de moyens suffisent pour créer et déployer des programmes malveillants. Chaque jour, des centaines de nouvelles attaques tentent de s’introduire dans les systèmes des entreprises. Or, les mesures de sécurité traditionnelles ne parviennent pas à suivre le rythme. C’est là que l’approche cloud-native intervient pour protéger à la fois le périmètre externe et les systèmes internes.

Réduction des fuites d’informations d’identification

Certes, on ne pourra jamais empêcher totalement les fuites d’identifiants de connexion. Cela ne signifie pas pour autant que les administrateurs systèmes peuvent rester les bras croisés. Ils peuvent notamment réduire la durée de validité de ces informations de plusieurs semaines, voire plusieurs mois, à seulement quelques heures, réduisant d’autant la fenêtre d’opportunité pour les pirates. Bref, avec l’approche cloud-native de la sécurité, les informations d’identification qui fuitent deviennent vite inutilisables.


Il est temps pour les entreprises de procéder à un bilan réaliste de leurs problèmes de sécurité afin de cerner les lacunes de leur approche actuelle :

Faites-vous courir un risque à vos systèmes en décidant sciemment de ne pas appliquer certains correctifs ?

Les éditeurs de logiciels publient en permanence des correctifs pour leurs solutions. Toutefois, dans la pratique, une entreprise typique acquiert des milliers de serveurs au fil des ans. Chacun exécute des logiciels différents. D’où l’énorme difficulté que représente l’application régulière (et rapide) de correctifs. Résultat ? Les administrateurs système font preuve de pragmatisme. Ils doivent trancher. En vérité, les entreprises font volontairement l’impasse sur les mises à jour de certains systèmes. Ce processus n’est à l’évidence pas fiable.

Vos équipes, processus et outils sont-ils conçus pour réagir aux menaces, plutôt que de les prévenir ?

Dites-vous bien que lorsque vous finissez par détecter une attaque, il est déjà trop tard. De même, une fois la violation décelée, encore faut-il la neutraliser.

Vos fournisseurs de solutions de sécurité proposent-ils uniquement des améliorations incrémentielles ?

Les grands acteurs du cloud-native ne ressemblent guère aux leaders du marché d’il y a dix ans. Pourtant, dans le domaine de la sécurité, peu de choses semblent avoir changé. Clients et fournisseurs tiennent les mêmes conversations sur les mêmes produits qu’à l’ère de l’Internet 1.0. Aujourd’hui, ces produits sont disponibles « as a Service », dans un cloud privé sur site ou sous forme d’appliance virtuelle dans un cloud public. Dans l’univers de l’informatique d’entreprise, ces avancées font pâle figure face à l’IaaS, le développement agile et les microservices.

Vous trouvez-vous dans l’incapacité de mettre fréquemment à jour vos systèmes de production ?

La mise en production de nouveaux logiciels prend des mois. Il s’agit d’un processus éprouvant et laborieux, si bien qu’une fois le nouveau code en ligne, personne ne souhaite y toucher. Pourquoi ? Parce que l’on risquerait de tout détraquer. Le problème, c’est qu’un environnement statique crée un terrain propice aux attaques. Les modes actuels de gestion des systèmes de production ne pourraient pas mieux favoriser les cybercriminels – qui d’ailleurs s’en frottent les mains.

Mais tous ces points ne sont que les symptômes d’un plus grand mal – une vision dans laquelle « une évolution plus lente réduit le risque ». En réalité, c’est plutôt l’inverse. Plus vos systèmes changent rapidement, plus les intrusions s’avèrent difficiles. C’est sur ce grand principe que repose la sécurité cloud-native.



Comparatif : sécurité cloud-native vs. sécurité traditionnelle
Sécurité Cloud-Native
Sécurité d’entreprise traditionnelle
Automatisation. La réduction des risques passe nécessairement par une mise à jour rapide des systèmes. L’automatisation et l’adoption d’une infrastructure immuable aident à éliminer les systèmes aux configurations de sécurité uniques (et donc problématiques). Monitoring et instrumentalisation. Parce que les entreprises associent tout changement de système à un malware, elles engagent d’énormes investissements dans la détection des modifications de leurs data centers.
Démarche proactive. Les logiciels vulnérables et les systèmes statiques offrent un terreau favorable aux malwares. Les entreprises doivent donc modifier de façon intensive l’état de leurs systèmes afin d’éliminer les conditions propices à la survie des malwares. Démarche réactive. Les entreprises donnent la priorité à une détection rapide des menaces. Chaque vulnérabilité identifiée déclenche ensuite un processus censé la neutraliser.
Patching via redéploiement intégral. Les correctifs sont appliqués dès leur publication. Les concepts d’automatisation et d’infrastructure immuable permettent de diffuser les nouvelles images « gold », contenant les éléments de code les plus récents, à travers tout le data center. Correction incrémentielle. Les entreprises appliquent les correctifs système de façon incrémentielle, après validation individuelle par les équipes internes. Les correctifs des systèmes d’exploitation et du middleware sont triés avant d’être appliqués.
Promotion du changement. Pour ces entreprises, plus les systèmes sont modifiés rapidement, plus les malwares peinent à proliférer. Résistance au changement. Plus le changement se produit lentement, plus l’entreprise se sent en sécurité.



Lutte contre les menaces : les éléments à intégrer à votre réflexion

Certes, l’idée selon laquelle croissance rapide rime avec sécurité est récente. Mais elle a déjà fait ses preuves. Aujourd’hui, certaines des plus grandes entreprises au monde – des banques aux grandes enseignes, en passant par les opérateurs télécoms et les constructeurs automobiles – misent sur la sécurité cloud native, dont de nombreux concepts sont empruntés au développement et aux opérations cloud natifs.

