Qu’est-ce que la sécurité de l’infrastructure cloud ?

La sécurité de l’infrastructure cloud fait référence aux technologies, contrôles et politiques conçus pour améliorer la posture de sécurité de l’infrastructure cloud sous-jacente. Une sécurité renforcée de l’infrastructure cloud permet de se protéger contre les menaces telles que les événements DDoS, les pertes de données et les erreurs de configuration susceptibles d’entraîner des événements de sécurité inattendus. La sécurité de l’infrastructure cloud est un élément essentiel de la sécurité du cloud.

Le modèle de responsabilité partagée est un système qui détermine qui est responsable des mesures de cybersécurité spécifiques entre un fournisseur de cloud et vous. Les responsabilités peuvent soit vous incomber, en tant que fournisseur de cloud, soit être une responsabilité partagée entre les deux parties.

Voici les principales responsabilités de chaque partie dans le modèle de responsabilité partagée.

Responsabilités des fournisseurs de cloud

Un fournisseur de cloud est responsable de la protection de l’infrastructure physique qui gère ses services cloud. Le matériel, les logiciels, la mise en réseau et toutes les installations associées aux services relèvent de la responsabilité du fournisseur cloud.

Vos responsabilités

Vos responsabilités dans le modèle de responsabilité partagée sont déterminées par les services cloud que vous sélectionnez. Pris ensemble, ces services déterminent l’ampleur du travail de configuration que vous devez effectuer dans le cadre de vos responsabilités en matière de sécurité. Vous êtes responsable de tâches telles que la gestion de vos données, y compris les options de cryptage, la classification de vos actifs et l'utilisation des outils de gestion des identités et des accès (IAM) pour appliquer les autorisations appropriées.

Responsabilités partagées

Certains contrôles s’appliquent à la fois à la couche d’infrastructure du fournisseur et à la couche client, mais dans des contextes ou des perspectives distincts. Lorsque la responsabilité est partagée, le fournisseur de cloud applique les exigences relatives à l’infrastructure et le client fournit une mise en œuvre de contrôles dans le cadre de son utilisation des services cloud. La gestion de la configuration, la sensibilisation et la formation en sont des exemples.

L’infrastructure cloud sous-tend tous les services cloud, ce qui rend sa sécurité vitale pour toutes les charges de travail dans le cloud.

Voici plusieurs raisons pour lesquelles la sécurité de l’infrastructure cloud est importante pour les entreprises.

Aider à empêcher les accès non autorisés dans les environnements cloud

Les acteurs de la menace ciblent les environnements cloud en raison des grands volumes de données qu’ils contiennent. Les mauvaises configurations, les contrôles faibles ou les vulnérabilités sous-jacentes de l’infrastructure cloud peuvent introduire des points d’entrée pour des groupes tiers non autorisés. Les mesures de sécurité de l’infrastructure cloud doivent identifier et contrôler ces points d’entrée, afin de garantir la sécurité des données de votre entreprise et de promouvoir la confidentialité des données.

Réduire les interruptions de la continuité des activités

Les cybermenaces spécifiques, telles que les événements d’attaque par déni de service distribué (DDoS), visent à réduire la capacité d’une organisation à fonctionner comme prévu. Les mesures de sécurité de l’infrastructure cloud, telles que la segmentation du réseau, permettent de vous défendre de manière proactive contre les menaces internes et externes et aident vos opérations commerciales à maintenir une durée de fonctionnement élevée.

Maintenir la confiance

Lorsqu’une organisation est impliquée dans un événement de cybersécurité, en particulier lorsqu’il est lié à des données clients stockées dans le cloud, cela peut porter atteinte à sa réputation. La sécurité de l’infrastructure cloud protège mieux les services virtualisés qui s’exécutent dans le cloud, ce qui permet de garantir la confidentialité des données sensibles de l’entreprise.

Les solutions de sécurité de l’infrastructure cloud sont généralement elles-mêmes natives du cloud.

Voici les principaux composants de la sécurité de l’infrastructure cloud.

Gestion des identités et des accès

Les organisations hébergent des données et des informations sensibles dans le cloud et veillent à ce que les utilisateurs autorisés puissent accéder à ces ressources cloud. La gestion des identités et des accès (IAM) définit les rôles utilisateurs qui peuvent interagir avec les données ou les localiser. Outre les systèmes d’autorisation, IAM peut vérifier la propriété des comptes cloud grâce à une authentification multifactorielle, ce qui permet d’empêcher les utilisateurs non autorisés d’entrer.

Enregistrement et télémétrie

Les services de journalisation et de télémétrie visent à documenter des actions et des événements spécifiques dans un système cloud. En enregistrant avec soin les événements d’accès, les mouvements d’informations et les actions de cybersécurité, les entreprises bénéficient d’une meilleure visibilité de leur infrastructure cloud. La télémétrie opérationnelle émise par les systèmes critiques peut créer une piste d’informations, souvent utilisée dans les audits.

Analytique

Les solutions analytiques peuvent utiliser la télémétrie opérationnelle et les données de journal existantes pour déterminer les incohérences, les anomalies ou les événements inattendus nécessitant une enquête plus approfondie. Les systèmes d’analytique tels que la gestion des informations et des événements de sécurité (SIEM) regroupent des points de données pour alerter et suivre les événements de sécurité potentiels et aider à s’assurer que les systèmes de surveillance de la sécurité de l’infrastructure cloud fonctionnent comme prévu.

Sécurité du réseau et des appareils

Les employés accèdent à votre environnement cloud et aux ressources cloud qui y sont stockées depuis une grande variété d’emplacements et d’appareils. Pour renforcer cette vaste surface contre les menaces potentielles, vous pouvez déployer une gamme de solutions. Ces solutions incluent la sécurité des réseaux et des appareils pour contrôler le trafic entrant et sortant, filtrer le trafic malveillant et isoler la charge de travail pour garantir la compartimentation des réseaux.

Chiffrement des données

La sécurité des données est le processus général qui consiste à s’assurer que toutes les données, en transit et au repos, sont protégées contre tout accès non autorisé. La sécurité de l’infrastructure cloud peut utiliser des politiques de classification des données pour étiqueter les données en fonction de leur sensibilité et appliquer diverses pratiques de sécurité pour protéger les données. Vous pouvez chiffrer les données au repos et en transit pour vous assurer que seules les parties autorisées peuvent accéder aux données sensibles. La sécurité des données implique également le développement et la mise en œuvre de stratégies de prévention des pertes de données afin d’améliorer la sécurité des informations.

Voici quelques-unes des bonnes pratiques pour améliorer votre stratégie de sécurité du cloud et contribuer à protéger votre infrastructure de cloud computing sous-jacente.

Création de couches réseau

La création de couches réseau implique d’organiser les composants de votre charge de travail en groupes logiques en fonction de leur fonction et de leur sensibilité, tels que des serveurs web connectés à Internet ou des bases de données principales. En plaçant ces composants dans des sous-réseaux distincts, vous contribuez à établir des limites claires et à créer des opportunités pour contrôler la façon dont le trafic circule entre eux.

Cette approche à plusieurs niveaux soutient une stratégie de défense en profondeur, dans laquelle chaque couche agit comme un point de contrôle de sécurité. Par exemple, seules les ressources de la couche la plus externe doivent être exposées à Internet, tandis que les systèmes plus sensibles, tels que les bases de données, restent isolés et accessibles uniquement via les réseaux internes.

Les clouds privés virtuels et l’infrastructure de cloud privé permettent de créer des réseaux et des infrastructures logiquement isolés dans le cloud. La création de politiques de sécurité cohérentes qui définissent les réseaux cloud et leur utilisation contribue à promouvoir un environnement cloud sécurisé.

Contrôle du flux de trafic

Le contrôle du flux de trafic peut impliquer la segmentation de votre environnement afin de n’autoriser que les communications nécessaires entre les charges de travail, les utilisateurs et les systèmes externes. Ce contrôle du trafic inclut la gestion du trafic entre votre réseau et Internet (trafic nord-sud) et entre votre réseau et Internet (trafic est-ouest).

Une erreur courante consiste à se fier uniquement aux défenses périmétriques ou à présumer de la confiance au sein des couches du réseau. Les bonnes pratiques mettent plutôt l’accent sur l’approche du moindre privilège, dans laquelle vous accordez l’accès point à point, entre les utilisateurs et les actifs cloud, y compris les serveurs cloud. Contrôler le trafic entrant et sortant de cette manière permet de limiter l’impact des accès non autorisés et d’améliorer les temps de détection et de réponse lors d’événements de sécurité.

