Risques liés à la sécurité des Cloud Providers dans un environnement Cloud hybride - nuls

De nombreux problèmes de sécurité surviennent lorsque vous travaillez avec un fournisseur de cloud externe dans un environnement de cloud hybride. Que vous souhaitiez créer un cloud privé, utiliser un cloud public ou implémenter un environnement hybride, vous devez disposer d'une stratégie de sécurité.

Un environnement de cloud hybride change les choses car, bien qu'il incombe en dernier ressort à votre entreprise de protéger et de sécuriser vos applications et vos informations, de nombreux défis se présentent lorsque vous travaillez avec un fournisseur externe. Voici quelques-uns de ces défis:

• Multi-tenancy: Dans une architecture multi-tenant, une application logicielle partitionne ses données et sa configuration de sorte que chaque client dispose d'une instance d'application virtuelle personnalisée. Vos applications et données se trouvent sur les mêmes serveurs que les autres sociétés utilisant le même fournisseur de services, et ces utilisateurs accèdent simultanément à leurs ressources. Ainsi, si les données ou l'application d'une entreprise sont violées ou échouent pour un certain nombre de raisons, votre application peut être affectée.

• Attaques qui vous affectent, même si vous n'êtes pas la cible: Si votre entreprise utilise un nuage public, vous pouvez être le dommage collatéral d'une attaque. Considérez une attaque de virus, par exemple. Parce que vous partagez un environnement avec d'autres, même si vous n'êtes pas une cible, vos ressources peuvent être affectées.

• Réponse à l'incident: Dans un environnement de cloud, il se peut que vous ne contrôliez pas la rapidité de traitement des incidents. Par exemple, certains fournisseurs de cloud peuvent ne pas vous informer d'un incident de sécurité tant qu'ils n'ont pas confirmé qu'un incident réel s'est produit. En conséquence, vous ne saurez pas que quelque chose s'est passé jusqu'à ce que cela affecte votre entreprise. De plus, si vous avez connaissance d'un incident, vous n'avez peut-être pas accès à des serveurs pour effectuer une analyse de ce qui s'est passé.

• Visibilité: Dans de nombreux environnements cloud, il se peut que vous ne puissiez pas voir ce que fait votre fournisseur. En d'autres termes, vous n'avez peut-être aucun contrôle sur la visibilité de vos ressources dans le cloud. Cette situation est particulièrement gênante si vous devez vous assurer que votre fournisseur respecte les règles de conformité.

• Employés non contrôlés: Bien que votre entreprise puisse passer en revue les antécédents de tous vos employés, vous êtes maintenant confiant qu'aucun initié malveillant ne travaille chez votre fournisseur de cloud. Cette préoccupation est réelle car près de 50% des violations de sécurité sont causées par des initiés ou par des personnes qui reçoivent de l'aide d'initiés.Si votre entreprise utilise un service cloud, vous devez disposer d'un plan pour gérer les menaces internes et externes.

• Problèmes de données: Si vous mettez vos données dans le cloud, vous devez vous soucier d'un certain nombre de problèmes, notamment:

  • Veillez à ce qu'aucune personne non autorisée ne puisse accéder à ces données.

  • Comprendre comment ces données seront séparées des données d'autres sociétés dans un environnement multi-locataires.

  • Comprendre comment vos données seront détruites si vous résiliez votre contrat.

  • Comprendre où vos données seront physiquement localisées.

  • Comprendre comment vos données sont traitées lorsqu'elles passent de votre emplacement aux serveurs de votre fournisseur.

• Plusieurs fournisseurs de cloud: Certains fournisseurs de cloud stockent peut-être vos données sur la plate-forme d'un fournisseur de cloud différent. Par exemple, le fournisseur de cloud A peut avoir besoin de capacités supplémentaires et déplacer votre compte vers un environnement cloud distinct pris en charge par le fournisseur de cloud B.

  Il est donc important de comprendre où se trouvent réellement vos données dans le cloud. Une fois que vous avez obtenu cette information, vous devez vous assurer que toutes les parties se conforment à vos exigences de sécurité. Dans l'exemple précédent, par exemple, vous devez vous assurer que les fournisseurs A et B effectuent un travail minutieux de contrôle des employés.

Différentes applications et ressources peuvent nécessiter différents niveaux de sécurité. Si vous ne fournissez pas de données sensibles au temps dans le cloud, par exemple, vous ne serez peut-être pas aussi concerné par le temps de réponse aux incidents que quelqu'un qui le fait.

Vous devez vous demander combien vous avez investi dans ce que vous mettez dans votre environnement cloud. Si vous êtes très préoccupé par ce qui se passe en cas d'interruption de service ou de gestion de vos ressources, vous devez faire preuve de diligence raisonnable. Ce qui se passe dans le cloud peut affecter vos ressources cloud ainsi que celles de votre entreprise. Il vaut mieux être préparé.

Même lorsque les opérateurs de cloud disposent d'une bonne sécurité physique, réseau, système d'exploitation et application, votre entreprise est responsable de la protection et de la sécurisation de ses applications et de ses informations.