Flux RSSDossier Gartner (2e partie)
Evaluer et surveiller la sécurité des clouds public et privé
Les impératifs et capacités en matière d'évaluation et de surveillance de la sécurité varient selon que l'environnement de cloud computing est privé ou public, et selon que les services consommés relèvent de la couche de l'infrastructure ou de la couche des applications. L'entité en charge de la sécurité doit s'assurer que les impératifs d'évaluation et de surveillance sont définis et que l'environnement de cloud computing peut fournir les capacités requises pour satisfaire ces impératifs. Après avoir examiné le cloud privé, cet article analyse la sécurité du cloud public.
Cloud computing public : services au niveau de l'infrastructure
Les offres de plate-forme en tant que service (par exemple, Amazon EC2 ou Microsoft Azure) prennent en charge le dimensionnement et l'activation rapides des environnements de serveur, stockage et base de données pour divers systèmes d'exploitation, systèmes de stockage et systèmes de gestion de bases de données (SGBD).
Évaluation de la sécurité
Les clients ont accès à leurs images au niveau du système (niveau racine), de sorte qu'ils ont la possibilité d'évaluer en local le statut des correctifs logiciels et l'état des configurations et des vulnérabilités, ainsi que de corriger tout problème découvert. Les clients devront comprendre l'environnement réseau et les restrictions associées du prestataire de services afin d'évaluer les limitations potentielles des évaluations basées sur le réseau concernant l'état des configurations, des vulnérabilités et des correctifs logiciels. Il peut être nécessaire de mettre en place une évaluation basée sur des agents afin de préserver ou respecter les contrôles de sécurité du réseau au sein de l'environnement du prestataire de services.
Surveillance
Il existe essentiellement deux groupes d'utilisateurs avec privilèges, à savoir le client et le prestataire de services. Les utilisateurs avec privilèges du prestataire de services gèrent et configurent l'environnement de virtualisation. Les clients doivent comprendre si l'accès à leurs instances par les utilisateurs avec privilèges du prestataire de services est possible. Pour leur part, les utilisateurs avec privilèges du client seront probablement capables de modifier l'image système de base fournie par le prestataire de services et peuvent être capables d'élaborer une image système en partant de rien.
Ce qu'il faut faire
Vous pouvez surveiller l'activité de vos utilisateurs avec privilèges via les fonctions de journal système et d'audit présentes dans la pile système. De nouveaux impératifs peuvent s'imposer concernant la transmission fiable et sécurisée des données de surveillance des utilisateurs avec privilèges vers votre infrastructure SIEM interne via les connexions du réseau public, dans le cas où il est nécessaire d'unifier la surveillance et la génération de rapports entre les systèmes internes et du cloud computing.
Vous n'aurez fort probablement pas accès aux données d'audit concernant les utilisateurs avec privilèges du prestataire de services, et devrez vous en remettre aux attestations de ce dernier ou aux audits périodiques effectués par des tiers en tant que validation des contrôles relatifs aux utilisateurs avec privilèges du prestataire de services. Les questions de l'activation et du dimensionnement dynamiques abordées dans la section relative au cloud computing privé s'appliquent également ici, à l'exception que vous n'aurez sans doute pas directement accès à la couche de gestion des machines virtuelles du prestataire de services pour configurer la notification automatisée du dimensionnement et de l'activation du système. Vous devez évaluer les options de notification qui sont fournies par le service de cloud computing et le potentiel d'intégration pour piloter vos fonctions d'évaluation et de surveillance.
Cloud computing public : services au niveau des applications
Les offres d'application en tant que service fournissent des fonctions d'application au sein d'une infrastructure partagée. Dans la plupart des cas, l'infrastructure sous-jacente est une "boîte noire" (autrement dit, le client n'a aucune visibilité sur l'état des vulnérabilités et des configurations de l'infrastructure informatique sous-jacente, ni d'accès en utilisateur avec privilèges).
Ce qu'il faut faire (évaluation des vulnérabilités et des configurations, surveillance des utilisateurs avec privilèges de la couche d'infrastructure)
Le prestataire de services ne sera généralement pas enclin à fournir les rapports de surveillance des utilisateurs avec privilèges ou les résultats d'une évaluation des vulnérabilités et des configurations, dans la mesure où l'environnement est partagé et où ces informations peuvent être utilisées comme feuille de route pour compromettre l'environnement. À la place, vous devrez vous en remettre aux attestations du prestataire de services ou aux résultats récapitulatifs des audits périodiques effectués par des tiers en tant que validation des contrôles de l'infrastructure informatique du prestataire de services.
Couche des applications (surveillance des activités)
Une vue consolidée des activités des utilisateurs ou de l'accès aux données à travers un ensemble d'applications peut être nécessaire à des fins d'analyse des incidents de sécurité, de détection des fraudes ou de conformité aux réglementations. La surveillance des activités des applications est importante, car les points faibles des applications sont fréquemment exploités dans des attaques ciblées et parce que l'activité anormale d'une application peut être le seul signe d'une intrusion réussie ou d'une activité frauduleuse.
De nombreuses entreprises ont mis en place la SIEM au sein de leurs infrastructures informatiques, et certaines d'entre elles commencent à collecter et analyser les données d'activités des utilisateurs à partir de la couche d'applications. À mesure que les entreprises transfèrent progressivement des applications vers le cloud computing, elles perdent le contrôle sur la génération et la collecte d'informations sur l'accès aux données et des utilisateurs depuis ces applications. Cette situation risque de générer des "zones d'invisibilité" permanentes sur l'accès aux données et les activités des utilisateurs.
Ce qu'il faut faire
Les impératifs de surveillance de la couche d'applications et les capacités du prestataire de services doivent être inclus dans les décisions de sourcing (approvisionnement) du cloud computing. S'il existe un impératif de surveillance, il convient de demander au prestataire de services de générer un flux d'audit pour les utilisateurs de cette entité, afin que les clients puissent l'intégrer à leurs déploiements SIEM existants de sorte à obtenir une vue unifiée. Il peut également être possible (avec la coopération du prestataire de services) de restreindre l'accès aux applications pour vos utilisateurs via un chemin réseau incluant un point de surveillance externe. Comme avec n'importe quel cas d'utilisation de la surveillance de la couche d'applications (quel que soit le sourcing), l'interface d'intégration externe des technologies de SIEM devra être personnalisée pour prendre en compte le format particulier généré par l'application.
Imprimer l'article
Transférer par mail
Réagir à cet article
|
|
|
Les 10 derniers articles mis en ligne
- Séminaire autour de la dernière version de Red Hat Enterprise Virtualization 3.0
- Agir sur l'E-réputation de l'entreprise
- L’avenir d’Hadopi sera décidé d'ici six mois
- ViewSonic Pro8300 : un DLP Full HD taillé pour le multimédia
- Sogeti High Tech ouvre le jeu concours gratuit « L'artiste d'High Tech Labs » à tous ses collaborateurs
- HP ajoute plusieurs cordes à ses solutions d'impression mobile
- MGDIS présente une nouvelle version de ses logiciels SOFI
- Les solutions de numérisation de PFU Fujitsu proposent une gamme complète d'applications Cloud
- Filippo Pratico est nommé VP Europe du Sud de Lenovo
- Premier événement européen sur le Cloud en visio-conférence dans 12 pays simultanément
le 21/05/2012 à 03:00