Face au nombre croissant de systèmes et de processus métier transférés vers le cloud par les entreprises, la gouvernance et la surveillance de l'accès à ces ressources ne cessent de gagner en complexité. Les ressources cloud ne sont plus statiques, ni prévisibles. Qui plus est, les entreprises ne se contentent plus d'un cloud unique et adoptent désormais des infrastructures multicloud. L'octroi des autorisations d'accès appropriées à ces ressources devient un véritable casse-tête, d'où la nécessité de se tourner vers une solution de gestion des droits sur l'infrastructure cloud (CIEM, Cloud Infrastructure Entitlement Management).
En quoi consistent les droits sur l'infrastructure cloud ?
Les fournisseurs de services cloud opèrent selon un modèle de responsabilité partagée. Dans le cadre d'une offre IaaS (Infrastructure-as-a-Service), le fournisseur de services cloud met à disposition des services et un stockage et garantit la sécurité physique de ses datacenters. En revanche, il incombe à l'utilisateur d'assurer la sécurité de l'infrastructure et de déterminer quels utilisateurs (ou quels systèmes) peuvent ou non accéder aux ressources de cette infrastructure.
Les ressources dynamiques et la complexité des configurations muticloud
Dans un environnement doté de ressources statiques, les fournisseurs de services cloud utilisent des règles de gestion des identités et des accès (IAM) pour contrôler les accès. Par exemple, un utilisateur ayant le rôle deployments-manager pourra avoir l'autorisation de redémarrer une instance de calcul (par ex., EC2), tandis qu'un pipeline CI/CD ayant le rôle automated-test-runner pourra bénéficier d'un accès SSH à cette instance afin d'y exécuter un test.
Cependant, dans les environnements cloud actuels, les ressources ne cessent de changer. De nombreuses ressources sont éphémères et sont mises en service ou hors service en fonction de l'évolution des besoins à un moment donné. Si tous les fournisseurs de services cloud ont mis en place des solutions pour accorder des autorisations pour ces ressources éphémères, chacun le fait à sa manière. Les entreprises doivent dès lors gérer et comprendre les autorisations pour plusieurs clouds.
Les droits sur l'infrastructure cloud englobent les diverses autorisations d'accès aux ressources cloud octroyées aux entités. Mais comme nous le verrons, dans un environnement multicloud contenant des milliers de ressources, il est extrêmement difficile d'assurer la gestion et le suivi des droits sur l'infrastructure cloud d'une entreprise.
Qu'est-ce qu'une solution de gestion des droits sur l'infrastructure cloud (CIEM) ?
Nouvelle venue dans l'univers technologique de la sécurité du cloud, la solution CIEM a gagné en popularité depuis son ajout dans le rapport Hype Cycle for Cloud Security, 2020 de Gartner. Gartner y définit les solutions CIEM comme suit :
Les solutions de gestion des droits sur l'infrastructure cloud (CIEM) sont des solutions SaaS spécialisées centrées sur l'identité, qui assurent la gestion des risques liés à l'accès au cloud au moyen de contrôles du temps d'administration pour la gouvernance des droits dans des environnements IaaS hybrides et multicloud.
La solution CIEM aide les entreprises à gérer les droits pour l'ensemble des ressources de leur infrastructure cloud. Son objectif premier est de limiter les risques liés à l'octroi involontaire et non contrôlé d'autorisations excessives à des ressources cloud.
Quels problèmes une solution CIEM résout-elle ?
La gestion et la surveillance de l'accès aux ressources cloud posent un certain nombre de problèmes que la solution CIEM s'efforce de résoudre.
Gestion de l'accès à des ressources éphémères
Dans les environnements cloud actuels, les personnes ou les processus peuvent à tout moment mettre en service ou hors service des ressources. La gestion de l'accès à ces ressources nécessite une approche dynamique, et la surveillance de l'accès à ces ressources éphémères est tout aussi complexe.
Accès trop permissif aux ressources cloud
Nombreuses sont les entreprises qui adoptent une approche manuelle ou laxiste en matière d'autorisations et pêchent ainsi par excès de confiance. Prenons l'exemple d'un nouveau membre de l'équipe d'ingénierie soumis aux règles IAM. Pour ne pas gêner ce nouveau collaborateur dans l'exécution de son travail ou lui éviter de devoir introduire des demandes répétées pour obtenir des autorisations supplémentaires, l'entreprise décide de lui octroyer des autorisations excessives lui permettant d'effectuer toutes sortes d'actions, dont certaines sont sans lien avec sa fonction ou ses responsabilités.
Ces autorisations excessives augmentent le risque de compromission de la sécurité.
