Sécurité de l'informatique dématérialisée hybride

L'une des plus grandes craintes liées à l'adoption de l'informatique dématérialisée est la sécurité des données et des informations de l'entreprise. La sécurité informatique a toujours été un problème pour toutes les organisations, mais l'idée de ne pas avoir un contrôle total sur les données de l'entreprise est effrayante. L'une des raisons pour lesquelles les organisations ne transfèrent pas tout dans le nuage et adoptent une approche de nuage hybride est la sécurité. Les architectures de sécurité des nuages hybrides présentent toujours des risques de sécurité liés à un nuage public ; cependant, les risques liés aux nuages hybrides sont plus élevés simplement parce qu'il y a plus de nuages à protéger. La limite de confiance est étendue au-delà de l'organisation pour l'accès à ses données critiques essentielles avec les architectures de nuage hybride.

Les données sensibles peuvent être tenues à l'écart de l'informatique dématérialisée afin de mieux gérer les risques. Il peut être utile de le faire aujourd'hui, mais les solutions de cloud hybride sont des intégrations entre clouds publics et privés. Cette intégration sans la sécurité appropriée pourrait encore rendre votre solution de nuage privé vulnérable aux attaques provenant du nuage public. Les nuages hybrides sécurisés présentent aujourd'hui des avantages considérables pour les entreprises. Ces avantages s'accompagnent d'aspects négatifs et de défis liés à la sécurisation des données de l'entreprise. Les aspects négatifs sont continuellement abordés pour aider à réaliser les avantages incroyables que les architectures de nuages hybrides peuvent fournir aux organisations aujourd'hui.

Qu'est-ce que la sécurité des nuages hybrides ?

Les infrastructures informatiques des organisations sont devenues de plus en plus complexes, en particulier avec la mise en œuvre de l'informatique dématérialisée hybride. Cette complexité, combinée aux avantages de l'informatique dématérialisée, qui présente les caractéristiques d'un large accès au réseau et de capacités d'accès à la demande partout, complique la sécurisation de l'informatique dématérialisée hybride. La sécurisation des données, des applications et de l'infrastructure en interne et en externe contre les tactiques malveillantes des pirates et les activités involontaires et non intentionnelles est compliquée.

De nombreux fournisseurs de services en nuage ont adopté des normes de conformité et de sécurité gouvernance , en particulier celles créées par le gouvernement américain, afin d'atténuer les menaces et les risques de sécurité auxquels une organisation peut être confrontée dans l'informatique en nuage. Le Federal Risk and Authorization Program (FedRAMP) fournit des normes et des accréditations pour les services en nuage. Le Security Requirement Guide (SRG) fournit des contrôles de sécurité et des exigences pour les services en nuage du ministère de la défense (DOD). Ces normes et d'autres aident les fournisseurs de services en nuage et les organisations à améliorer la sécurité de leurs services en nuage hybrides.

Pour sécuriser le nuage, une organisation doit prendre en compte les composants de l'architecture du nuage, à savoir les applications, les données, les logiciels intermédiaires, les systèmes d'exploitation, la virtualisation, les serveurs, le stockage et les composants de réseau. Les problèmes de sécurité sont spécifiques au type de service. Les organisations ont une responsabilité partagée avec le fournisseur de services en nuage en ce qui concerne la sécurité des nuages hybrides.

La responsabilité de la sécurité du nuage hybride devrait inclure des disciplines spécifiques. Voici quelques disciplines essentielles pour la gestion des risques et la sécurisation du cloud hybride :

