Pourquoi le cryptage est la pierre angulaire de la sécurité de votre cloud

Pourquoi le cryptage est la pierre angulaire de la sécurité de votre cloud

Bien que l’informatique en cloud soit loin d’être la solution miracle à tous vos problèmes de stockage et de sécurité des données, les entreprises en retirent des avantages significatifs: rentabilité, évolutivité à la demande, investissement immédiat lourd en ressources opérationnelles récurrentes, ressources et compétences accrues, et plus encore.

Le prédécesseur de l’informatique en cloud, l’informatique partagée / multi-propriétaires, remonte à nos débuts dans l’utilisation des ordinateurs centraux, notamment le partage de temps, les machines virtuelles et l’accès à distance. Les techniques de cryptographie et de cryptage ne sont pas nouvelles pour nous; ils ont été utilisés à plusieurs reprises au cours de l’histoire. Certains d’entre nous sont peut-être même assez vieux pour se souvenir des infrastructures hébergées basées sur des abonnements, telles que Compuserve et Prodigy, ainsi que des infrastructures de messagerie et de portail telles que Excite @ Home. Aujourd’hui, ils pourraient tous être qualifiés d’offres SaaS (Software-as-a-Service) basées sur le cloud. Alors, qu’est-ce qui différencie les frameworks informatiques partagés d’aujourd’hui?

Tout d’abord, il est manifestement trop coûteux de maintenir les infrastructures en place aujourd’hui, par rapport à la suppression de tous ces coûts par le biais d’environnements hébergés partagés. Nous le constatons non seulement dans les entreprises, mais également dans les domaines axés sur le consommateur, tels que le commerce de détail. En passant au cloud public, les entreprises peuvent se concentrer sur les compétences de base qui soutiennent leur modèle d’entreprise spécifique. Ce qui est intéressant, c’est qu’aujourd’hui, avec leurs investissements considérables et leurs frais généraux informatiques, de nombreuses entreprises non informatiques semblent être au cœur de leur métier.

Nous pouvons convenir que les modèles informatiques partagés sont maintenant largement acceptés sur le plan culturel et qu’il est devenu difficile de justifier le maintien de modèles sur site plus coûteux. Cela est particulièrement vrai lorsque vous prenez en compte les coûts indirects liés à la maintenance des centres de données et les défis constants que pose l’adaptation et l’alignement des ressources et des finances à la demande, qui augmentent et diminuent périodiquement.

Pour faciliter l’acceptation plus large, les barrières d’accès à distance d’antan ont été supprimées. Nous sommes tous heureux d’avoir évolué d’un accès lent, distant par numérotation, à notre accès Internet haut débit à partir d’une myriade d’appareils. En fait, du point de vue du consommateur, il n’ya probablement pas de différence de performance notable entre l’accès sur site et l’accès à distance. Cela nous maintiendra tous dans des modèles informatiques multi-locataires pendant de nombreuses années. Alors, où est le problème?

Les utilisateurs distants, l’accès rapide et les cadres partagés augmentent les risques

L’accès à distance haut débit aux environnements informatiques multi-locataires partagés augmente les risques. On a entendu plusieurs responsables de la sécurité de l’information (RSSI) indiquer que l’informatique en cloud avait élargi la surface d’attaque de tous les utilisateurs testant leurs clôtures. S’appuyant sur un faux sens de «la sécurité par l’obscurité» n’est plus une stratégie efficace.

Alors que les clients du cloud sont chargés de la protection de leurs informations confidentielles, le fournisseur du cloud contrôle une grande partie de la sécurité. En fait, les fournisseurs ne divulguent souvent pas leurs contrôles de sécurité et ne les ouvrent pas pour vérification. Cela est considéré comme un risque inutile. Par exemple, partager ouvertement les détails de leur architecture et de leurs produits de sécurité pourrait exposer les acteurs de la menace aux vulnérabilités connues et aux surfaces d’attaque (c’est encore une fois l’idée dépassée de la sécurité par obscurité). Bien que le fournisseur de cloud soit responsable de la sécurité physique, de la continuité des activités, de la reprise après sinistre et de la sécurité du réseau, des contrôles de sécurité supplémentaires et des responsabilités sont modifiés en fonction du type de modèle de service de cloud choisi.

