Il n’est plus à démontrer que le Cloud a définitivement révolutionné le monde de l’IT. Ne pas dépenser des fortunes en équipements et installations pour héberger un data center on-premise est en effet une perspective très attrayante pour bon nombre d’organisations. Le transfert de ressources vers le Cloud impose toutefois une sécurité rôdée.

D’où le rôle majeur des fournisseurs de services Cloud pour sécuriser les données et applications de leurs clients et contrer les attaques potentielles.

Car sans une configuration appropriée, sans des compétences adéquates et sans une politique de sécurité efficiente, les services Cloud se retrouvent vulnérables.

Le modèle de responsabilité partagée

Prenons le temps de bien comprendre le modèle de responsabilité partagée entre le fournisseur et l’utilisateur de services Cloud. Lorsque vous planifiez votre migration, vous devez savoir à qui incombe  quelles responsabilités. Le fournisseur de services Cloud est responsable de la sécurité de l’infrastructure et de la sécurité physique de celle-ci. En revanche, le client reste quant à lui responsable de la sécurité de ses propres données, de ses workflows (jusqu’à la couche OS), ainsi que du réseau interne au sein du VPC (Virtual Private Cloud) de l’entreprise.

En termes de responsabilité, le client est également en charge du contrôle d’accès, il est le seul à pouvoir répondre à la question « Qui a accès à quelles ressources ? ». Au final, ce n’est pas si différent de ce qui était de mise dans le passé. A une exception près : le fournisseur est responsable de la sécurité physique du data center, et l’entreprise du verrouillage de ses propres ressources.

Ce modèle de responsabilité partagée est souvent négligé et la sécurité des ressources de l’entreprise par conséquent mal assurée, donc susceptible d’affecter le Cloud.

Amazon S3

Les buckets S3 d’AWS, qui finissent souvent par être mal configurés, constituent une cible de choix pour les hackers. C’est ce qui s’est produit il y a trois ans lorsque les dossiers de 198 millions d’électeurs américains se sont retrouvés entre les mains de hackers, du fait d’un bucket S3 non sécurisé.

Aujourd’hui, de nombreuses organisations utilisent le stockage de fichiers dans le Cloud pour conserver les données téléchargées par leurs clients et les envoyer pour traitement à d’autres parties de l’application. La question récurrente est de savoir si ce qui est téléchargé est malveillant ou non.

API

Pierre angulaire de tout service Cloud, les API permettent aux différents services de communiquer… mais représentent par conséquent un risque. Commençons par la passerelle API, courante dans le Cloud pour permettre la communication avec les applications de base, mais conçue pour être intégrée dans des applications, et non pour la sécurité. La passerelle elle-même constitue une cible susceptible d’être manipulée par un pirate souhaitant laisser passer du trafic indésirable. Des connexions non légitimes peuvent ainsi y transiter pour récupérer des données normalement inaccessibles. De même, les requêtes de l’API vers la passerelle peuvent être accompagnées de charges malveillantes.

Les attaques DDOS peuvent également cibler une passerelle API et l’application qui la sous-tend. Pour se défendre contre les attaques sur les API, l’emploi de pare-feux pour applications web (WAF) spécifiques est souvent la solution retenue. Efficaces contre les attaques au niveau applicatifs, , ces derniers ne sont toutefois pas conçus pour faire face aux attaques DDOS.

Comment se prémunir ? En commençant par une bonne configuration, qui est un excellent moyen de prévenir les attaques API. Par exemple, refuser l’accès anonyme, changer les tokens, les mots de passe et les clés pour limiter les risques ou encore opter pour la désactivation de tout type d’authentification non chiffrée. En outre, l’application du cryptage SSL/TLS et la mise en œuvre d’une authentification à facteurs multiples constituent d’importants facteurs de dissuasion.

Comprendre

Souvent, lorsque l’on parle de migration d’un data center on-premise vers le Cloud, l’une des méthodes les plus courantes est l’approche « lift-and-shift » : on fait tout simplement migrer vers le Cloud les machines virtuelles hébergeant applications et services, présentes dans le data center. Mais quelle évaluation de la sécurité a-t-elle été effectuée sur ces-dites machines avant la migration ? Celles-ci ont-elles fait l’objet de correctifs ? Les failles de sécurité découvertes ont-elles été corrigées ? D’expérience, la réponse est non. Par conséquent, les organisations ne font que déplacer les problèmes : les failles de sécurité sont toujours présentes et peuvent être exploitées, d’autant plus si le serveur est public ou si les politiques de réseau sont mal appliquées.

Dès lors que les organisations sont déjà dans le Cloud, elles devront éventuellement déployer de nouvelles ressources, par exemple en développant ou en construisant une image de machine. Il faut se rappeler qu’il s’agit d’ordinateurs et qu’ils demeurent donc vulnérables aux logiciels malveillants, qu’ils soient dans le Cloud ou non. Les mêmes contrôles de sécurité sont de ce fait nécessaires, de même qu’un anti-malware, un host IPS, une surveillance de l’intégrité et un contrôle des applications.

Mise en réseau

Les services Cloud permettent de déployer des réseaux, de les diviser en sous-réseaux de manière incroyablement simple, de faciliter la communication entre eux, mais également de bloquer les types de trafic autorisés à traverser ces réseaux pour atteindre les ressources. C’est là qu’interviennent les groupes de sécurité. Etant configurés par des individus, il est toujours possible qu’un port soit ouvert alors qu’il ne devrait pas l’être, ouvrant ainsi une vulnérabilité potentielle. Afin que les mesures de sécurité appropriées puissent être appliquées, il est donc extrêmement important de bien comprendre à quoi une ressource informatique parle et pourquoi.

Le Cloud est-il vraiment à l’abri ? Pas forcément, et c’est pourquoi les organisations doivent s’assurer qu’elles prennent la sécurité en main, puis qu’elles comprennent où commence leur responsabilité et où s’arrête celle du fournisseur de services Cloud. La guerre des armes entre les hackers et les professionnels de la sécurité est toujours la même : le champ de bataille ne fait qu’évoluer…

___________________

Par Renaud Bidou, Directeur Technique Europe du Sud – Trend Micro