Les entreprises de toute taille adoptent des solutions publiques d'infrastructure sous forme de service (IaaS) pour innover, et améliorer l'efficacité et la réactivité face aux concurrents et au marché. En fait, le cabinet d'études Gartner estime que l'adoption des services d’IaaS publics augmentera de « 38,6 % en 2017 pour atteindre 34,6 milliards de dollars ». Malgré la popularité et les nombreux avantages des IaaS publiques, les entreprises sont confrontées à des défis plutôt uniques lorsqu'elles migrent leurs ressources vers le Cloud.

Au fur et à mesure de l'adoption du Cloud public, de plus en plus de données sont déplacées au-delà des protections traditionnelles, dans des Datacenters qui ne sont plus détenus, gérés ou contrôlés par les services informatiques des entreprises clientes. En parallèle de cela, les applications et les actifs client dans le Cloud sont exposés aux mêmes types de menaces ciblant leurs propres Datacenters. Un serveur Linux ou Microsoft non corrigé et connecté à Internet est vulnérable aux mêmes menaces que ce soit dans un réseau client ou un Cloud public. De plus, les logiciels malveillants introduits dans le Cloud peuvent se propager facilement parmi les machines virtuelles, attaquer des segments virtuels ou même utiliser sans entrave des liens VPN pour atteindre les réseaux d'entreprise. 

Afin d’adopter pleinement le Cloud, les entreprises doivent comprendre l'équilibre des responsabilités entre la protection de l'infrastructure dans le Cloud (incombant au prestataire de Cloud) et la protection des données qui résident dans le Cloud (incombant au client). C'est ce que les fournisseurs d'IaaS désignent par le terme de modèle de responsabilité partagée.

Les réseaux de Clouds publics reposent sur des plateformes multi-tenant prenant simultanément en charge des millions de clients dans le monde entier. Des pratiques améliorées de sécurité, de gestion opérationnelle et d'atténuation des menaces sont fondamentales pour protéger l'infrastructure, les hyperviseurs, les services et les entreprises utilisatrices des Clouds publics.

Bien que les prestataires de Clouds publics fournissent des contrôles de sécurité renforcés pour protéger l’infrastructure, ils n'ont aucune visibilité sur le trafic client « normal ». Ils proposent donc des fonctions basiques de filtrage des ports ou des listes de contrôle des accès pour permettre aux clients de segmenter leur environnement dans le Cloud et contrôler le trafic entrant et sortant.

Cela présente un énorme défi pour les architectes et les administrateurs de sécurité du Cloud qui sont tenus de fournir un niveau de protection pour les actifs dans le Cloud identique à celui disponible sur site. Désorientées par le concept de responsabilité partagée, de nombreuses entreprises choisissent d'utiliser les politiques de contrôle d'accès natives de leur prestataire de services dans le Cloud.

Bien que ces services permettent aux clients d'ouvrir des ports spécifiques pour les communications avec Internet (les ports 80 et 443 généralement), il n'existe aucun mécanisme permettant de bloquer le trafic indésirable, ou d’empêcher les menaces connues et inconnues de s’attaquer aux actifs des clients. Les pirates en sont parfaitement conscients et ont développé avec diligence des outils automatisés pour identifier et attaquer les actifs vulnérables dans le Cloud.

Dans sa récente étude Bad Bot Report, Distil Networks note que des analyses de vulnérabilités non autorisées ont été détectées dans 88 % de tous les sites web. Les cybercriminels mènent des attaques à l’aide d’outils automatisés exploitant des armées de bots pour cibler des sites peu méfiants. Ils analysent les plages d'adresses IP des prestataires de Cloud public afin de trouver de nouveaux serveurs et services à mesure qu’ils apparaissent en ligne. L'objectif de ces analyses n'est pas seulement d'identifier les hôtes connectés, mais de voir à quoi ils sont connectés afin d'obtenir une visibilité claire sur l'environnement réseau et ses cibles à forte valeur. Les analyses ressemblent à des activités légitimes des utilisateurs et sont effectuées sur des ports courants (notamment 80 et 443), de sorte que les techniques standard de blocage des ports ne peuvent empêcher ces analyses.

Pire encore selon le même rapport, le trafic des bots représentait environ 20 % du trafic sur tous les sites web en 2016. En plus des analyses et de la collecte de renseignements sur les environnements client, ces agents automatisés néfastes sont également très utiles à d’autres activités, notamment le « web scraping », l’exploration de données sur la concurrence, la collecte de données personnelles et financières, les tentatives de connexion par bruteforce et les attaques de type homme du milieu, la fraude publicitaire, le spam, la fraude transactionnelle et plus encore.

Les nouveaux services sont des cibles particulièrement intéressantes, car il existe un décalage entre le moment où ils sont déployés et l’installation de correctifs, laissant une belle marge de manœuvre pour les pirates motivés. Comme les nouveaux services web sont souvent déployés par des professionnels qui n’ont pas une expertise adéquate en sécurité (DevOps, architectes de Clouds, etc.), les meilleures pratiques, telles que l'utilisation de mots de passe renforcés, ne sont souvent pas implémentées, ce qui laisse ces sites vulnérables au vol et au détournement d'identifiants, avec une foule d'autres attaques.

Une stratégie de défense en profondeur pour le Cloud doit inclure la protection du réseau, de toutes les charges de traitement et des données, contre l’exploitation de vulnérabilités, les logiciels malveillants et autres attaques sophistiquées. La façon dont nous envisageons et déployons la sécurité doit également changer.

La sécurité doit se transformer d'une discipline statique et fortement manuelle en une activité flexible et dynamique, soutenant de manière transparente les nouvelles fonctionnalités et caractéristiques des environnements dans le Cloud. L'automatisation et l'orchestration sont désormais essentielles pour aligner la sécurité sur les besoins toujours changeants des entreprises d'aujourd'hui, et offrent la possibilité d'intégrer la sécurité dans le processus global de définition, de déploiement et d'expansion des services dans le Cloud.

La sécurité ne peut rester monolithique et rigide. Elle doit être modifiée et doit mieux s’aligner avec la transformation rapide qu’engagent les entreprises durant leur transition vers des réseaux dans le Cloud. Les entreprises devraient rechercher des solutions offrant des fonctions complètes de prévention des menaces, de gestion des accès et des identités, d’authentification forte, de conformité et de connectivité multi-Cloud, pour les aider à adopter le Cloud en toute confiance. 

 

Communiqué par CheckPoint


Publié le 11 septembre 2017