Guide de gestion de la posture de sécurité du cloud
Gestion de la posture de sécurité du cloud (CSPM)est un processus de vérification des configurations des ressources cloud pour garantir la réduction des risques et la conformité aux normes de confidentialité des données
Il existe des niveaux de pratiques manuelles de bon sens qui peuvent être mises en œuvre pour renforcer la sécurité des actifs cloud, mais une CSPM plus approfondie ne peut être obtenue qu'en automatisation . Ainsi, Cloud Security Posture Management est étroitement lié à l’acquisition de Outils CSPM .
Que fait le CSPM ?
On peut s'attendre à ce que les fournisseurs d'infrastructures de plates-formes cloud maintiennent tous leurs logiciels à jour et suivent la découverte de exploits , qu'ils ont fermé. Cependant, les paramètres de compte et les contrôles d'accès que les clients mettent en œuvre ne relèvent pas de la responsabilité des fournisseurs de plateformes cloud.
Les utilisateurs de systèmes cloud, tels que l'espace de stockage, les serveurs virtuels et les applications, doivent s'assurer qu'ils ont mis en œuvre leurs systèmes de la manière la plus sécurisée possible. Outils CSPM analyse ces comptes et identifier les domaines dans lesquels les contrôles ont été trop laxistes.
Gestion de la posture de sécurité du cloud peut être considéré comme l’équivalent Cloud de la gestion des vulnérabilités. UN scanner de vulnérabilité examine les réseaux, les serveurs et les logiciels à la recherche de failles de sécurité qui pourraient être utilisées par des pirates informatiques. Il s'agit d'une forme automatisée de tests de pénétration . CSPM fait la même chose, mais spécifiquement pour les actifs cloud.
Alors qu'un scanner de vulnérabilités fonctionne à travers une liste de exploits connus et teste le système examiné pour vérifier la présence de cette condition, un outil CSPM parcourt une liste de configurations de services cloud. les meilleures pratiques . Si le CSPM vérifie une ressource et constate que sa configuration n'est pas la même que le modèle qu'il a enregistré dans sa base de données, il le fera. lancer une alerte .
Gérer les erreurs de configuration
Il existe de nombreux outils CSPM disponibles sur le marché et l'un des principaux moyens par lesquels ils créent une diversité de services est la manière dont ils répondre à la découverte d'une faiblesse.
Tous les outils du CSPM lancer une alerte lorsqu'ils découvrent un écart par rapport aux meilleures pratiques. Il s'agit d'une étape importante car elle répertorie l'actif et ses paramètres actuels ainsi que les paramètres qu'il devrait avoir. L'un des principaux objectifs de l'exécution d'un outil CSPM est de prouver les normes de confidentialité des données. conformité , cette différence entre les configurations existantes et idéales est écrite dans un journal .
Une grande partie du respect des normes réside dans documenter tout et rendre les journaux disponibles pour inspection lors d'un audit de conformité externe.
Là où les outils diffèrent, c’est s’ils mettent également en œuvre d’autres actions pour aider remédier la faiblesse de la sécurité. Dans certains cas, l’outil émettra simplement une alerte et une explication et rien d’autre. Dans d'autres cas, l'outil produira un guide sur la façon dont l'administrateur doit ajuster manuellement la configuration et certains autres outils le feront faire les changements .
Le système qui implémente les correctifs est appelé automatisation des processus robotisés (RPA). C'est comme une macro et c'est un flux de travail qui implémente des changements spécifiques à la plate-forme. Si la RPA est configurée via une règle de déclenchement et lancé automatiquement, le système nécessiterait informations d'identification du tableau de bord être présent dans les écrans de configuration du système CSPM. Une approche alternative consiste à présenter un script issu d'une bibliothèque qui sera lié dans le rapport d'alerte. L'administrateur devra ensuite exécuter le script, qui comprendra invites interactives pour le nom d'utilisateur et le mot de passe.
Fonctionnalités clés de la gestion de la posture de sécurité dans le cloud
Pour résumer les fonctionnalités que vous pouvez attendre d’un outil CSPM typique :
- Analyse des services cloud, y compris les offres PaaS, IaaS et SaaS
- Une base de données des bonnes pratiques pour les configurations
- Comparaison des configurations existantes à l'idéal
- Notation des risques
- Une lecture en direct des statuts des actifs
- Résultats enregistrés des analyses
- Enregistrements des mesures prises pour remédier à la situation
- Optimisation pour la conformité à des normes spécifiques
- Suivi multiplateforme
- Exécution continue et répétée
- Une bibliothèque de playbooks de remédiation
Plusieurs autres fonctions peuvent être classées comme « agréables à avoir » et sont proposées sur certaines plates-formes sous forme de modules parallèles.
Services de sécurité associés
L'issue de gestion des identités et des accès (IAM) est une zone grise. