Qu’est-ce que la sécurité du cloud hybride ?

La mise en œuvre d’une stratégie de sécurité cloud hybride peut offrir de nombreux avantages aux organisations, mais elle comporte également de nombreux défis et risques. Il s’agit notamment de :

• Responsabilité partagée en matière de sécurité : Dans un environnement de cloud hybride, le client et le fournisseur de cloud partagent la responsabilité de la sécurité, et il est important de comprendre la répartition des responsabilités concernant les aspects de la sécurité qui incombent à chacun. Les clients doivent s’assurer que les fournisseurs assument leurs responsabilités et comprendre qu’ils peuvent avoir besoin de mettre en œuvre des mesures de sécurité supplémentaires pour garantir une sécurité complète dans tous les environnements cloud.
• Gestion des incidents : La gestion des incidents peut être difficile dans un environnement de cloud hybride en raison de la nature distribuée de l'infrastructure. Il peut être difficile d’identifier la source d’un incident et de coordonner la réponse dans différents environnements. Même si l’incident se produit dans l’infrastructure du fournisseur, les clients peuvent avoir besoin de travailler avec lui pour résoudre le problème.
• Sécurité des applications : Les environnements cloud hybrides peuvent avoir des exigences et des configurations de sécurité des applications différentes, ce qui rend la maintenance et la sécurisation des applications basées sur le cloud un défi logistique. Cela est particulièrement vrai pour la correction d’une vulnérabilité d’application qui cible une bibliothèque logicielle commune utilisée dans l’environnement.
• Gestion des identités et des accès (IAM) : La gestion des identités et des accès des utilisateurs dans plusieurs environnements cloud peut être complexe en raison de la décentralisation du cloud hybride et de la gamme de différents outils et processus IAM utilisés sur différentes plates-formes. De plus, le trafic de machine à machine provenant d’API et d’intégrations tierces augmente, ce qui nécessite une approche différente de la sécurité basée sur l’identité.
• Conformité et gouvernance : En raison du manque de visibilité et de la gestion décentralisée dans certains environnements cloud, qui peuvent conduire à une journalisation et à une analyse médico-légale incomplètes, le respect et l'application des exigences de conformité et de gouvernance peuvent s'avérer difficiles.
• Sécurité dans la chaîne d'approvisionnement : Les cybercriminels peuvent tirer parti des environnements cloud hybrides multifournisseurs, car de nombreuses organisations manquent de visibilité et de contrôle sur l’ensemble de leur chaîne d’approvisionnement. Les organisations doivent s’assurer que leurs fournisseurs de cloud disposent de mesures de sécurité robustes et effectuent régulièrement des audits de sécurité, des tests de pénétration et des analyses de vulnérabilité.
• Protection des données : Les organisations doivent s’assurer que leurs données dans un environnement cloud hybride sont protégées au repos et en transit et que des contrôles d’accès et de cryptage SSL/TLS appropriés sont en place pour limiter l’exposition.
• Visibilité et contrôle : Il peut être difficile de maintenir la visibilité et le contrôle de la sécurité dans un environnement cloud hybride, en particulier lorsque les environnements cloud sont gérés séparément. Sans un tableau de bord centralisé, la surveillance, la protection et le dépannage de la sécurité dans tous les environnements peuvent s'avérer ardus, entraînant des angles morts en termes de performances et de contrôle de la sécurité.

Un environnement de cloud hybride sécurisé et conforme nécessite une approche holistique qui inclut des politiques et des pratiques de sécurité cohérentes, une visibilité de bout en bout et des mesures de gouvernance et de conformité solides pour garantir que les organisations peuvent profiter des avantages du cloud hybride sans compromettre leur posture de sécurité.

L'architecture de sécurité du cloud hybride comprend la protection des applications, des API, de l'infrastructure sous-jacente et des chaînes d'approvisionnement en logiciels. Étant donné que les données sont accessibles ou rendues disponibles via des centres de données et des environnements cloud, elles doivent être chiffrées pour garantir que seuls les utilisateurs et les applications valides peuvent y accéder et les utiliser, généralement via une forme de modèle de sécurité zéro confiance . La confiance zéro impose que toutes les demandes d’accès aux ressources, qu’elles proviennent de l’intérieur ou de l’extérieur du réseau, doivent être vérifiées, authentifiées et évaluées en permanence pour chaque demande. 

