Antimodèles de gouvernance
Vous pouvez rencontrer des antimodèles pendant la phase de gouvernance de l’adoption du cloud. Comprenez les responsabilités partagées et comment créer votre stratégie de sécurité sur des frameworks existants pour vous aider à éviter ces antimodèles.
Antimodèle : interprétation incorrecte des responsabilités partagées
Lorsque vous adoptez le cloud, il n’est pas toujours évident de savoir où votre responsabilité se termine et où la responsabilité du fournisseur de cloud commence en ce qui concerne les différents modèles de service. Des compétences et des connaissances du cloud sont nécessaires à la création des processus et des pratiques autour des éléments de travail qui utilisent des modèles de service.
Exemple : supposer que le fournisseur de cloud gère les mises à jour
Les membres du service des ressources humaines (RH) d'une entreprise utilisent l'infrastructure en tant que service (IaaS) pour configurer plusieurs serveurs Windows dans le cloud. Ils supposent que le fournisseur de cloud gère les mises à jour, car le service informatique sur site gère généralement l’installation des mises à jour. Le département RH ne configure pas les mises à jour, car il ne sait pas qu’Azure ne déploie pas et n’installe pas par défaut les mises à jour du système d'exploitation (OS). Par conséquent, les serveurs ne sont pas conformes et présentent un risque pour la sécurité.
Résultat préféré : créer un plan de préparation
Comprenez votre responsabilité partagée dans le cloud. Générez et créez un plan de préparation. Un plan de préparation peut créer un élan permanent pour l’apprentissage et le développement de l’expertise.
Antimodèle : les solutions prêtes à l’emploi offrent la sécurité
Les entreprises ont tendance à considérer la sécurité comme une fonctionnalité inhérente aux services cloud. Bien que cette hypothèse soit souvent correcte, la plupart des environnements doivent respecter les exigences de l’infrastructure de conformité, qui peuvent différer des exigences de sécurité. Azure fournit une sécurité de base, et le portail Azure peut fournir une sécurité plus avancée grâce à Microsoft Defender pour le cloud. Lorsque vous créez un abonnement, vous devez personnaliser votre solution pour appliquer une norme de conformité et de sécurité.
Exemple : négliger la sécurité du cloud
Une entreprise développe une nouvelle application dans le cloud. Elle choisit une architecture basée sur de nombreux services platform as a service (PaaS), ainsi que certains composants IaaS à des fins de débogage. Après la publication de l’application en production, la société se rend compte que l’un de ses serveurs de saut a été compromis et extrayait des données vers une adresse IP inconnue. La société découvre que le problème est l’adresse IP publique du serveur de saut et un mot de passe facile à deviner. La société aurait pu éviter cette situation si elle s’était davantage concentrée sur la sécurité du cloud.
Résultat préféré : définir une stratégie de sécurité dans le cloud
Définissez une stratégie de sécurité cloud appropriée. Pour plus d’informations, consultez le Guide de préparation au cloud du RSSI. Reportez-vous à ce guide à votre responsable de la sécurité des systèmes d’information (CISO). Le guide de préparation au cloud du RSSI aborde des sujets tels que les ressources de la plateforme de sécurité, la confidentialité et les contrôles, la conformité et la transparence.
Pour en savoir plus sur les charges de travail cloud sécurisées, consultez le Benchmark de sécurité Azure. Basez-vous sur les contrôles v7.1 du CIS (Center for Internet Security) ainsi que sur la publication SP800-53 du NIST (National Institute of Standards and Technology), qui traitent de la plupart des risques et mesures de sécurité.
Utilisez Microsoft Defender pour le cloud pour identifier les risques, adapter les bonnes pratiques et améliorer la posture de sécurité de votre entreprise.
Implémentez ou prenez en charge des exigences de sécurité et de conformité automatisées spécifiques à l’entreprise avec Azure Policy et la solution Azure Policy en tant que code.
Antimodèle : utiliser une infrastructure de conformité ou de gouvernance personnalisée
L’introduction d’une infrastructure de conformité et de gouvernance personnalisée qui n’est pas basée sur les normes du secteur peut augmenter considérablement le temps d’adoption du cloud. Cela est dû au fait que la traduction du framework personnalisé vers les paramètres cloud peut être complexe. Cette complexité peut accroître l'effort nécessaire pour traduire les mesures et exigences personnalisées en contrôles de sécurité applicables. Les entreprises doivent généralement se conformer à des exigences similaires en matière de sécurité et de conformité. En conséquence, la plupart des infrastructures de conformité et de sécurité personnalisés diffèrent légèrement des infrastructures de conformité actuelles. Les entreprises ayant des exigences de sécurité supplémentaires peuvent envisager de générer de nouveaux frameworks.
Exemple : utiliser une infrastructure de sécurité personnalisée
Le CISO d’une entreprise attribue aux employés de la sécurité informatique la tâche de préparation d’une stratégie et d’une infrastructure de sécurité dans le cloud. Au lieu de se baser sur les normes du secteur, le service de sécurité informatique crée une infrastructure qui s’appuie sur la stratégie de sécurité locale actuelle. Une fois la stratégie de sécurité du cloud finalisée, les équipes AppOps et DevOps ont des difficultés à implémenter la stratégie de sécurité du cloud.
Azure offre une structure de sécurité et de conformité plus complète qui diffère de l’infrastructure propre à l’entreprise. L’équipe CISO considère que les contrôles Azure sont incompatibles avec ses propres règles de conformité et de sécurité. Si elle avait basé son infrastructure sur des contrôles normalisés, elle n’en serait pas arrivée à cette conclusion.
Résultat préféré : s’appuyer sur des infrastructures existantes
Utilisez ou créez des frameworks existantes, telles que les contrôles CIS version 7.1 ou NIST SP 800-53, avant d’établir ou d’introduire une infrastructure de conformité d’entreprise personnalisée. Les infrastructures existantes facilitent la transition vers les paramètres de sécurité du cloud et permettent de la mesurer plus aisément. Pour plus d’informations sur les implémentations de framework, consultez les options d’implémentation des zones d'atterrissage Azure.