Dans ce sixième édition de la cloud security alliance (CSA) sur les « Top Threats to Cloud Computing Pandemic Eleven ».
La Cloud security alliance (CSA) a sondé plus de 700 experts de l’industrie sur les questions de sécurité dans l’industrie du cloud. Onze problèmes de sécurité importants du cloud ont été identifiées:
La CSA y énumère ses 11 principaux problèmes.
- Identité, justificatifs d’identité, accès et gestion des clés insuffisants (no 4)
- Interfaces et API non sécurisées (no 7)
- Mauvaise configuration et contrôle inadéquat du changement (no 2)
- Manque d’architecture et de stratégie de sécurité infonuagique (no 3)
- Développement de logiciels non sécurisés
- Ressources de tiers non sécurisées
- Vulnérabilités du système
- Divulgation accidentelle de données infonuagiques
- Mauvaise configuration et exploitation des charges de travail sans serveur et des conteneurs
- Crime organisé/pirates informatiques/APT
- Exfiltration des données de stockage en nuage
La sécurité sous contrôle de l’utilisateur enregistre des préoccupations
Les utilisateurs et les cloud providers réalisent que la charge de la sécurisation des clouds est désormais leur incombe.
Le CSA pense que les menaces, risques et vulnérabilités de sécurité, tels que la perte de données et le déni de service (Denial of service), est dû au fait que les administrateurs de cloud et de sécurité sont plus conscients des différences entre les problèmes de sécurité courants et ceux qui sont vraiment basés sur le cloud.
Un autre aspect est, si vous regardez de plus près, que la plupart de ces préoccupations sont des problèmes qui sont directement sous le contrôle de l’utilisateur. Il s’agit notamment de – Identity and access management (IAM), de la cryptographie, de la gestion de la configuration et des mauvaises pratiques de codage.
Bien sûr, tout ne dépend pas des utilisateurs. Deuxièmement, les interfaces utilisateur et les interfaces de programmation d’applications (API) relèvent de la responsabilité des cloud providers et des fournisseurs de logiciels. Comme l’a souligné John Yeoh, vice-président mondial de la recherche de CSA, “Si l’on considère que les interfaces utilisateur et les API constituent le moyen moderne de consommer des services, il est préoccupant de constater qu’il existe encore des défis importants en matière de sécurisation de ces fonctionnalités.”
Après tout, poursuit Yeoh, “le cloud, avec sa complexité, est l’endroit parfait pour que les attaquants se cachent et une base de lancement idéale pour les attaques. Si l’on ajoute à cela le fait que les menaces internes rendent plus difficile la protection des organisations contre la perte de données, il devient évident que l’industrie doit accorder plus d’attention et de recherche.”
L’utilisation de la notation des risques dans la gestion de l’identité et de l’accès? (GIA) améliore la position de sécurité. À l’aide d’un modèle d’attribution des risques clair, diligent
surveillance, et l’isolement approprié de son comportement peut aider à contre-vérifier
Systèmes IAM. Suivi de l’accès aux cibles et fréquence pour la notation des risques sont
également essentiel pour comprendre le contexte des risques. Les comptes privilégiés doivent être approvisionnés de façon précise et immédiate afin d’éviter l’accès du personnel après le débarquement ou changement de rôle. ( traduite du document )
Problèmes de mauvaise configuration
La mauvaise configuration des ressources infonuagiques, la configuration incorrecte ou sous-optimale sont une cause majeure de violations de données et pourraient permettre la suppression ou modification des ressources et interruptions de service. Le manque de connaissance du système ou la compréhension des paramètres de sécurité et des intentions malveillantes peuvent entraîner à rendre les changements plus difficiles à contrôler.
Voici quelques-unes des erreurs courantes :
1. Éléments ou contenants de stockage de données non sécurisés,
2. Excessive permissions,
3. Les identifiants par défaut et les paramètres de configuration sont gauche inchangé,
4. Contrôles de sécurité standard désactivés,
5. Déballage systèmes,
6. Journalisation ou surveillance désactivée,
7. Accès illimité à ports et services,
8. Gestion des secrets non sécurisés, et
9. Mal configuration ou absence de validation de la configuration.
Les meilleures pratiques en matière d’informatique en nuage reposent sur l’automatisation, l’expansion des rôles et l’accès pour soutenir le changement rapide. Dans le centre de données d’entreprise, les éléments d’infrastructure statique peuvent devenir abstraits en tant que code dans un environnement cloud. Enfin, l’utilisation de plusieurs fournisseurs de cloud ajoute de la complexité, avec les capacités uniques de chaque fournisseur améliorées et étendues presque quotidiennement. Cette dynamique l’environnement exige une approche agile et proactive pour le contrôle du changement et la les entreprises essaient de maîtriser.
La sécurité est la première tâche
L’adoption continue des micro-services souligne l’importance des interfaces et API sécurisées. Il devrait y en avoir davantage, et il est préoccupant de constater qu’il y a encore des défis importants à relever pour sécuriser ces fonctionnalités avec le cloud jouant un rôle minimal dans leur développement. Comme ces API prolifèrent dans les offres SaaS et PaaS, l’inefficacité des codeurs et la nature toujours présente sur le nuage crée un risque important.
En d’autres termes, la sécurité doit devenir la tâche numéro un des dirigeants de la C-suite. Ils doivent embaucher plus de personnes pour assurer la sécurité de leurs clouds.Même avec des outils automatisés, les ressources dédiées à la sécurité infonuagique sont insuffisantes.