Au niveau du périmètre de l’architecture, les serveurs cloud périphériques et les conteneurs d’applications subissent une microsegmentation [insérer un lien vers la nouvelle page du glossaire de la microsegmentation], une technique de sécurité qui consiste à diviser un réseau en segments plus petits, chacun doté de ses propres politiques et contrôles de sécurité, pour isoler et protéger les actifs critiques des menaces de sécurité potentielles. Ils créent des « zones démilitarisées » ou DMZ qui restreignent l’accès aux données et aux serveurs sensibles et limitent le rayon d’explosion d’une attaque. Ces DMZ servent de tampon qui permet aux organisations d’exposer certains services à l’Internet public tout en gardant le reste de leur réseau sécurisé.

Les pare-feu ajoutent des couches de protection supplémentaires, séparant davantage les environnements cloud des ressources sur site.

La sécurité du cloud hybride se compose de trois composants : physique, technique et administratif.

Les contrôles physiques servent à sécuriser le matériel proprement dit, tandis que les contrôles techniques protègent les systèmes informatiques et de traitement. Des contrôles administratifs sont mis en œuvre pour tenir compte des actions humaines ou des facteurs naturels qui peuvent avoir un impact sur la sécurité.

Les contrôles physiques sont un aspect essentiel de la sécurité du cloud hybride, car ils protègent l’infrastructure physique qui prend en charge l’environnement de cloud hybride. Les clouds hybrides peuvent s'étendre sur plusieurs sites, ce qui fait de la sécurité physique à la fois un défi particulier et une responsabilité critique. 

Les contrôles physiques incluent des restrictions d’accès aux centres de données, aux salles de serveurs et à d’autres zones contenant des infrastructures critiques. Les systèmes de surveillance tels que les caméras de vidéosurveillance, les détecteurs de mouvement et les systèmes de surveillance permettant de surveiller l’accès aux infrastructures critiques et de détecter toute activité non autorisée sont également considérés comme des contrôles physiques.

En outre, les contrôles physiques peuvent inclure des systèmes d’alimentation de secours tels qu’un système d’alimentation sans interruption (UPS) et des générateurs de secours pour garantir que l’environnement de cloud hybride reste opérationnel pendant les pannes de courant.

Les organisations doivent développer des accords de niveau de service (SLA) avec les fournisseurs de cloud pour définir comment les normes de sécurité physique seront respectées. 

Les contrôles techniques sont essentiels à la sécurité du cloud hybride et incluent : 

• Le cryptage , utilisé pour protéger les données en transit et au repos. Le cryptage SSL/TLS garantit que les données sont protégées même si elles sont interceptées par des utilisateurs non autorisés.
• Provisionnement et configuration automatisés, qui aident les organisations à réduire le risque d’erreur humaine et à garantir une gestion de la sécurité cohérente et efficace dans leur environnement de cloud hybride.
• Orchestration, qui automatise la coordination de différents outils, systèmes et processus de sécurité pour garantir qu'ils fonctionnent ensemble de manière transparente pour protéger l'environnement de cloud hybride.
• Contrôle d'accès, qui implique la mise en œuvre de politiques et de procédures pour garantir que seuls les utilisateurs autorisés peuvent accéder aux données et applications sensibles hébergées dans l'environnement cloud hybride. Les principes de confiance zéro, y compris l’accès au moindre privilège, sont de plus en plus importants dans les environnements de cloud hybride.
• Sécurité des points de terminaison, qui empêche l'accès non autorisé à partir d'appareils égarés, volés ou compromis tels que des ordinateurs portables et des téléphones portables en purgeant les données de l'appareil ou en révoquant l'accès au centre de données.

La sécurité est la responsabilité de chaque utilisateur, et les contrôles administratifs aident les gens à agir de manière à améliorer la sécurité.

Les organisations doivent fournir des programmes de formation et de sensibilisation aux employés, aux sous-traitants et aux autres utilisateurs de l’environnement cloud hybride. Cette formation doit couvrir des sujets tels que les meilleures pratiques en matière de sécurité du cloud, la classification des données, le contrôle d’accès et la réponse aux incidents, et doit être adaptée aux rôles et responsabilités spécifiques de chaque partie prenante.

L’architecture cloud hybride offre des avantages significatifs en matière de récupération des données, de planification et de préparation aux catastrophes. Étant donné que les clouds hybrides impliquent à la fois des clouds privés et publics, les organisations peuvent utiliser le cloud public comme solution de basculement pour les données et les applications sur site, permettant ainsi des sauvegardes, une redondance et des scénarios de préparation et de récupération en cas de catastrophe.

La sécurité du cloud hybride est complexe et nécessite une planification, une mise en œuvre et une gestion continue minutieuses. Voici quelques bonnes pratiques à prendre en compte lorsque les organisations commencent à développer leur approche de la sécurité du cloud hybride.

• Classification et protection des données. La classification des données en fonction de leur sensibilité et de leur criticité aide les organisations à déterminer comment stocker, transmettre et accéder aux données, ainsi que les mesures de sécurité à appliquer. La mise en œuvre de mesures de protection des données appropriées telles que le cryptage, les contrôles d’accès et les processus de sauvegarde et de récupération est également essentielle pour garantir la protection des données lorsqu’elles transitent par l’environnement hybride.
• Contrôle d'accès et gestion des identités. Les organisations doivent mettre en œuvre des contrôles d’accès et des processus de gestion des identités solides, des contrôles d’accès basés sur les rôles et une gestion des privilèges, pour garantir que seuls les utilisateurs et les applications autorisés peuvent accéder aux ressources sensibles. Les principes de confiance zéro peuvent aider à protéger les charges de travail modernes contre les attaques sophistiquées qui ciblent les faiblesses de l'authentification et de l'autorisation
• Sécurité et segmentation du réseau. La sécurité du réseau est également essentielle dans un environnement de cloud hybride, où les ressources sont réparties sur plusieurs sites et fournisseurs. La mise en œuvre de mesures de sécurité solides telles que des pare-feu réseau, des pare-feu d’applications Web, des plates-formes de protection des charges de travail cloud et une segmentation du réseau est essentielle pour garantir que le trafic est limité uniquement aux utilisateurs et aux applications autorisés.
• Cryptage et gestion des clés. Le chiffrement protège les données en transit et au repos dans un environnement cloud hybride et doit être mis en œuvre tout au long du cycle de vie des données. Les clés de chiffrement doivent également être soigneusement protégées pour garantir que seuls les utilisateurs et les applications autorisés peuvent y accéder, ainsi qu'aux données chiffrées.
• Surveillance continue et réponse aux incidents. Une surveillance continue des événements et des journaux de sécurité est nécessaire pour identifier les menaces potentielles et réagir rapidement aux incidents de sécurité. Les organisations doivent disposer d’un plan de réponse aux incidents décrivant les rôles et les responsabilités, les procédures d’escalade des incidents et les protocoles de communication.

La gestion de la conformité et de la gouvernance dans un environnement de cloud hybride peut être difficile et comprend les considérations suivantes. 

