Sécuriser le cloud partout

Version imprimable, PDF et e-mail

Lors de la récente conférence AWS re:Invent, Amazon Web Services (AWS) a suggéré que les entreprises informatiques devaient envisager le déploiement de l'« Everywhere Cloud » pour répondre à la distribution de plus en plus vaste des workloads applicatifs. Selon Werner Vogels, directeur technique d'AWS, l'Everywhere Cloud permettra aux entreprises de centraliser la sécurité et la gestion d'un environnement informatique hautement distribué qui couvre désormais le monde entier.

Sans surprise, AWS recommande de déployer ces charges de travail sur ses propres plateformes. Leur argument étant que le cloud AWS est plus sûr qu'un environnement informatique sur site développé et maintenu par une équipe interne. Certes, c'est un fait. Mais toujours est-il que le problème vient d'ailleurs : le problème de la sécurité cloud ne tient pas à la plateforme sous-jacente. Il vient surtout des entreprises qui laissent leurs développeurs (peu formés à la sécurité) configurer l'infrastructure cloud à l'aide d'outils tels que Terraform. Fatalement, la configuration n'est pas optimale, avec pour résultat des données exfiltrées par un port laissé ouvert.

Comme tous les autres fournisseurs de services cloud, AWS préconise un modèle de responsabilité partagée pour la sécurisation des environnements cloud. Il appartient alors aux entreprises de sécuriser les plateformes cloud sur lesquelles elles déploient des applications. Et quel que soit le niveau de sécurité de la plateforme sous-jacente, les entreprises risqueront toujours de commettre des erreurs.

Il est indéniable qu'il est plus difficile de sécuriser plusieurs clouds. Aujourd'hui, les entreprises déploient non seulement des applications sur plusieurs clouds, mais elles connectent également un large éventail de workflows applicatifs exécutés dans des datacenters locaux et à la périphérie réseau de ces environnements cloud. En effet, à mesure que l'Everywhere Cloud se développe, la surface d'attaque à protéger croît également.

Il est évident qu'il sera plus facile d'atteindre cet objectif de sécurité si les entreprises peuvent centraliser leurs services sur une seule plateforme cloudmais celles susceptibles de maintenir ce niveau de discipline sont peu nombreuses. La plupart des équipes de sécurité, qu'elles le veuillent ou non, devront apporter leur soutien à des développeurs qui déploieront régulièrement des workloads applicatifs sur différentes plateformes cloud en fonction des exigences de performance. Cela signifie que les équipes de sécurité devront trouver comment appliquer un ensemble de règles de sécurité communes à un environnement cloud composé d'une variété de plateformes.

Il existe déjà plusieurs approches qui permettent aux équipes de cybersécurité d'atteindre cet objectif. Cependant, on leur demande en sus de ne pas ralentir la vitesse de création et de déploiement des applications, quelle que soit l'approche adoptée. L'adoption des meilleures pratiques DevSecOps devrait résoudre ce problème mais il faudra des années pour y former les développeurs et ajouter, par exemple, des outils d'inspection du code aux plateformes qu'ils utilisent actuellement pour créer des applications. En attendant, les équipes de sécurité seront toujours responsables de la sécurité des applications cloud avec pour résultat une surcharge supplémentaire due à l'Everywhere Cloud.

Remonter en haut de page
Tweeter
Partager
Partager