Sécurité du cloud: un guide pour les utilisateurs du cloud

Ce blog Cloud Security couvre les mythes autour du cloud, explique comment choisir la bonne architecture, couvre également les différentes étapes de l'évaluation d'un risque.

Sécurité du cloud

Le cloud était un battage médiatique en 2010-2011, mais aujourd'hui, il est devenu une nécessité. Avec de nombreuses organisations qui migrent vers le cloud, le besoin de sécurité du cloud est devenu la priorité absolue.

Mais avant cela, ceux d'entre vous qui sont novices dans le cloud computing, voyons rapidement ce qu'est le cloud computing,





cloud - sécurité du cloud - Edureka

Qu'est-ce que le cloud computing?



Le Cloud Computing, souvent appelé «le cloud», signifie en termes simples stocker ou accéder à vos données et programmes sur Internet plutôt que sur votre propre disque dur.

Parlons maintenant des types de nuages:



Cloud public

Dans un mode de déploiement de cloud public, les services qui sont déployés sont ouverts à l'usage public et les services de cloud public sont généralement gratuits. Techniquement, il n'y a peut-être pas de différence entre un cloud public et un cloud privé, mais les paramètres de sécurité sont très différents, puisque le cloud public est accessible par tout le monde, il y a un facteur de risque plus impliqué.

Nuage privé

Un cloud privé est exploité uniquement pour une seule organisation, cela peut être fait par la même organisation ou une organisation tierce. Mais généralement, les coûts sont élevés lorsque vous utilisez votre propre cloud car le matériel serait mis à jour périodiquement, la sécurité doit également être contrôlée car de nouvelles menaces apparaissent chaque jour.

Cloud hybride

Un cloud hybride comprend les fonctionnalités du cloud privé et public

Comment les clients choisissent-ils entre les clouds publics, privés et hybrides?

Eh bien, cela dépend de l'exigence de l'utilisateur, c'est-à-dire que si l'utilisateur estime que ses informations sont trop sensibles pour être sur un système plutôt que sur le leur, il opterait pour un cloud privé.

Le meilleur exemple pour cela pourrait être DropBox, à leurs débuts, ils ont commencé à utiliser AWS S3 comme backend pour stocker des objets, mais ils ont maintenant créé leur propre technologie de stockage qu'ils surveillent eux-mêmes.

Pourquoi ont-ils fait ça?

Eh bien, ils sont devenus si gros que la tarification du cloud public n'avait plus de sens. Selon eux, leurs optimisations logicielles et matérielles sont plus viables économiquement que de stocker leurs données sur Amazon S3.

Mais alors si vous n'êtes pas un biggie comme DropBox, et que vous êtes toujours sur une infrastructure privée, il est peut-être temps de penser, pourquoi pas du cloud public?

Maintenant, pourquoi un client utilisera-t-il le cloud public?

Tout d'abord, le prix est bien inférieur par rapport à l'investissement dont une entreprise aurait besoin pour configurer ses propres serveurs.

Deuxièmement, lorsque vous êtes lié à un fournisseur de cloud réputé, la disponibilité de vos fichiers sur le cloud augmente.

Vous ne savez toujours pas si vous souhaitez stocker vos fichiers ou vos données sur un cloud privé ou public.

Laissez-moi vous parler du cloud hybride, avec le cloud hybride, vous pouvez conserver vos données les plus «précieuses» sur votre infrastructure privée et le reste sur le cloud public, ce serait un «cloud hybride»

En conclusion, tout dépend des besoins de l'utilisateur en fonction desquels il choisira entre le cloud public, privé et hybride.

La sécurité du cloud computing peut-elle accélérer le passage des clients vers le cloud?

Oui, regardons quelques recherches effectuées par Gartner. Veuillez consulter les statistiques ci-dessous:

Source: Gartner

Maintenant, cette recherche a été menée pour des entreprises qui hésitent un peu à passer au cloud, et comme vous pouvez le voir clairement dans l'image ci-dessus, la principale raison est la sécurité.

Maintenant, cela ne signifie pas que le cloud n'est pas sécurisé, mais les gens ont cette perception. Donc, fondamentalement, si vous pouvez assurer aux gens que le cloud est sûr, une certaine accélération peut avoir lieu dans le mouvement vers le cloud.