• Conformité réglementaire. Pour les organisations qui opèrent dans des secteurs réglementés, tels que la santé, la finance et le gouvernement, la conformité réglementaire dans un environnement de cloud hybride est une préoccupation cruciale. Les organisations doivent identifier les réglementations qui s’appliquent à leur secteur, évaluer leur infrastructure et leurs processus existants et mettre en œuvre les contrôles nécessaires pour répondre aux exigences. Cela peut inclure le cryptage des données, les contrôles d’accès et les journaux d’audit pour démontrer la conformité.
• Confidentialité et protection des données. Étant donné que les données sensibles peuvent être stockées à plusieurs endroits dans des environnements de cloud hybride, y compris dans une infrastructure de cloud public, la confidentialité et la protection des données sont des considérations majeures dans les environnements de cloud hybride. Les organisations doivent établir des politiques claires de protection des données, identifier les emplacements des données sensibles et mettre en œuvre des contrôles de cryptage et d’accès pour empêcher l’accès non autorisé aux données sensibles.
• Gestion et atténuation des risques. Les organisations doivent procéder à des évaluations régulières des risques pour identifier les menaces et vulnérabilités potentielles. Cela permet d’identifier et de traiter les menaces potentielles pesant sur l’infrastructure et de quantifier les dommages qu’elles pourraient causer. Évaluer les solutions alternatives pour éviter ou atténuer les risques, mettre en œuvre les contrôles de sécurité appropriés et surveiller l’environnement pour détecter les incidents de sécurité.
• Planification de la réponse aux incidents. Les incidents de sécurité peuvent avoir un impact significatif sur les opérations et la réputation de l’entreprise. Les organisations doivent élaborer un plan de réponse aux incidents complet qui décrit les étapes à suivre en cas d’incident de sécurité, y compris les procédures de détection et de signalement, de confinement et d’isolement de l’incident, d’enquête et de restauration des opérations.
• Gestion des fournisseurs : La gestion des fournisseurs est un aspect essentiel de la conformité et de la gouvernance du cloud hybride, car les organisations s'appuient sur des fournisseurs de services cloud tiers pour gérer leur infrastructure et leurs applications. Pour gérer le risque fournisseur dans un environnement de cloud hybride, les organisations doivent effectuer une vérification préalable des fournisseurs potentiels, établir des SLA clairs qui décrivent les responsabilités et les obligations du fournisseur, et surveiller régulièrement les performances du fournisseur pour garantir la conformité aux exigences réglementaires.

Vous trouverez ci-dessous des solutions, des services et des outils à prendre en compte lors de l’évaluation et de la sélection des fonctionnalités pour les clouds hybrides. 

• La prévention des pertes de données (DLP) est une solution de sécurité qui surveille et empêche l'accès, l'exfiltration ou la transmission de données sensibles de manière non autorisée. DLP fournit des contrôles basés sur des politiques pour gérer et protéger les données dans les centres de données sur site, les environnements cloud et les terminaux. Les pare-feu d'applications Web fournissent des défenses flexibles et performantes pour empêcher la perte de données sensibles. 
• Les solutions de sécurité réseau protègent les réseaux contre les accès non autorisés, les attaques et autres menaces de sécurité grâce à une combinaison de contrôles, notamment des pare-feu, des systèmes de détection et de prévention des intrusions, des analyses et d'autres technologies de sécurité pour protéger le trafic entrant et sortant sur les réseaux.
• La gestion des vulnérabilités est une solution proactive et automatisée qui analyse et évalue l'infrastructure informatique pour détecter les menaces et les faiblesses potentielles en matière de sécurité, et fournit des recommandations de correction. La gestion des vulnérabilités doit être un processus continu pour rester au courant des menaces nouvelles et émergentes. Les pare-feu d’applications Web peuvent constituer une solution provisoire essentielle pour atténuer les vulnérabilités potentiellement dévastatrices des applications. 
• Les systèmes de détection et de renseignement sur les menaces collectent et analysent des données provenant de sources multiples et utilisent l’apprentissage automatique et d’autres techniques d’analyse en plus de la recherche et de la surveillance du personnel du Centre des opérations de sécurité (SOC) pour identifier et atténuer les menaces de sécurité émergentes et omniprésentes.
• Les solutions de gestion de la conformité suivent et rendent compte des exigences de conformité et aident les organisations à éviter les pénalités et autres risques associés à la non-conformité.

• Les services d’évaluation de la sécurité du cloud fournissent des recommandations pour améliorer les contrôles de sécurité et atténuer les risques en évaluant la posture de sécurité des environnements cloud pour identifier les risques et les vulnérabilités.
• La gestion de la sécurité du cloud est un service qui fournit une visibilité et des contrôles centralisés sur les politiques et configurations de sécurité en surveillant les fonctionnalités de sécurité dans les environnements cloud.
• Les services de chiffrement cloud chiffrent les données en transit et au repos dans les environnements cloud, et fournissent également une gestion des clés et des contrôles d'accès pour garantir une protection sécurisée des données.
• Les plates-formes de protection des charges de travail cloud sécurisent l'infrastructure sous-jacente telle que les images de conteneurs, les clés d'authentification et les chaînes d'approvisionnement logicielles, et protègent également contre l'escalade des privilèges, les mouvements latéraux et l'exfiltration de données. 
• La gestion des identités et des accès (IAM) fournit des services d'authentification, d'autorisation et de contrôle d'accès pour garantir un accès sécurisé et conforme dans plusieurs environnements cloud. L’augmentation du trafic de machine à machine provenant d’API et d’intégrations tierces nécessite de nouvelles approches de sécurité basées sur l’identité. 

