Cet article détaille les principes de sécurité des fournisseurs de cloud, et comment leur approche API permet une approche systématique de la sécurité.
1. Introduction : la philosophie du cloud et de ses utilisateurs
D’après la légende, le cloud est né d’une volonté de Jeff Bezos de faire collaborer les différentes fonctions d’Amazon via des API dès 2002. Après plusieurs années d'évolution, ce système a accouché d’AWS, qui a été suivi notamment par Google avec GCP, Microsoft avec Azure et de nombreux autres.
Les services cloud (Cloud Service Providers ou CSP dans le reste de l’article) ont en général été conçus avec des exigences de sécurité répondant aux usages les plus avancés (le gouvernement américain ou de nombreuses banques sont des utilisateurs notoires des CSP). Les mécanismes d’identité, d’authentification et d’autorisation sont poussés et flexibles pour répondre à ces exigences.
Nous verrons quels principes de sécurité ont émergé d’un modèle où la frontière entre hébergeur et hébergé est moins nette que dans le monde physique. D’autre part, nous verrons...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
[openstack] https://www.openstack.org/
[need-more-than-one] https://blog.coinbase.com/you-need-more-than-one-aws-account-aws-bastions-and-assume-role-23946c6dfde3
[secrets temporaires] https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html
[AWS Cloud Trail] https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-examples.html
[CIS] https://www.cisecurity.org/cis-benchmarks/
[AWS-CIS] https://docs.aws.amazon.com/audit-manager/latest/userguide/CIS-1-2.html
[eBPF] https://ebpf.io/
[Datadog CWS] https://docs.datadoghq.com/security_platform/cloud_workload_security/
[Sysdig CWS] https://docs.sysdig.com/en/docs/sysdig-secure/
[Wiz CSPM] https://www.wiz.io/#
[Lacework CSPM] https://docs.lacework.com/
[Datadog CSPM] https://docs.datadoghq.com/security_platform/cspm/
[Ermetic] https://ermetic.com/solution/cloud-infrastructure-entitlements-management/
[Microsoft Entra Permissions Management] https://www.microsoft.com/en-us/security/business/identity-access/microsoft-entra-permissions-management
[azure escape] https://unit42.paloaltonetworks.com/azure-container-instances/
[extrareplica] https://msrc-blog.microsoft.com/2022/04/28/azure-database-for-postgresql-flexible-server-privilege-escalation-and-remote-code-execution
[csp_security_mistakes] https://github.com/SummitRoute/csp_security_mistakes
[chaosDB] https://www.wiz.io/blog/chaosdb-how-we-hacked-thousands-of-azure-customers-databases/
[2021] https://blog.christophetd.fr/cloud-security-breaches-and-vulnerabilities-2021-in-review/
[12factors] https://12factor.net/