Comment les DSI concilient-ils la tension entre risque, coût et expérience utilisateur?

Eh bien, j'ai lu ceci quelque part, Cloud Security est un mélange de science et d'art.

Confus? Eh bien, c'est un art de savoir jusqu'à quel point devez-vous mettre la sécurité sur un service afin que l'expérience utilisateur ne diminue pas.

Par exemple: supposons que vous ayez une application et que pour la sécuriser, vous demandez le nom d'utilisateur et le mot de passe à chaque opération, ce qui est logique en ce qui concerne la sécurité, mais cela nuit à l'expérience utilisateur.

C’est donc un art de savoir quand s’arrêter, mais en même temps c’est de la science, car vous devez créer des algorithmes ou des outils qui offrent une sécurité maximale aux données de vos clients.

Maintenant, quand quelque chose de nouveau entre en scène, les gens deviennent sceptiques à ce sujet.

Les gens pensent que le cloud computing comporte de nombreux «risques», abordons ces risques un par un:

1. Le cloud n'est pas sécurisé

La plupart du temps, lorsque vous parlez de cloud, beaucoup de gens disent que les données sont plus sécurisées sur leur propre infrastructure plutôt que de dire un serveur AWS avec la sécurité AWS.

passer par valeur et passer par référence java

Eh bien, cela pourrait avoir du sens si l'entreprise se concentrait uniquement sur la sécurité de son cloud privé, ce qui n'est évidemment pas le cas. Mais si l'entreprise fait cela, quand se concentreront-elles sur leurs propres objectifs?

Parlons des fournisseurs de cloud, disons AWS (le plus grand de tous), ne pensez-vous pas que le seul objectif d'AWS est de rendre vos données les plus sécurisées? Pourquoi, parce que c'est pour cela qu'ils sont payés.

Autre fait amusant, Amazon a hébergé son propre site Web de commerce électronique sur AWS, ce qui clarifie la question de savoir si AWS est fiable.

Les fournisseurs de cloud vivent, mangent et respirent la sécurité du cloud.

2. Il y a plus de failles dans le cloud

Une étude du Spring Alert Logic Report de 2014 montre que les cyberattaques de 2012-2013 visaient à la fois des clouds privés et des clouds publics, mais que les clouds privés étaient plus sensibles aux attaques. Pourquoi? Parce que les entreprises qui configurent leurs propres serveurs ne sont pas aussi équipées que celles d'AWS ou d'Azure ou de tout autre fournisseur de cloud.

3. Les systèmes à locataire unique sont plus sécurisés que les systèmes à locataires multiples.

Eh bien, si vous pensez de manière logique, ne pensez pas qu'avec les systèmes multi-locataires, vous disposez d'une couche de sécurité supplémentaire. Pourquoi? Parce que votre contenu sera logiquement isolé du reste des locataires ou des utilisateurs du système, ce qui n'est pas là si vous utilisez des systèmes à locataire unique. Par conséquent, au cas où un pirate souhaite passer par votre système, il doit passer par une couche de sécurité supplémentaire.

En conclusion, ce sont tous des mythes et compte tenu des économies d'investissements que vous ferez lorsque vous déplacerez vos données vers le cloud et des autres avantages, cela dépasse de loin les risques liés à la sécurité du cloud.

Cela dit, passons à l’objet de la discussion d’aujourd’hui, à savoir comment vos fournisseurs de cloud gèrent la sécurité.

Prenons un exemple ici et supposons que vous utilisez une application pour les réseaux sociaux. Vous cliquez sur un lien aléatoire et rien ne se passe. Plus tard, vous apprenez que des messages de spam sont envoyés depuis votre compte à tous vos contacts qui sont connectés avec vous sur cette application.

Mais avant que vous ne puissiez même envoyer un e-mail ou vous plaindre au support de l'application, il connaîtrait déjà le problème et serait prêt à le résoudre. Comment? Comprenons.

Donc, fondamentalement, la sécurité cloud comporte trois étapes:

  • Surveillance des données
  • Gagner en visibilité
  • Gérer l'accès

La Surveillance du cloud L'outil qui analyse en permanence le flux de données sur votre application cloud alerterait dès que des choses «étranges» commenceraient à se produire sur votre application. Comment évaluent-ils les choses «bizarres»?