• Les contrôles physiques visant à dissuader les intrus et à créer des barrières de protection pour les actifs informatiques sont tout aussi importants que la cybersécurité pour protéger les actifs.
  • Paramètres de sécurité, caméras, serrures, alarmes.
  • Les contrôles physiques peuvent être considérés comme la première ligne de défense pour protéger les actifs informatiques des organisations. Non seulement contre les menaces à la sécurité, mais aussi contre les dommages globaux causés par les défis environnementaux.
  • Biométrie (une ou plusieurs empreintes digitales, éventuellement des scans de la rétine) lorsque l'accès au système est lié à des données extrêmement sensibles.
• Contrôles techniques.
  • Les correctifs pour l'informatique en nuage corrigent les vulnérabilités des logiciels et des applications qui sont la cible de cyber-attaques. En plus de maintenir les systèmes à jour, cela permet de réduire les risques de sécurité dans les environnements de cloud hybride.
  • Sécurité multi-locataires Chaque locataire ou client est logiquement séparé dans un environnement en nuage. Cela signifie que chaque locataire a accès à l'environnement en nuage, mais que les frontières sont purement virtuelles et que les pirates peuvent trouver des moyens d'accéder aux données à travers les frontières virtuelles si les ressources sont mal attribuées et si les débordements de données d'un locataire peuvent empiéter sur ceux d'un autre. Les données doivent être correctement configurées et isolées pour éviter les interférences entre les locataires.
  • Le chiffrement est nécessaire pour les données au repos données au repos et les données en transit. Les données au repos sont stockées et les données en transit traversent le réseau et les couches du nuage (SaaS, PaaS, IaaS). Ces deux types de données doivent être protégés. Le plus souvent, les données au repos ne sont pas chiffrées parce qu'il s'agit d'une option qui n'est pas activée par défaut.
  • L'orchestration de l'automatisation est nécessaire pour éliminer les réponses manuelles lentes dans les environnements de cloud hybride. La surveillance, la vérification de la conformité, les réponses appropriées et les mises en œuvre doivent être automatisées afin d'éliminer les erreurs humaines. Ces réponses doivent également être examinées et améliorées en permanence.
  • Contrôles d'accès - Les accès des personnes et des technologies doivent toujours être évalués et contrôlés sur une base contextuelle, y compris la date, l'heure, le lieu, les points d'accès au réseau, etc. Définissez des schémas d'accès normaux et surveillez les schémas et comportements anormaux, qui pourraient signaler un éventuel problème de sécurité.
  • La sécurité des terminaux pour l'accès à distance doit être gérée et contrôlée. Les appareils peuvent être perdus, volés ou piratés, offrant ainsi un point d'accès à un nuage hybride et à l'ensemble de ses données et ressources. Les ports locaux des appareils qui permettent l'impression ou les clés USB doivent être verrouillés pour les travailleurs à distance ou surveillés et enregistrés lorsqu'ils sont utilisés.
• Contrôles administratifs pour tenir compte des facteurs humains dans la sécurité de l'informatique dématérialisée.
  • L'architecture de confiance zéro (ZTA), les principes et les politiques évaluent en permanence l'accès de confiance aux environnements en nuage afin de restreindre l'accès aux seuls privilèges minimaux. Autoriser un accès trop large à une personne ou à une solution technologique peut entraîner des problèmes de sécurité. Les ajustements des droits peuvent être effectués en temps réel. Par exemple, un utilisateur télécharge-t-il soudainement beaucoup plus de documents ? Ces documents sortent-ils de son champ d'action ou d'accès normal ? Bien sûr, cela nécessite une gouvernance données qui inclut le balisage et un accès basé sur les rôles qui associe les droits au balisage.
  • reprise après sinistre - L'analyse de l'impact sur l'entreprise (BIA) et l'évaluation des risques sont essentielles pour reprise après sinistre et décider de la mise en œuvre d'architectures de cloud hybrides. Il faut notamment se préoccuper de la redondance des données et de leur placement au sein d'une architecture cloud pour assurer la disponibilité des services et une remédiation rapide après une attaque.
  • Formation à l'ingénierie sociale et contrôles techniques pour le phishing, le baiting, etc. L'ingénierie sociale est un problème organisationnel et personnel pour tout le monde. Les pirates peuvent voler des données d'entreprise et des données personnelles pour accéder à n'importe quoi à des fins malveillantes.
  • Une culture de la sécurité est essentielle pour les organisations. Les activités des individus sont considérées comme l'un des risques les plus importants pour l'organisation. Les pirates informatiques cherchent à accéder à toute organisation par l'intermédiaire de ses employés, de ses partenaires et même des fournisseurs de logiciels et des prestataires de services tiers. Les employés, les sous-traitants et les partenaires doivent être formés en permanence afin d'éviter les problèmes de sécurité qui peuvent être évités grâce à l'apprentissage et à la connaissance.
• Chaîne d'approvisionnement controls.
  • Les logiciels, l'infrastructure et la plateforme de^tiers doivent être évalués pour détecter les vulnérabilités en matière de sécurité. Les logiciels d'un fournisseur^tiers, une fois installés, peuvent présenter des failles de sécurité ou avoir été piratés, ce qui permet aux criminels d'avoir un accès complet à l'environnement de cloud hybride d'une organisation. Veillez à vérifier comment tous les fournisseurs de logiciels^tiers abordent et pratiquent des contrôles de sécurité sûrs sur leurs produits.

La sécurité dans l'informatique dématérialisée est une responsabilité partagée qui devient de plus en plus complexe au fur et à mesure des déploiements. Les services partagés sont un moyen de fournir des fonctions telles que la sécurité, la surveillance, l'autorisation, les sauvegardes, les correctifs, les mises à niveau, et plus encore, d'une manière rentable et fiable à tous les nuages. Les services partagés réduisent la complexité de la gestion et sont essentiels pour obtenir une posture de sécurité cohérente dans l'ensemble de votre architecture de sécurité de cloud hybride.