Dans la pratique, chacun des « trois R » de l’approche de sécurité cloud native permet de contrer un type de menaces et ses causes racines.



Menace
Cause racine
Cloud-Native Mitigation Approach
Malware Ils exploitent les logiciels mal configurés et/ou non corrigés. Souvent, il faut plusieurs mois pour déployer les correctifs des systèmes d’exploitation et des environnements applicatifs, même dans un monde virtuel. Il n’est donc pas rare qu’une entreprise attende au moins six mois avant de combler une faille sur un serveur. Corrigez les logiciels vulnérables dès la publication de mises à jour.
Menaces persistantes avancées (APT) Elles ont besoin de temps pour se propager au sein d’un réseau. Les APT apprécient tout particulièrement les environnements aux changements incrémentiels. Leurs systèmes ne subissent quasiment jamais de restauration vers leur dernier état fonctionnel connu. Restituez fréquemment vos serveurs et applications à un état fonctionnel connu afin de réduire les fenêtres d’opportunités pour les attaquants.
Fuite d’identifiants Les identifiants changent rarement. Par conséquent, si un pirate fait main basse sur un identifiant et un mot de passe, il pourra probablement les exploiter pendant longtemps. Modifiez fréquemment vos informations d’identification afin de raccourcir leur durée de vie.



Pivotal et la Sécurité Cloud-Native

Voici comment Pivotal aide les entreprises à intégrer le modèle des « trois R » :

Pivotal Operations Manager permet aux entreprises de restaurer chaque machine virtuelle (VM) de leur data center vers un état fonctionnel connu plusieurs fois par jour, sans interruption de leurs applications. Elles peuvent déployer leurs applications à partir d’un outil d’intégration continue comme Concourse. Les conteneurs d’applications sont eux aussi restitués plusieurs fois par jour.
Les entreprises peuvent réparer leurs systèmes d’exploitation et environnements applicatifs vulnérables en continu, dans les heures qui suivent la publication des correctifs. Ceci marque un tournant dans l’utilisation traditionnelle des images « gold » par les équipes opérationnelles. Pivotal parle ici de « cellule souche », une cellule mise à jour avec les derniers correctifs OS pour les clients Pivotal Cloud Foundry. Les administrateurs peuvent ensuite déployer la nouvelle image dans leur environnement. Pour les environnements applicatifs, Pivotal utilise des buildpacks afin de garantir des frameworks et environnements d’exécution toujours à jour.
Les entreprises devraient pouvoir facilement modifier les identifiants de connexion à intervalles réguliers, soit toutes les quelques minutes ou quelques heures. Or, pour les entreprises d’aujourd’hui, un tel rythme de rotation tient de la gageure tant les identifiants sont nombreux sur les systèmes. Aujourd’hui, les clients Pivotal peuvent utiliser des systèmes de gestion des identités avec authentification multi-facteur pour protéger leurs systèmes, pendant que nous travaillons sur une solution de gestion automatique de ces informations.

En outre, Pivotal accompagne ses clients dans leur mise en conformité aux normes sectorielles et exigences de sécurité :

Pivotal Cloud Foundry peut améliorer votre conformité PCI. De fait, le module complémentaire facultatif IPsec permet à vos équipes de renforcer la sécurité de la couche réseau du modèle OSI avec une implémentation strongSwan d’IPsec. Ce module fournit un job strongSwan à chaque VM déployée avec BOSH. IPsec crypte le flux de données IP entre les hôtes, entre les passerelles de sécurité, et entre ces passerelles et les hôtes. Le module complémentaire IPsec sécurise le trafic réseau dans un déploiement Cloud Foundry et protège le système interne en cas d’intrusion au niveau du pare-feu, répondant ainsi à l’une des conditions de la norme PCI.
L’authentification unique (SSO) désigne une solution tout-en-un de sécurisation des accès aux applications et API sur Pivotal Cloud Foundry. Le service SSO prend en charge l’authentification native, les identités fédérées et l’autorisation. Les opérateurs peuvent configurer l’authentification native et les identités fédérées, par exemple SAML, pour la vérification des identités des utilisateurs d’applications. Une fois l’authentification établie, le service SSO utilise OAuth 2.0 pour sécuriser les ressources ou les API.
Pivotal Cloud Foundry s’appuie sur un système de contrôle des accès basé sur les rôles (RBAC) pour assigner aux utilisateurs d’un environnement d’exécution élastique des droits d’accès en fonction de leur rôle dans les organisations ou les espaces.


Les moments Pivotal
Une grande banque d’investissement élimine systématiquement les CVE de son environnement à l’aide des mises à jour régulières de la cellule souche de Pivotal.
Tous les clients Pivotal Web Services lancent leurs applications à l’aide des buildpacks d’exécution corrigés et rigoureusement testés par Pivotal. Seules les deux dernières versions sont disponibles afin de prévenir toute utilisation de versions antérieures (et plus vulnérables).
Un constructeur automobile s’est appuyé sur les rôles et autorisations de Pivotal Cloud Foundry pour segmenter les accès de ses dizaines d’équipes à des centaines de microservices.



Pivotal Cloud Foundry
Profitez de déploiements en self-service entièrement automatisés


Pivotal Web Services
Plateforme agile pour les équipes agiles – une technologie Cloud Foundry


Plus d’infos sur la sécurité cloud-native

Afficher toutes les ressources

Lancez-vous dans la sécurité cloud-native
Découvrez tout l’intérêt des plateformes cloud-native pour votre sécurité et votre mise en conformité

Lire la suite

Reduce Risk And Improve Security Through Infrastructure Automation

Get the Forrester Report

InfoSec: Evolve Thyself to Keep Pace in the Age of DevOps Webinar

Visionner

Lire le sujet suivant
Containers