La sécurité dans le cloud public
Introduction
Ce chapitre est centré sur la thématique de la sécurité des charges de travail, aussi appelées "workloads", dans le cloud public qui est désormais une composante incontournable du paysage de l’IT. Après avoir brossé les grands enjeux, le propos sera axé sur la sécurité au sein d’Azure et les étapes de sécurisation du cloud public. Enfin, les nouveaux concepts seront abordés comme l’architecture SASE, les modèles CASB, CSPM et CWPP.
Les enjeux
Les SI d’entreprise suivent un schéma d’hybridation technologique avec des composantes hébergées dans le cloud public, c’est-à-dire dans une infrastructure technique mutualisée à l’échelle du monde entier. Cette infrastructure permet de délivrer différents types de services : du simple serveur virtuel au service applicatif de type FaaS (Function as a Service) qui permet la consommation de fonctions applicatives sans recours à des serveurs classiques.
Les workloads sont nombreux et quasi-illimités : tests applicatifs, expérimentations en intelligence artificielle, hébergement de logiciels métier, plateforme de développement, proof of concept de quelques mois, archivage d’imagerie médicale…
L’entreprise a ainsi devant elle une nouvelle énergie numérique rapide à provisionner et à décommissionner, un mode d’accès en self-service en totale autonomie dans la gestion des ressources (VM, firewall, stockage…) ou avec l’assistance technique par les équipes de prestataires spécialisés, une facturation à l’usage, une flexibilité et une élasticité des ressources informatiques.
Dans la mesure où tout ou partie du SI est déporté dans le cloud public, il est naturel d’en effectuer...
Les solutions
1. Azure
a. Azure et la sécurité
Azure fournit de nombreuses ressources documentaires afin de traiter efficacement la problématique de la sécurité informatique, tant d’un point de vue technique que d’un point de vue gouvernance. Parmi les documents intéressants, il convient d’explorer les cibles suivantes :
Rapport sur les demandes d’application de la loi
Il s’agit de trouver les rapports officiels sur le nombre de demandes légales de données clients reçues par Microsoft en provenance de diverses entités du monde entier.
Pour information, sur la période janvier-juin 2020, pour la France, il y a eu 2369 demandes dont 63,06 % concernant des "données non liées au contenu" et 20,68 % concernant des demandes rejetées.
Microsoft qualifie les données non liées au contenu de la façon suivante :
"Les données non liées au contenu incluent les informations de base sur l’abonné, telles que l’adresse e-mail, le nom, l’état, le pays, le code postal et l’adresse IP au moment de l’inscription. D’autres données non liées au contenu peuvent inclure l’historique de connexion IP, un gamertag Xbox et une carte de crédit ou d’autres informations de facturation. Nous avons besoin d’une demande légale valide, telle qu’une citation à comparaître ou une ordonnance du tribunal, avant d’envisager de divulguer des données non liées au contenu aux forces de l’ordre."
Test de pénétration
Microsoft n’effectue pas de tests d’intrusion pour le compte de ses clients et depuis juin 2017 il n’est plus nécessaire d’obtenir l’autorisation de Microsoft afin d’effectuer ce type de tests. Les clients ont cependant la nécessité de respecter le contenu du document "Règles d’engagement sur les tests d’intrusion", disponible à l’adresse suivante : https://www.microsoft.com/fr-fr/msrc/pentest-rules-of-engagement?rtc=1
Les tests autorisés...
Les étapes de sécurisation dans le cloud public
1. Sécurisation des liens télécoms par le SD-WAN
Historiquement, les réseaux d’interconnexion sont délivrés via les liens de type MPLS totalement dépendants des opérateurs. Le client n’a absolument pas la main pour interagir directement et en autonomie sur le routage des flux, sur la qualité de service (la QoS). L’objectif avec le SD-WAN (Software Defined WAN) est de se détacher de cette hégémonie et de reprendre son indépendance sur la sécurisation des flux de données, de ses propres flux de données. Cette indépendance apporte sans conteste un niveau de résilience élevé. En effet, une entreprise qui a par exemple 150 sites dispersés dans le monde va pouvoir mettre en œuvre le SD-WAN afin de redonder économiquement ses connexions. Il y a un changement de paradigme important : le client, s’il le souhaite et s’il dispose d’un minimum de compétences réseau, va pouvoir sécuriser son propre réseau.
Sécuriser les workloads dans le cloud public passe donc inévitablement par la sécurisation des liens télécoms locaux.
2. Sécurisation des locaux : méthodologie et bon sens
Après l’urbanisation du réseau et sa bascule en mode SDWAN, la sécurisation du cloud public commence par la sécurisation des locaux techniques on-premise dans les règles de l’art (système de refroidissement, redondance des baies de stockage, des équipements serveurs, redondance de l’alimentation électrique…). En effet, tout n’est pas dans le cloud public ! Rares sont les entreprises n’ayant pas de "legacy" avec des salles informatiques vieillissantes, sans compter les collaborateurs qui, eux, même avec l’essor du télétravail, sont bien présents localement dans les locaux de l’entreprise. Il convient donc de sécuriser les actifs du "on-premise". Il faut avoir une gestion très fine et performante des accès aux locaux. Et il en est de même pour les datacenters des fournisseurs de cloud public : les règles élémentaires de gestion...
La sécurité dans Microsoft 365 / Office 365
Les produits Microsoft 365 et Office 365 sont tellement déployés dans le monde entier et dans tout type d’organisations, y compris publiques, qu’il convient de présenter les mécanismes de sécurité sous-jacents.
1. Différences entre Microsoft 365 et Office 365
O365 Entreprise : Office 365 est la nouvelle version (le nouveau mode de commercialisation) de la célèbre suite collaborative Office. Il faut bien comprendre ici que Microsoft souhaite désormais proposer sa suite en mode SaaS avec néanmoins quelques variantes qui se traduisent dans des versions différentes ; ainsi, pour les grandes organisations supérieures à 300 personnes, il existe des versions E1, E3, E5, F3 :
E1 |
Entrée de gamme : applications web uniquement Office (Word, Excel, PowerPoint, OneNote, Access), Exchange Online (mails, calendrier et contacts), réunion d’équipes Teams, OneDrive 1 To, SharePoint. Nécessite une connexion constante à Internet. Aucune installation possible sur des appareils mobiles. Attention : impossibilité d’enregistrer des données sur un drive local, uniquement dans OneDrive ou SharePoint. |
E3 |
Version E1 avec possibilité d’installer les logiciels en local et sur un maximum de 5 ordinateurs, 5 tablettes et 5 smartphones. Protection des données renforcée (chiffrement des messages, gestion des droits, data loss prevention, archivage de mails).... |