Gestion de la configuration et sécurité de l'informatique dématérialisée hybride

Les risques liés à l'architecture de sécurité du cloud hybride sont plus élevés simplement parce qu'il y a plus de clouds à protéger. Pour cette raison, voici quelques éléments supplémentaires que vous devriez mettre sur votre liste de meilleures pratiques en matière de sécurité du cloud hybride, notamment la visibilité, les services partagés et la gestion de la configuration. Tout d'abord, vous ne pouvez pas sécuriser ce que vous ne pouvez pas voir. La sécurité du cloud hybride nécessite une visibilité sur l'ensemble du centre de données et des frontières des clouds privés et publics afin de réduire les risques liés au cloud hybride résultant d'angles morts.

La gestion de la configuration est un autre domaine sur lequel il faut se concentrer, car les erreurs de configuration sont l'un des moyens les plus courants pour les criminels numériques d'atterrir et de se développer dans vos environnements de nuage hybride. Le chiffrement n'est pas activé et l'accès n'a pas été restreint ; les groupes de sécurité ne sont pas configurés correctement, les ports ne sont pas verrouillés. La liste est longue. De plus en plus, les équipes de sécurité du cloud hybride doivent mieux comprendre l'infrastructure du cloud pour mieux la sécuriser et devront inclure l'audit de la configuration du cloud dans leurs processus de livraison.

L'un des outils de sécurité du nuage hybride qui peut être utilisé est un système de gestion de la configuration (CMS) utilisant la technologie de la base de données de gestion de la configuration (CMDB) comme fondement qui peut aider les organisations à obtenir une visibilité sur les configurations du nuage hybride et les relations de tous les composants du nuage. La première activité d'un CMS consiste à découvrir tous les actifs du nuage ou les éléments de configuration qui composent les services offerts. À ce stade, un instantané de l'environnement est réalisé avec les détails essentiels de l'architecture du nuage. Après avoir découvert leur architecture de nuage hybride, de nombreuses organisations recherchent immédiatement des problèmes de sécurité qui enfreignent la gouvernance la sécurité.

Une fois le CMS en place, d'autres outils de sécurité du nuage hybride, tels que la gestion des dérives et la surveillance des changements dans l'architecture du nuage, peuvent alerter sur les attaques du nuage. Une fois la dérive non autorisée détectée, d'autres outils d'automatisation permettant de corriger et d'alerter peuvent être mis en œuvre pour contre-attaquer l'attaque. Le CMS et la CMDB support opérations de sécurité dans le nuage et d'autres domaines de la gestion des services, tels que la gestion des incidents, des événements et des problèmes, afin de fournir une solution holistique pour la fourniture et le support services de l'organisation.

Conclusion

Problèmes de sécurité dans l'informatique hybride informatique dans le cloud ne sont pas très différentes des questions de sécurité dans l'informatique dans le cloud. Vous pouvez consulter les articles intitulés Security, gouvernance, and Privacy for the Modern Data Warehouse, Part 1 et Part 2, qui fournissent de nombreuses indications sur la manière de protéger vos données et vos services en nuage.

Les risques et les problèmes liés à la sécurité du nuage hybride seront l'un des défis informatiques organisationnels qui subsisteront pendant longtemps. Les organisations doivent rester informées et disposer des dernières technologies et orientations pour lutter contre les problèmes et les menaces liés à la sécurité du cloud hybride. Elles doivent notamment s'associer à des fournisseurs de solutions de cloud hybride tels qu'Actian. C'est essentiel pour la capacité de l'organisation à fonctionner avec des besoins de sécurité en nuage en constante évolution.

À propos d'Actian Corporation

Actian facilite l'accès aux données. Notre plateforme de données simplifie la façon dont les gens connectent, gèrent et analysent les données dans les environnements cloud, hybrides et sur site . Avec des décennies d'expérience dans la gestion des données et l'analyse, Actian fournit des solutions de de haute performance qui permettent aux entreprises de prendre des décisions basées sur les données. Actian est reconnu par les principaux analystes et a reçu des prix de l'industrie pour sa performance et son innovation. Nos équipes partagent des cas d'utilisation éprouvés lors de conférences (par exemple, Strata Data) et contribuent à des projets à code source ouvert. Sur le blog d'Actian, nous couvrons des sujets allant de l'ingestion de données en temps réel à l'analyse pilotée par l'IA. Faites connaissance avec l'équipe dirigeante https://www.actian.com/company/leadership-team/