Les risques de sécurité spécifiques à l'environnement de cloud hybride

Les entreprises travaillant dans des environnements cloud hybrides doivent tenir compte de nombreux types de risques de sécurité et des considérations de gouvernance. Comprendre la sécurité est une cible mouvante. L'éducation est la clé pour assurer que tout le monde dans l'organisation comprend ses rôles et responsabilités de sécurité.

Sommaire

Les risques de sécurité des systèmes informatiques

Selon le National Institute of Standards and Technology (NIST), un organisme de normalisation du gouvernement, les systèmes informatiques sont soumis à de nombreuses menaces, allant de la perte de données à la perte d'un centre de calcul entier car d'incendie ou de catastrophe naturelle. Ces pertes peuvent provenir d'employés de confiance ou des pirates informatiques.

NIST divise ces risques dans les catégories suivantes:

  • Erreurs et omissions, y compris les erreurs de données ou des erreurs de programmation

  • Fraude et de vol

  • Sabotage des employés

  • Perte de soutien de l'infrastructure physique




  • Les pirates malveillants

  • Le code malveillant

  • Les menaces à la vie privée individuelle

Les risques de sécurité cloud hybrides

Bon nombre des mêmes risques de sécurité que les entreprises rencontrent lorsqu'ils traitent avec leurs propres systèmes informatiques se trouvent dans le nuage, mais il ya des rebondissements importants. La Cloud Security Alliance (CSA), un organisme voué à assurer les meilleures pratiques de sécurité dans le nuage, a noté dans sa récente publication, “ de conseils de sécurité pour les zones critiques de la Focus à Cloud Computing, ” que les zones de risque important de la sécurité opérationnelle dans le nuage sont les suivants:

  • Sécurité traditionnelle: Un environnement de cloud hybride change sécurité traditionnelle parce que vous n'êtes plus totalement en contrôle. Certains des actifs informatiques que vous utilisez ne sont pas dans vos locaux. Maintenant, vous devez vous assurer que de fortes mesures de sécurité traditionnelles sont suivies par votre fournisseur de cloud.

  • Sécurité physique couvre la sécurité de l'équipement informatique, les actifs du réseau et de l'infrastructure des télécommunications. CSA recommande à la fois “ active et passive ” défenses de sécurité physique.

  • La sécurité des ressources humaines traite de l'aspect humain de l'équation - assurant la vérification des antécédents, la confidentialité et la séparation des tâches (qui est, ceux qui développent des applications ne fonctionnent pas entre eux).

  • Continuité de l'activité plans doivent faire partie d'un accord de niveau de service pour assurer que le fournisseur répond à son accord de niveau de service pour un fonctionnement continu avec vous.

  • La reprise après sinistre plans doivent veiller à ce que vos actifs (par exemple, les données et applications) sont protégés.

  • Traitement des incidents: Un environnement de cloud hybride change traitement des incidents dans au moins deux façons. Premièrement, alors que vous pouvez avoir contrôle sur votre propre centre de données, si un incident se produit, vous aurez besoin de travailler avec votre fournisseur de services parce que les contrôles des fournisseurs de services au moins une partie de l'infrastructure.

    Deuxièmement, la nature multi-locataire du nuage rend souvent enquêter sur un incident plus compliqué. Par exemple, parce que l'information peut être confondu, l'analyse du journal peut être difficile, car votre fournisseur de service tente de maintenir la confidentialité. Vous devez savoir comment votre fournisseur de service définit un incident et assurez-vous que vous pouvez négocier la façon dont vous allez travailler avec le fournisseur pour assurer que tout le monde est satisfait.

  • Sécurité des applications: Quand une application est dans le nuage, il est exposé à toute sorte de menace pour la sécurité. Le CSA divise la sécurité des applications dans différents domaines, y compris la sécurisation du cycle de vie de développement de logiciel dans l'authentification cloud, l'autorisation et la gestion des identités Compliance-, gestion de la demande d'autorisation, la surveillance de l'application, tests de pénétration de l'application, et de gestion des risques.

  • Le cryptage et la gestion des clés: Le cryptage des données se réfère à un ensemble d'algorithmes qui peuvent transformer du texte dans un formulaire appelé cryptogramme, qui est une forme cryptée de texte brut que des tiers non autorisés ne peuvent pas lire. Le destinataire d'un message chiffré utilise une clé qui déclenche l'algorithme pour décrypter les données et les fournir dans son état d'origine à l'utilisateur autorisé. Par conséquent, vous pouvez crypter les données et de faire en sorte que seul le destinataire peut le décrypter.

    Dans le cloud public, certaines organisations peuvent être tentées de crypter toutes leurs informations parce qu'ils sont préoccupés par son mouvement vers le cloud et comment il est sûr une fois qu'il est dans le nuage. Récemment, des experts dans le domaine ont commencé à envisager d'autres mesures de sécurité en dehors de chiffrement qui peuvent être utilisés dans le nuage.

  • Identité et gestion des accès: La gestion des identités est un très vaste sujet qui applique à de nombreuses régions du centre de données. L'objectif de la gestion d'identité est de contrôler l'accès aux ressources informatiques, des applications, des données et des services.

    Gestion de l'identité change de manière significative dans le nuage. Dans un centre de données traditionnel, vous pouvez utiliser un service d'annuaire pour l'authentification et puis déployer l'application dans une zone de sécurité du pare-feu. Le nuage nécessite souvent de multiples formes d'identité pour garantir que l'accès aux ressources est sécurisé.

  • Avec l'utilisation croissante du cloud computing, la technologie sans fil et les appareils mobiles, vous ne disposez plus des limites bien définies en ce qui concerne ce qui est interne et ce qui est externe à vos systèmes. Vous devez évaluer si des trous ou des vulnérabilités existent à travers les serveurs, réseau, composants de l'infrastructure, et les critères d'évaluation, puis surveiller en permanence eux. En d'autres termes, vous devez être en mesure de faire confiance à votre propre infrastructure ainsi que l'infrastructure d'un fournisseur de cloud.


    » » » » Les risques de sécurité spécifiques à l'environnement de cloud hybride