Ebene Magazine – Rapport: Le problème de la sécurité dans le cloud – Security Boulevard

0
20
Ebene Magazine - Rapport: Le problème de la sécurité dans le cloud - Security Boulevard

Un nouveau rapport révèle que près d’un quart (23%) de toutes les violations de politique de sécurité impliquaient des offres de services gérés fournies par Amazon Web Services (AWS), Microsoft et Google. Les violations ont été découvertes au cours d’environ 9 000 scans effectués par Accurics.

Accurics, fournisseur d’un outil d’analyse des environnements d’infrastructure en tant que code (IaC), a également constaté qu’en moyenne, le délai moyen de résolution (MTTR) pour les violations des politiques de sécurité était de 24,9 jours, avec un MTTR pour les environnements de production et de pré-production. couvrant respectivement 21,8 et 31,2 jours.

Les organisations informatiques, cependant, réussissent mieux à identifier les dérives dans les environnements d’exécution à partir des politiques de sécurité après la configuration d’un service cloud. Le MTTR moyen pour les dérives est globalement de 7,7 jours, avec des environnements de production à 4,9 jours et des environnements de pré-production à 8,6 jours.

Jon Jarboe, développeur défenseur d’Accurics, a déclaré que la cause première des violations de la politique de sécurité provient principalement des développeurs utilisant des outils tels que Terrascan et Helm pour configurer les services cloud. Les analyses menées par Accurics sont basées sur une bibliothèque de plus de 1 800 politiques de conformité et de sécurité qu’Accurics a organisées et qui sont mal configurées, a ajouté Jarboe.

Compte tenu du nombre de problèmes découverts par l’analyse, il est évident que beaucoup de travail reste à faire en termes de formation des développeurs sur la manière de mettre en œuvre les meilleures pratiques DevSecOps. Par exemple, plus d’un tiers (35%) des dérives par rapport aux paramètres créés par les outils de gestion des accès (IAM) peuvent également être attribuées à des outils permettant aux développeurs de gérer l’infrastructure en tant que code.

Parmi les autres problèmes notables découverts par l’analyse, citons les secrets codés en dur qui représentent près de 10% des violations identifiées, dont 23% correspondent à des offres de services gérés mal configurées.

Le rapport révèle également que 35% des organisations utilisant Helm pour configurer des clusters Kubernetes sur des services cloud ne parviennent souvent pas à définir des contrôles d’accès basés sur les rôles (RBAC) à un niveau granulaire. Près de la moitié (48%) des problèmes liés aux graphiques Helm impliquaient des valeurs par défaut non sécurisées, telles qu’une utilisation incorrecte de l’espace de noms par défaut.

Enfin, le rapport note également que plus un service cloud est compliqué, plus il faut de temps pour résoudre les problèmes. Un service d’équilibrage de charge prend en moyenne 149 jours pour y remédier.

Jarboe a déclaré que si les fournisseurs de services cloud s’efforcent principalement de rendre leurs plates-formes aussi accessibles que possible, cette capacité se fait le plus souvent au détriment de la sécurité. Le rapport suggère que les équipes de cybersécurité doivent surveiller la façon dont les services cloud supplémentaires sont utilisés. Le rapport note que 51% des répondants utilisent ou évaluent des cadres informatiques sans serveur en production, et 14% prévoient de les utiliser dans les 12 mois.

En théorie, les développeurs assument davantage de responsabilités en matière de sécurité dans le cadre du changement global laissé par l’adoption des meilleures pratiques DevSecOps. Cependant, la plupart des développeurs n’ont toujours pas accès aux outils et à la formation nécessaires pour mettre en œuvre les meilleures pratiques DevSecOps de manière cohérente. En conséquence, les chaînes d’approvisionnement de logiciels impliquant des services cloud restent très vulnérables.

Les organisations souhaitent généralement augmenter la productivité globale des développeurs en leur permettant de configurer l’infrastructure en tant que code. Dans la pratique, ces outils permettent aux développeurs de créer des problèmes de sécurité potentiels à un rythme alarmant. Plus troublant encore, a noté Jarboe, le niveau de dérive des politiques de sécurité suggère que les problèmes de gestion du changement ne sont pas résolus de manière significative.

Les équipes de cybersécurité sont essentiellement devenues les pompiers proverbiaux qui, comme toujours, espèrent découvrir et résoudre les problèmes avant qu’il y ait une brèche. Malheureusement, étant donné le grand nombre de violations de la politique de sécurité qui se produisent régulièrement dans le cloud, les probabilités d’une faille majeure de sécurité dans le cloud diminuent à chaque déploiement d’une nouvelle application.

Mike Vizard est un journaliste informatique chevronné avec plus de 25 ans d’expérience. Il a également contribué à IT Business Edge, Channel Insider, Baseline et une variété d’autres titres informatiques. Auparavant, Vizard était directeur éditorial pour Ziff-Davis Enterprise ainsi que rédacteur en chef pour CRN et InfoWorld.

Titre associé :
Les erreurs de configuration de l’infrastructure cloud mettent 25 jours à corriger
Rapport: The Trouble With Cloud Security

Ref: https://securityboulevard.com

QU’EN PENSEZ-VOUS?

[comment]

Laisser un commentaire, votre avis compte!

[gs-fb-comments] [comment-form]

Laisser un commentaire, votre avis compte!