Comment effectuer une évaluation de la sécurité du cloud
Getty Images/iStockphoto
Le cloud présente aux organisations un défi de sécurité. En effectuant une évaluation de la sécurité du cloud, les organisations peuvent découvrir les vulnérabilités avant les adversaires.
Une évaluation de la sécurité du cloud (CSA) évalue l'infrastructure cloud pour détecter les vulnérabilités, les faiblesses de configuration et les menaces potentielles. Il analyse la configuration des comptes ou des abonnements des fournisseurs de services cloud et examine les menaces possibles provenant d'Internet et au sein de l'infrastructure cloud elle-même. L'organisation obtient une analyse des lacunes potentielles dans la conception et la mise en œuvre des contrôles, ainsi que de la surface potentiellement attaquable et de ses risques.
Les organisations doivent mener régulièrement des CSA pour rester à jour face à l’évolution des menaces.
Une évaluation de la sécurité du cloud évalue l'infrastructure cloud d'une organisation pour les éléments suivants :
Pour commencer, demandez à l'équipe de sécurité de l'organisation d'inventorier tous les comptes cloud et abonnements utilisés. Les grandes organisations disposant de nombreux comptes peuvent en sélectionner plusieurs pour que le CSA reste gérable. Choisissez des comptes ou des abonnements avec des données sensibles ou un niveau d'exposition élevé.
Une fois l’inventaire des comptes et des abonnements cloud terminé, l’équipe de sécurité doit évaluer les services et les actifs. Commencez par examiner les stratégies IAM pour le compte cloud ainsi que les privilèges et autorisations autorisés dans ces stratégies. À partir de là, examinez les services de garde-fous de sécurité, comme Amazon GuardDuty ou Microsoft Defender, y compris leur configuration et leur état d'exécution. Analysez les images utilisées pour déployer des conteneurs et des charges de travail de VM à la recherche de vulnérabilités, en particulier si elles sont exposées à Internet. Examinez les services et les objets par rapport aux normes et cadres de cybersécurité, tels que les directives du NIST, de la Cloud Security Alliance ou du Center for Internet Security.
Si des normes de configuration internes sont en place, considérez-les comme faisant partie du CSA. Assurez-vous que les charges de travail en cours d’exécution et le stockage exposé à Internet sont documentés. Évaluez les pare-feu, la segmentation du réseau et les pare-feu d’applications Web pour déceler d’éventuelles erreurs de configuration.
À partir de là, analysez les comptes cloud pour tous les modèles d'infrastructure en tant que code (IaC) en cours de déploiement. Ces modèles contiennent souvent des éléments de configuration critiques et des services utilisés. Les outils de gestion de la posture de sécurité du cloud capables d'analyser les modèles IaC peuvent améliorer l'efficacité de ce processus.
Une fois les actifs, l’exposition et l’état de configuration documentés, les organisations doivent effectuer des exercices de modélisation des menaces pour évaluer les limites de confiance existantes et les attaques potentielles contre les actifs et services cloud. Les examens de modélisation des menaces doivent tester les attaques et menaces possibles contre l'environnement cloud, la facilité des attaques en fonction de l'exposition et de la susceptibilité, ainsi que l'état des contrôles préventifs et de détection en place. Les organisations disposant de déploiements multi-cloud doivent s'attendre à mener des sessions de modélisation des menaces distinctes pour chaque service cloud respectif.
En option, les organisations peuvent effectuer des tests d'intrusion et des analyses en direct sur les comptes cloud et les abonnements pour des tests et des examens supplémentaires.
Sur la base de l'analyse, l'équipe de sécurité doit créer un rapport de haut niveau. Décrivez tous les audits, documentez les risques et les éventuelles lacunes dans les contrôles, et fournissez des recommandations correctives pour les vulnérabilités et les faiblesses.