Eh bien, l'outil de surveillance du cloud aurait des algorithmes d'apprentissage automatique avancés qui enregistrent le comportement normal du système.

Donc, tout écart par rapport au comportement normal du système serait un drapeau rouge, les techniques de piratage connues sont également répertoriées dans sa base de données. Donc, en prenant tout cela en une seule image, votre outil de surveillance déclenche une alerte chaque fois qu'un événement louche se produit.

Maintenant, une fois que vous sauriez qu'il se passe quelque chose de «pas normal», vous voudrez savoir quand et où, arrive l'étape 2, gagner en visibilité .

Cela peut être fait à l'aide d'outils qui vous donnent la visibilité des données qui entrent et sortent de votre cloud. En utilisant ces derniers, vous pouvez non seulement savoir où le défaut s'est produit, mais aussi «qui» en est responsable. Comment?

Eh bien, ces outils recherchent des modèles et listeront toutes les activités suspectes et verront donc quel utilisateur en est responsable.

trouver la longueur du tableau javascript

Maintenant, l'individu responsable devrait d'abord être retiré du système, n'est-ce pas?

Arrive l'étape 3, gérer l'accès.

Les outils qui géreront l'accès listeront tous les utilisateurs présents sur le système. Par conséquent, vous pouvez suivre cet individu et l'effacer du système.

Maintenant, comment cet individu ou pirate a-t-il obtenu un accès administrateur de votre système?

Très probablement, le mot de passe de votre console de gestion a été piraté par le pirate et a créé un rôle d'administrateur pour lui-même à partir de l'outil de gestion des accès, et le reste est devenu de l'histoire.

Maintenant, que ferait votre fournisseur de cloud après cela? Ils apprendraient de cela et évolueraient pour que cela ne se reproduise plus.

Maintenant, cet exemple est juste pour la compréhension, généralement aucun pirate informatique ne peut accéder à votre mot de passe comme ça.

La chose sur laquelle il faut se concentrer ici est que la société de cloud a évolué à partir de cette effraction, elle a pris des mesures pour améliorer sa sécurité dans le cloud afin que la même chose ne puisse jamais se répéter.

Désormais, tous les fournisseurs de cloud suivent ces étapes. Parlons du plus grand fournisseur de cloud, AWS.

AWS suit-il ces étapes pour la sécurité du cloud AWS? Regardons:

Pour la surveillance du cloud, AWS a CloudWatch

Pour la visibilité des données, AWS a CloudTrail

Et pour gérer l'accès, AWS a DÉJÀ

Ce sont les outils utilisés par AWS, examinons de plus près leur fonctionnement.

CloudWatch

Il vous donne la possibilité d'analyser les données entrant et sortant de vos ressources AWS. Il présente les fonctionnalités suivantes liées à la sécurité du cloud:

  • Surveillez EC2 et d'autres ressources AWS:
    • Sans installer de logiciel supplémentaire, vous pouvez surveiller les performances de votre EC2 à l'aide d'AWS CloudWatch.
  • La possibilité de surveiller des métriques personnalisées:
    • Vous pouvez créer des métriques personnalisées et les surveiller via CloudWatch.
  • Surveiller et stocker les journaux:
    • Vous pouvez surveiller et stocker les journaux liés aux activités se déroulant sur vos ressources AWS.
  • Régler les alarmes:
    • Vous pouvez définir des alarmes sur des déclencheurs spécifiques, comme une activité nécessitant une attention immédiate, etc.
  • Afficher les graphiques et les statistiques:
    • Vous pouvez visualiser ces données sous forme de graphiques et d'autres représentations visuelles.
  • Surveiller et réagir aux changements de ressources:
    • Il peut être configuré de manière à répondre aux changements de disponibilité d'une ressource ou lorsqu'une ressource ne fonctionne pas correctement.

CloudTrail

CloudTrail est un service de journalisation qui peut être utilisé pour enregistrer l'historique des appels d'API. Il peut également être utilisé pour identifier quel utilisateur d'AWS Management Console a demandé le service particulier. En prenant référence à notre exemple, c'est l'outil à partir duquel vous identifierez le fameux «hacker».