Avant de déterminer qui possède quoi et quand, réfléchissons aux responsabilités de sécurité fondamentales que vous confiez au fournisseur de cloud. N’oubliez pas que vous, en tant que client cloud, assumez la responsabilité ultime de la sécurité des informations confidentielles de votre client, et vous déterminez si ces informations doivent être conservées de manière sécurisée dans vos locaux ou placées ailleurs. Le transfert des données ou des services que vous avez confiés dans le cloud revient à basculer vers un environnement partagé / multi-propriétaires, en ce sens que vous faites confiance à votre fournisseur de cloud pour isoler et sécuriser correctement vos données – non seulement vos données au repos pendant le stockage, mais également dans les environnements de stockage en transit et en mémoire.

Naturellement, vous souhaiterez que les employés et les tiers du fournisseur de services cloud, qu’ils se trouvent physiquement à proximité de votre environnement ou puissent y accéder à distance, soient correctement contrôlés, formés et dignes de confiance. Tout au long de l’informatique, nous nous sommes appuyés sur la cryptographie pour protéger nos informations confidentielles. Le cloud ne fait pas exception.

Vous ne pouvez pas éliminer les risques liés à la sécurité du cloud

Il existe trois façons de gérer le risque: l’accepter, l’éviter ou le partager / transférer. Malheureusement, aucune de ces options n’implique l’élimination complète du risque. Un exemple d’acceptation du risque est la décision de vivre avec, car le coût de la protection est supérieur au coût potentiel associé à la menace. Vous pouvez décider d’éviter totalement le risque en abandonnant l’initiative ou en transférant le risque à un organisme d’assurance ou à une autre société, afin que la responsabilité soit partagée.

Lorsque vous décidez de faire confiance à un fournisseur de cloud, prenez en compte l’accord de niveau de service et / ou toute affirmation réglementaire de la part du fournisseur. Vous avez peut-être accès à des audits tiers, par exemple, ou vous pouvez collecter des analyses à partir de votre propre environnement isolé dans le cloud public. Ce ne sont là que quelques-uns des nombreux éléments à prendre en compte lors des négociations.

Comprendre les 3 offres de cloud les plus courantes

Bien qu’il existe de nombreux modèles de cloud et des ramifications de modèles parmi lesquels choisir, examinons les trois plus courants: infrastructure en tant que service (IaaS), plate-forme en tant que service (PaaS) et logiciel en tant que service (SaaS). Le client reste responsable de la protection de ses données confidentielles, mais en quoi les autres responsabilités en matière de sécurité dans le cloud diffèrent-elles?

Infrastructure en tant que Service

Le client en cloud est généralement responsable de l’installation, de la sécurisation, de l’application de correctifs et de la mise à niveau des systèmes d’exploitation. Les fournisseurs de cloud fournissent généralement un environnement informatique virtuel de base comprenant des unités centrales, une mémoire et un stockage dans un environnement informatique partagé.

L’avantage est fondamentalement un environnement informatique évolutif maintenu pour votre compte à un coût inférieur à celui que vous aviez conçu vous-même. Le fournisseur de cloud est généralement responsable de l’accès physique, de la mise en réseau vers et depuis votre environnement et de l’accès à distance. Vous êtes responsable du reste des contrôles de sécurité, y compris l’installation et le renforcement des systèmes d’exploitation, la correction des vulnérabilités, l’octroi aux utilisateurs des autorisations appropriées dans l’environnement et, bien sûr, les erreurs ou omissions éventuellement introduites par votre équipe.