• Les réseaux privés virtuels (VPN) fournissent un tunnel sécurisé entre l'appareil d'un utilisateur et le réseau auquel il se connecte, permettant un accès crypté à distance aux ressources cloud. Les VPN peuvent être utilisés pour connecter en toute sécurité des clouds publics et privés et étendre les réseaux privés sur des clouds publics afin de sécuriser le trafic de données dans des environnements hybrides.
• Les pare-feu sont utilisés pour contrôler l'accès à un réseau en surveillant et en filtrant le trafic en fonction de règles prédéfinies. Ils peuvent être mis en œuvre au périmètre du réseau, entre différents environnements cloud et au sein de chaque environnement cloud.
• Les systèmes de détection et de prévention des intrusions (IDPS) sont conçus pour détecter et prévenir les menaces de sécurité en analysant le trafic réseau et en identifiant les activités malveillantes. Ils peuvent être déployés dans un environnement cloud hybride pour surveiller et protéger les ressources cloud contre les attaques telles que les attaques DDoS, les logiciels malveillants et le phishing.
• Les solutions de gestion des informations et des événements de sécurité (SIEM) fournissent une surveillance et une analyse en temps réel des événements de sécurité sur l'infrastructure cloud hybride d'une organisation. Les outils SIEM peuvent collecter et agréger les données de journaux provenant de différents environnements cloud et corréler les événements pour identifier les menaces de sécurité potentielles.
• Secure Socket Layer (SSL) et Transport Layer Security (TLS) sont des protocoles cryptographiques utilisés pour sécuriser les communications sur Internet. SSL et TLS peuvent être utilisés pour crypter les données en transit entre les environnements cloud, garantissant ainsi que les informations sensibles sont protégées contre l'interception et la falsification.

Voici quelques tendances émergentes en matière de sécurité du cloud hybride, indiquant la manière dont elle pourrait évoluer dans les années à venir.

• La sécurité Zero Trust suppose qu’il n’y a pas de périphérie de réseau traditionnelle et considère tout le trafic réseau comme potentiellement malveillant. La sécurité Zero Trust exige que tous les utilisateurs, qu'ils se trouvent à l'intérieur ou à l'extérieur du réseau de l'organisation, soient authentifiés, autorisés et validés en permanence avant d'avoir accès aux applications et données protégées. Cette approche de sécurité implique la mise en œuvre de contrôles d’accès, de processus d’authentification et d’autorisation solides, ainsi qu’une surveillance continue du trafic réseau pour détecter et répondre aux menaces potentielles.
• La sécurité cloud native est une approche de la sécurité du cloud hybride qui exploite des outils et des technologies spécifiques au cloud pour améliorer la sécurité. Cette approche intègre la sécurité dans la stratégie globale de développement d'applications cloud natives d'une organisation et inclut la sécurité des conteneurs, la microsegmentation et la sécurité sans serveur, ainsi que la veille sur les menaces et l'analyse de sécurité basées sur le cloud.
• La sécurité Edge devient une considération importante à mesure que de plus en plus d’organisations adoptent l’informatique Edge pour traiter les données au plus près de leur source. La sécurité de pointe implique la mise en œuvre de contrôles de sécurité et de surveillance au niveau des périphériques et des passerelles de pointe et la garantie d'une communication sécurisée entre les périphériques de pointe et le cloud.

Le cloud hybride s’est déjà avéré être une technologie révolutionnaire pour de nombreuses entreprises, leur offrant la flexibilité, l’évolutivité et les économies de coûts dont elles ont besoin pour rester compétitives. Mais sécuriser le cloud hybride peut être complexe et nécessite une stratégie de sécurité du cloud hybride adaptée pour garantir que les données et les charges de travail sensibles sont protégées à tout moment. 

Pour vous aider à simplifier votre stratégie de cloud hybride, F5 propose un ensemble complet d' outils de sécurité et de gestion qui restent cohérents dans tous les clouds et protègent les données et les applications dans plusieurs environnements informatiques.