Comment les administrateurs système peuvent mieux sécuriser les environnements cloud
La configuration d'un environnement cloud présente des défis de sécurité à ne pas négliger. Dans un rapport, l'entreprise de cybersécurité Scip liste les erreurs de configuration fréquentes et indique comment les éviter.
Le cloud a bien des avantages mais peut aussi présenter des failles. Du moins lorsque les administrateurs n'ont pas suffisamment pris la sécurité en considération lors de la configuration de leur environnement. Dans un rapport publié en ligne, la firme de cybersécurité suisses Scip donne un aperçu des différentes erreurs de configuration qu’il est possible de commettre en la matière. Le prestataire fait notamment référence au cloud de Microsoft. Mais la plupart des points cités sont également valables pour les environnements cloud d'autres fournisseurs.
Trop d'exceptions, pas assez de restrictions
Certains des points mentionnés ont trait aux autorisations accordées. Scip écrit par exemple que dans 80% de ses audits, au moins un compte d'utilisateur régulier est attribué au rôle d'administrateur global. Souvent, il y a tout simplement trop d'administrateurs. Une pratique qui peut s'expliquer par le fait que «différentes équipes informatiques administrent le cloud Microsoft avec des projets indépendants et des calendriers serrés», indique la société zurichoise.
Les exceptions définies, par exemple pour un Global Administrator dans les règles d'accès, sont également une erreur souvent détectée. «Malheureusement, la justification est trop souvent un contournement des contrôles de sécurité ou un raccourci pour gagner du temps», commentent les auteurs du rapport. Qui conseillent de ne jamais définir d'exceptions pour les rôles privilégiés, sauf pour les comptes d'urgence (également appelés «Breakglass-Accounts»), avec lesquels on devrait encore pouvoir accéder à l'environnement en cas de panne par exemple.
En outre, les actions des utilisateurs privilégiés sont souvent insuffisamment limitées. Scip cite l'exemple d’utilisateurs ayant des rôles privilégiés et qui peuvent se connecter à partir de n'importe quel appareil. L'entreprise conseille de définir, au moyen d'un accès conditionnel, sur quel appareil un utilisateur ayant un certain rôle peut se connecter.
Six conseils
Les erreurs de configuration peuvent aussi être dues à un manque de connaissances, note Scip. Et de rappeler l’importance de comprendre que le fournisseur cloud met certes à disposition les outils et la plateforme pour un cloud sécurisé, mais la configuration, la surveillance et la sécurité incombent finalement au client. Le prestataire zurichois résume résume ses conseils en six points:
Eviter d’attribuer des privilèges plus élevés à des comptes d’utilisateurs réguliers
Mettre en place des processus de gestion des identités et des accès cloud
Eviter de créer un trop grand nombre d'administrateurs
Eviter les exceptions pour les rôles privilégiés
Etablir des politiques strictes de gestion des tenants
Adopter un mode de pensée défenseur/attaquant