Plate-forme en tant que service

Les fournisseurs de cloud de ce modèle fournissent une infrastructure hébergée dans un environnement informatique partagé (y compris les processeurs, la mémoire et le stockage) et sécurisent, corrigent et mettent à niveau les systèmes d’exploitation. Sur la base du contrat, le fournisseur peut également superviser des bases de données et d’autres fonctionnalités de modélisation de données. Le client peut donner aux professionnels de l’informatique un accès approprié aux plates-formes, y compris un accès privilégié. Encore une fois, toutes les erreurs ou omissions sont sur vous.

Logiciel en tant que service

Il s’agit de loin de l’environnement le plus pratique pour les clients du cloud en matière de sécurisation de l’environnement hébergé. Pensez à votre messagerie gratuite dans le cloud; il est prudent de supposer que nous les utilisons tous. Vous venez de fournir un compte de messagerie et d’y accéder en soumettant un ID utilisateur et un mot de passe. Les entreprises utilisant des modèles SaaS similaires permettent généralement aux utilisateurs autorisés d’accéder aux services de l’environnement. En tant que clients, vous accordez à vos utilisateurs / constituants les autorisations appropriées pour des services spécifiques.

Nous faisons parfois référence à l’ajout et à la suppression de comptes d’utilisateurs sous le nom de provisionnement et déprovisioning, ou d’intégration et de délocalisation. Bien qu’il soit clair que vous êtes responsable de l’ajout et de l’autorisation de vos nouveaux utilisateurs au service, rappelez-vous que vous êtes également responsable de leur suppression lorsqu’ils ne devraient plus avoir besoin d’accéder à vos services et à l’environnement. Les erreurs et omissions potentielles associées à ce modèle incluent qui vous laissez entrer, ce que vous autorisez ces utilisateurs à faire et si vous les supprimez lorsqu’ils quittent l’entreprise ou s’ils n’ont plus besoin d’accès.

Que pouvons-nous contrôler quand nous ne sommes pas en contrôle?

S’agissant de la responsabilité en matière de sécurité, les lignes peuvent se brouiller entre différents modèles d’offre de cloud, mais les clients du cloud sont finalement responsables de la confidentialité, de l’intégrité et de l’accessibilité des données sensibles. Il y aura toujours des angles morts dans les environnements de cloud public – les zones que les clients du cloud ne peuvent tout simplement pas contrôler. Au lieu de cela, ils doivent simplement avoir confiance que le fournisseur et les tiers font preuve de diligence raisonnable.

La mesure de sécurité en nuage la plus efficace – si ce n’est la mesure de sécurité la plus fondamentale que les clients puissent prendre – consiste à chiffrer des données confidentielles dans le nuage public. Cela inclut les données inactives dans le nuage et les données archivées et sauvegardées, qu’elles restent dans la zone de stockage dans le nuage ou qu’elles soient portées ailleurs.

Le cryptage est également nécessaire pour protéger les données en transit. De cette façon, si vos données sont exposées en raison de angles morts, elles restent illisibles et confidentielles en fonction de vos décisions de cryptage.

Considérations pour la sélection d’un fournisseur de cloud

Lorsque vous choisissez un fournisseur de cloud, recherchez un fournisseur reconnu pour son expérience en matière de sécurisation, de séparation et d’isolation des données de plusieurs clients de l’exposition. Les offres sophistiquées de cryptage et de protection des données sont toujours des fonctionnalités utiles. Envisagez de découvrir les angles morts des nuages publics chaque fois que vous le pouvez en utilisant des outils avancés tels que l’analyse et la surveillance alimentées par l’intelligence artificielle (AI).

Étant donné que la plupart des clients du cloud utiliseront plusieurs solutions, alignez-vous avec des fournisseurs qui ne vous verrouillent pas ni ne bloquent vos données. Les fournisseurs qui prennent en charge le partage d’informations dans et hors de leur cloud sans casser votre banque sont de bons candidats. Sinon, passer d’un fournisseur à un autre pourrait être coûteux – et le pire moment pour prendre conscience de cette dépense surprise est en période de crise.