Pourquoi les autorisations basées sur les rôles sont-elles si dangereuses pour votre environnement Cloud ?
This post is also available in: Anglais Allemand Italien Portugais - du Brésil Espagnol Russe
L’un des principaux défis auxquels sont confrontées les entreprises qui utilisent le Cloud est le contrôle des autorisations excessives. L’utilisation du Cloud implique agilité et flexibilité. Le problème, toutefois, est que ces avantages ont souvent un revers sur le plan de la sécurité : une prolifération d’autorisations inutiles et excessives dans le Cloud.
Ce webinaire aborde la question des autorisations excessives dans le Cloud et comment les contrôler.
La migration vers le Cloud modifie votre périmètre de menaces
Le problème fondamental auquel sont confrontées les entreprises est le passage au Cloud qui modifie leur périmètre de menaces.
Autrefois, quand les centres de données physiques étaient sur site, les ressources réseau et les administrateurs se trouvaient au même endroit ou dans le même réseau. Dans ces environnements, ils étaient protégés contre les menaces physiques, et la protection était axée sur les défenses périmétriques (pare-feu, passerelle Web sécurisée, WAF, etc.) contre les menaces extérieures. Les administrateurs avaient un contrôle total sur leurs ressources et, dans le pire des cas, s’ils détectaient un problème, ils pouvaient se rendre sur les lieux de l’incident, déconnecter le serveur et isoler ainsi le problème.
Dans un Cloud public, les choses sont très différentes. Les charges de travail sont traitées à distance. Tous les accès se font via une connexion à distance, en utilisant les mécanismes et les API fournis par le fournisseur d’hébergement de Cloud public. Les administrateurs n’ont plus de contrôle physique sur leurs ressources, et tous les accès à celles-ci se font à distance. En revanche, les pirates, les acteurs malveillants et d’autres tiers non autorisés peuvent accéder à ces mêmes ressources en utilisant les mêmes protocoles, API et méthodes d’accès standardisés.
Par conséquent, la sécurité de votre charge de travail dépend directement des personnes qui y ont accès et de la nature de cet accès. Concrètement, cela signifie que vos autorisations = votre surface de menace.
La recherche de vitesse engendre des autorisations excessives
L’utilisation du Cloud implique agilité et flexibilité. La rapidité et le caractère pratique du Cloud permettent d’utiliser de nouvelles ressources, d’étendre les capacités de manière dynamique, de déployer de nouveaux codes et d’accélérer la mise sur le marché.
Plusieurs raisons expliquent pourquoi les autorisations excessives posent un tel problème dans le Cloud :
- Les exigences métier conditionnent l’activité dans le Cloud. La transformation numérique vise à accélérer la mise sur le marché, et le Cloud public permet d’y parvenir. Le Cloud, synonyme d’agilité et de flexibilité, est la clé de voûte de la transformation numérique. Le problème est que par souci d’efficacité, les responsables informatiques se concentrent souvent sur la rapidité et ne sécurisent pas correctement leurs environnements Cloud, laissant les charges de travail et les données des clients exposées à des violations.
- Souvent, les utilisateurs ne savent pas de quelles autorisations ils ont besoin. Ils savent ce qu’ils veulent faire, mais ne connaissent pas forcément toutes les petites étapes qui les mèneront à leur but. Pour cette raison, ils demandent beaucoup plus d’autorisations que ce dont ils ont besoin. Cela crée une situation dangereuse : les entreprises accordent des privilèges bien supérieurs à ce qui serait nécessaire, ce qui peut exposer les applications, les configurations des environnements et leurs défenses de sécurité.
- Les administrateurs Cloud ne veulent pas entraver les activités des entreprises. Ce penchant humain conduit à ce que des administrateurs accordent des autorisations à la va-vite.
- Accorder des autorisations dans le Cloud est facile. Ce problème est crucial car il explique pourquoi les autorisations peuvent être accordées si facilement dans le Cloud. Les opérations dans le Cloud sont souvent automatisées ou basées sur des scripts, qui privilégient la vitesse et la facilité d’utilisation. En conséquence, il est très facile d’accorder des autorisations, et les administrateurs ont tendance à le faire sans trop y réfléchir.
Si les motifs exacts peuvent varier d’une entreprise à l’autre, ils conduisent tous au même résultat. De nombreuses autorisations sont accordées sans nécessité. Lorsque tant d’autorisations sont accordées, une partie d’entre elles peuvent être utilisées à mauvais escient, ce qui entraîne des violations à grande échelle. Parmi les principales causes d’exposition des données figure l’octroi de privilèges inutiles et non vérifiés, qui peuvent entraîner d’importantes failles de sécurité.
Le rôle des rôles dans les autorisations excessives
Les autorisations basées sur les rôles constituent un problème particulier. À la différence des autorisations classiques basées sur les utilisateurs et les groupes, généralement associées à des utilisateurs physiques (ou à des groupes d’utilisateurs), les autorisations basées sur les rôles sont plus souples et peuvent être attribuées de manière dynamique à un utilisateur, à des applications ou à des services. Selon les recherches menées par Radware, environ 80 % des autorisations excessives observées dans les environnements Cloud sont des autorisations basées sur les rôles.
À la différence des autorisations basées sur les utilisateurs, qui sont généralement associées à une seule personne, les autorisations basées sur les rôles sont destinées à être attribuées de manière ad hoc à toute personne (ou entité) qui en a besoin pour une session spécifique. Les autorisations basées sur les rôles des comptes Cloud permettent de déléguer les accès des utilisateurs et des services aux ressources Cloud auxquelles ils n’ont normalement pas accès.
Si elles offrent une grande souplesse, ces autorisations très flexibles posent également un problème de sécurité, car elles peuvent être utilisées par un large éventail de personnes et de services. La fluidité de ces rôles et la variété des cas d’utilisation pour lesquels elles sont utilisées conduisent fréquemment à une prolifération d’accès non nécessaires.
[Sur le même thème :Grâce à Radware, une entreprise verrouille son Cloud public]
Maîtriser les autorisations excessives
Radware a récemment organisé un webinaire en partenariat avec AWS pour expliquer le fonctionnement de la gestion des identités et des accès (IAM) dans le Cloud et sa protection contre les utilisations abusives accidentelles et malveillantes. Ce webinaire comprend un témoignage de Perion Network, l’un des clients de longue date de Radware, qui explique comment Radware les a aidés à fortifier leurs accès au Cloud et à renforcer leur posture de sécurité dans le Cloud.
Pour visionner le webinaire Radware/AWS, cliquez ici.