Visibilité à grande échelle
L'accès à l'infrastructure cloud est bien plus complexe que l'accès des utilisateurs aux ressources. Un accès à diverses ressources peut être nécessaire, notamment :
- Machines virtuelles
- Conteneurs
- Fonctions sans serveur
- Bases de données
- Stockage persistant
- Applications
- etc.
Par ailleurs, diverses entités peuvent avoir besoin d'accéder à ces ressources :
- Utilisateurs
- Terminaux IoT
- Autres fonctions sans serveur
- Autres applications
- Autres comptes cloud
Dans un environnement comptant des centaines de ressources, voire plus, ainsi que des centaines ou des milliers d'entités réclamant un accès à certaines de ces ressources, mais pas à d'autres, il est indispensable de clarifier la gestion des accès. Les entreprises qui ont tendance à accorder trop d'autorisations, en particulier, doivent pouvoir identifier les entités disposant de privilèges excessifs. Cette visibilité leur permettra de contenir les autorisations excessives et de réduire le risque de compromission de la sécurité.
La complexité des environnements multicloud
De nombreuses entreprises adoptent une approche multicloud et choisissent d'héberger leurs ressources dans différents clouds pour des raisons de coût, de disponibilité ou autres. AWS, Azure et GCP ont tous des approches différentes en matière d'IAM, à l'instar des autres fournisseurs de services cloud. Les entreprises se retrouvent ainsi privées d'approche unifiée unique pour gérer les autorisations sur l'ensemble de leurs ressources cloud. Elles doivent dès lors répartir le travail et coordonner les diverses approches mises en place par les différents fournisseurs de services cloud.
Suivi et identification des risques liés aux accès
Étant donné le nombre d'utilisateurs, d'applications et de machines et le fait qu'ils ne disposent pas tous des mêmes privilèges d'accès aux ressources cloud, un suivi des accès est nécessaire pour garantir et améliorer la sécurité de l'entreprise. Dès lors que l'environnement compte des centaines, voire des milliers de ressources, un tel suivi est particulièrement difficile à mettre en place.
RAPPORT 2022 SUR LES MENACES CIBLANT LE CLOUD
Téléchargez ce nouveau rapport pour découvrir les principales menaces pour la sécurité du cloud à surveiller en 2022 et comment les neutraliser.
<strong>Télécharger</strong>Comment une solution CIEM permet-elle de résoudre ces problèmes ?
Les solutions CIEM modernes mettent à la disposition des équipes de sécurité des tableaux de bord qui permettent de visualiser facilement l'ensemble des ressources présentes dans tous les clouds. Des contrôles sont intégrés à ces tableaux de bord pour gérer les droits sur ces ressources de l'infrastructure cloud. Les solutions CIEM prennent à la fois en charge l'étendue et le caractère éphémère des ressources des environnements cloud actuels.
L'approche standard consiste, pour les solutions CIEM, à appliquer le principe du moindre privilège, en vertu duquel un utilisateur (ou une entité) ne reçoit que le niveau minimum d'autorisations dont il a besoin dans le cadre de ses fonctions. Grâce à cette approche, les solutions CIEM permettent d'éviter les dangers associés à des autorisations excessives.
Les solutions CIEM unifient en outre la terminologie et l'usage de la sécurité pour tous les clouds, ce qui évite aux équipes de devoir changer de contexte en fonction du fournisseur de services cloud.
Enfin, de nombreuses solutions CIEM utilisent le Machine Learning pour analyser les enregistrements et configurations d'accès afin de déterminer les risques liés aux accès qui pèsent une entreprise. Cela permet aux solutions CIEM d'identifier les droits excessifs et de limiter le risque de compromission de la sécurité.
Conclusion
L'approche IAM traditionnelle utilisée dans les environnements cloud statiques ne suffit pas lorsqu'elle est appliquée aux environnements multicloud dynamiques actuels. De plus, une approche manuelle est totalement inadaptée à l'étendue des environnements actuels, qui comptent parfois des milliers de ressources et encore plus d'entités devant accéder à ces ressources. Elle risque dès lors de donner lieu à l'octroi involontaire d'autorisations excessives, ce qui augmente le risque de compromission de la sécurité.
Une solution CIEM permet de régler ce problème en assurant la gouvernance et la surveillance des accès sur de multiples clouds depuis une solution SaaS centrale. En outre, elle propose des tableaux de bord pour la gestion, s'appuie sur l'intelligence artificielle et le Machine Learning pour évaluer et identifier les risques et unifie l'approche de l'entreprise en matière d'accès à l'ensemble des clouds.
Téléchargez l'infographie « Comment améliorer le niveau de sécurité du cloud ? » et découvrez l'approche de l'architecture de sécurité cloud de CrowdStrike en matière de gestion des accès et du niveau de sécurité sur la page /content/crowdstrike-www/language-masters/fr/fr-fr/products/cloud-security/falcon-horizon-cspm/