DÉJÀ

La gestion des identités et des accès (IAM) est utilisée pour accorder un accès partagé à votre compte AWS. Il a les fonctions suivantes:

  • Autorisations granulaires:
    • Il peut être utilisé pour accorder des droits d'accès à différents types d'utilisateurs à un niveau très cellulaire. Par exemple: vous pouvez accorder un accès en lecture à un utilisateur spécifique et un accès en lecture-écriture à un autre utilisateur.
  • Accès sécurisé aux applications exécutées sur l'environnement EC2:
    • IAM peut être utilisé pour donner un accès sécurisé en obligeant l'utilisateur à entrer les informations d'identification, pour accéder aux ressources EC2 respectives.
  • Utilisation gratuite:
    • AWS a rendu les services IAM gratuits à utiliser avec tout service aws avec lequel ils sont compatibles.

Bouclier AWS

Il s'agit d'un service de déni DDOS géré. Voyons rapidement ce qu'est DDoS?

DDoS surcharge essentiellement votre site Web avec un trafic non pertinent dans le but de supprimer votre site Web. Comment ça marche? Les pirates créent un bot-net en infectant de nombreux ordinateurs connectés sur Internet, comment? Vous vous souvenez de ces courriels étranges que vous recevez parfois sur votre courrier? Loterie, aide médicale, etc. Fondamentalement, ils vous font cliquer sur quelque chose, qui installe un malware sur votre ordinateur, qui est ensuite déclenché pour faire de votre ordinateur, un plus un, dans le trafic non pertinent.

Vous n'êtes pas sûr de votre application Web? Ne soyez pas AWS Shield est là.

Il propose deux types de services:

  1. la norme
  2. Avancée

La la norme Le package est gratuit pour tous les utilisateurs et votre application Web sur AWS est automatiquement couverte par ce package par défaut. Il comprend les fonctionnalités suivantes:

  • Détection rapide
    • Détecte le trafic malveillant en déplacement à l'aide d'algorithmes d'anomalie.
  • Attaques d'atténuation en ligne
    • Des techniques d'atténuation automatiques sont intégrées à AWS Shield, vous offrant une protection contre les attaques courantes.
  • Ajoutez des règles personnalisées pour prendre en charge votre application.

Pas assez? Il y a un Avancée paquet aussi. Avec un petit coût supplémentaire, vous pouvez couvrir vos ressources Elastic Load Balancers, Route 53 et CloudFront.

Qu'est-ce que tout est inclus? Regardons:

  • Détection améliorée
    • Il comprend des techniques supplémentaires telles que la surveillance spécifique aux ressources et fournit également une détection granulaire des attaques DDoS.
  • Atténuation avancée des attaques
    • Atténuations automatiques plus sophistiquées.
  • Notification de visibilité et d'attaque
    • Notifications en temps réel à l'aide de CloudWatch.
  • Assistance spécialisée
    • Assistance 24h / 24 et 7j / 7 par une équipe spéciale de réponse DDoS.
  • Protection des coûts DDoS
    • Empêche les pics de coûts dus à la surcharge par les attaques DDoS.

En conclusion, tout fournisseur de cloud pour son succès suit les normes les plus élevées en matière de sécurité dans le cloud, et progressivement sinon immédiatement, les personnes qui n'ont toujours pas confiance dans le cloud comprendront qu'il est nécessaire de passer à autre chose.

Alors c’est ça les gars! J'espère que vous avez apprécié ce blog sur la sécurité dans le cloud. Les choses que vous avez apprises dans ce blog Cloud Security sont les compétences les plus recherchées que les recruteurs recherchent chez un professionnel AWS Solution Architect. Voici une collection de pour vous aider à préparer votre prochain entretien d'embauche AWS. Pour en savoir plus sur AWS, vous pouvez consulter notre Blog. Nous avons également mis au point un programme qui couvre exactement ce dont vous auriez besoin pour réussir l'examen d'architecte de solution! Vous pouvez consulter les détails du cours pour formation.

Vous avez une question pour nous? Veuillez le mentionner dans la section commentaires de ce blog Cloud Security et nous vous répondrons.