Mise en œuvre d’une protection basée sur les inspections

La mise en œuvre d’une protection basée sur l’inspection implique d’examiner le trafic au fur et à mesure qu’il se déplace entre les couches du réseau à un niveau granulaire. Par exemple, analyser le contenu réel, les métadonnées et le comportement des données en transit. La protection basée sur les inspections vous permet de détecter les anomalies ou les éventuels accès non autorisés sur la base de renseignements sur les menaces en temps réel. Vous pouvez créer des règles en fonction du contexte de l’application, de l’identité de l’utilisateur ou des menaces connues, et les rendre plus strictes à l’égard des charges de travail sensibles.

Automatisation de la protection du réseau

L’automatisation de la protection du réseau à l’aide de pratiques DevOps telles que l’infrastructure en tant que code (IaC) et les pipelines CI/CD aide les entreprises à déployer des configurations réseau plus sécurisées, cohérentes et reproductibles. En cas de changement, les pipelines automatisés lancent les flux de travail de test et de déploiement. Les modifications sont d’abord déployées dans un environnement intermédiaire à des fins de validation, où vous pouvez vérifier qu’elles fonctionnent comme prévu avant d’être mises en ligne.

Cadre AWS Well-Architected

Le cadre AWS Well-Architected propose un ensemble de bonnes pratiques et de pratiques de conception de la sécurité du cloud pour aider à protéger les charges de travail AWS. Le pilier de sécurité de ce cadre fournit des conseils prescriptifs sur la manière de mieux protéger vos systèmes, vos données et vos informations grâce à une sécurité cloud renforcée et à des mesures de protection proactives.

En revoyant fréquemment les directives Well-Architected, les entreprises peuvent améliorer leur posture en matière de sécurité du cloud, en veillant à ce que leurs stratégies de sécurité de l’infrastructure cloud restent efficaces.

La sécurité du cloud est une priorité absolue pour AWS, et la conception de notre infrastructure mondiale favorise la continuité des opérations. Nous maintenons la confiance de nos clients et partenaires en fournissant les outils et les services nécessaires pour protéger les applications, les données et les charges de travail à grande échelle. L’infrastructure AWS couvre plusieurs régions géographiques et zones de disponibilité, chacune étant conçue avec des couches de contrôles physiques et logiques. Ces mesures de protection s’appuient sur une modélisation continue des menaces et des tests rigoureux tout au long de leur cycle de vie.

AWS propose une gamme de services de sécurité de l’infrastructure cloud pour vous aider à protéger la sécurité de votre infrastructure organisationnelle sur AWS.

• Amazon GuardDuty contribue à protéger vos comptes utilisateurs, vos charges de travail et vos données AWS grâce à une détection intelligente des menaces.
• AWS Identity and Access Management (IAM) gère et met à l’échelle la charge de travail et l’accès au personnel en toute sécurité, renforçant ainsi votre agilité et votre innovation dans AWS.
• Amazon Inspector découvre automatiquement les charges de travail, telles que les instances Amazon Elastic Compute Cloud (Amazon EC2), les images de conteneurs et les fonctions AWS Lambda, ainsi que les référentiels de code, et les analyse à la recherche de vulnérabilités logicielles et d’exposition involontaire au réseau.
• Amazon Macie découvre les données sensibles à l’aide du machine learning et de la correspondance de modèles, fournit une visibilité sur les risques de sécurité des données et permet une protection automatisée contre ces risques.
• AWS Security Hub donne la priorité à vos problèmes de sécurité critiques et vous aide à réagir à grande échelle pour protéger votre environnement. Il détecte les problèmes critiques en corrélant et en enrichissant les signaux en informations exploitables, ce qui permet une réponse rationalisée. AWS Security Hub inclut la gestion de la posture de sécurité dans le cloud (CSPM) pour comprendre votre posture de sécurité actuelle.

Commencez à utiliser la sécurité de l’infrastructure cloud sur AWS en créant un compte gratuit dès aujourd’hui.