Le cloud offre l’avantage de permettre le provisionnement dynamique de machines virtuelles (VM), d’espaces de stockage, de containers, et autres ressources. Depuis le début de la crise sanitaire et avec le recours au télétravail, les organisations l’utilisent massivement afin d’offrir aux salariés et aux fournisseurs un accès aux outils d’entreprise performant, flexible et ajustable à la volée, en fonction des besoins. Toutefois, alors que les cyberattaques prolifèrent et ont connu une hausse importante depuis le début de la pandémie, ces déploiements doivent s’accompagner de mesures de sécurité adéquates.
Dès lors qu’une machine virtuelle ou ressource est créée de manière dynamique, elle se voit attribuer des identifiants à privilèges, tels que les clés SSH. Ce type de processus de provisionnement n’est pas nécessairement automatisé. Les administrateurs peuvent en effet utiliser une console de gestion afin de lancer de nouvelles machines virtuelles et leur attribuer les niveaux de privilèges appropriés.
Quelle que soit la nature de l’infrastructure cloud utilisée, il est aujourd’hui essentiel de protéger ces comptes à hauts pouvoirs dès leur création et tout au long de leur cycle de vie.
Identification des différentes entités privilégiées ayant accès aux infrastructures cloud.
Pour une entreprise, sécuriser les comptes à privilèges de manière manuelle devient quasi impossible à mesure que l’environnement cloud s’étend. L’automatisation, les scripts et les différents outils de gestion du cloud permettent la création dynamique d’identifiants privilégiés, les rendant ainsi plus difficiles à gérer et à suivre. Afin de mieux comprendre le périmètre des risques associés aux privilèges, des outils permettent de découvrir les identifiants privilégiés en continu, incluant les clés SSH, les mots de passe ou encore les clés d’accès AWS.
Recours à un système de stockage sécurisé et centralisé pour l’ensemble des identifiants privilégiés.
En exploitant des APIs robustes, des intégrations éprouvées et des mécanismes d’injection de secret permettant la récupération et la rotation des identifiants privilégiés depuis un coffre-fort numérique sécurisé, les entreprises peuvent mettre sous contrôle leurs comptes à privilèges de manière automatique, c’est-à-dire au moment même de leur création.
Intégration automatique de nouvelles entités et sécurisation immédiate des comptes à privilèges associés aux nouvelles infrastructures provisionnées.
Une fois qu’une entreprise découvre l’ensemble des comptes à privilèges présents dans son infrastructure cloud, elle peut envisager une gestion programmatique des nouvelles entités en exploitant des APIs. Cette approche permet de simplifier considérablement la gestion des accès dans le cloud et d’améliorer l’efficacité opérationnelle qui en découle. Cette étape est particulièrement importante dans le cloud où l’infrastructure est automatisée et où les conteneurs, serveurs et autres ressources ne sont provisionnés et utilisés que pour quelques minutes, voire heures, afin de compléter une tâche spécifique. Cette mise à l’échelle automatique est répétée plusieurs fois par jour, et ce sans aucune interaction humaine. Afin de sécuriser efficacement les accès à privilèges, les clés SSH utilisées pour accéder programmatiquement aux VM doivent être automatiquement intégrées et sécurisées dans un coffre-fort numérique, puis mises en rotation dès lors que de nouvelles instances cloud sont créées.
Gestion des accès à privilèges avec la méthode juste-à-temps.
Les entreprises débutant dans le cloud peuvent choisir d’accorder l’accès aux machines virtuelles, à moyen ou long terme, via un accès permanent traditionnel où les identifiants privilégiés sont stockés dans un coffre-fort numérique sécurisé et mis en rotation. Il s’agit d’une première étape importante puisqu’elle permet de renforcer la sécurité des infrastructures cloud.
Lorsque les entreprises progressent dans leur adoption du cloud, l’infrastructure évolue plus rapidement, elle croît et décroît en quelques secondes en fonction des besoins. Une approche différente et plus dynamique est requise pour la gestion des accès à privilèges. L’accès juste-à-temps permet aux utilisateurs (humains, machines et applications) d’obtenir une élévation de privilèges temporaire pour accéder à des données sensibles, uniquement durant une durée déterminée nécessaire à la réalisation d’une tâche.
En d’autres termes, il s’agit d’une méthode garantissant l’octroi du bon accès, au bon utilisateur, à la bonne ressource cloud, au bon moment et pour les bonnes raisons. Combiné à des capacités de surveillance des sessions privilégiées, l’approche juste-à-temps renforce les contrôles d’accès aux machines virtuelles exécutées dans le cloud.
Suppression automatique des privilèges lorsque l’infrastructure est décommissionnée.
La capacité d’une technologie à supprimer rapidement des accès privilégiés, et avec exactitude, est indispensable à la réduction des risques. L’automatisation de ce processus rationnalise les efforts opérationnels internes tout en améliorant les résultats obtenus.
En 2020, de nombreuses entreprises ont débuté leur transformation numérique et ont dû s’adapter à une nouvelle normalité, entre le télétravail et le paysage des cyber-menaces toujours grandissant. La technologie du cloud est de plus en plus sollicitée par les entreprises, cependant la transition et son utilisation ne doivent pas se mettre en place sans une sécurité optimale et une maitrise de la gestion des accès des utilisateurs.
___________________
Par Ketty Cassamajor, Responsable Avant-Vente Europe du Sud chez CyberArk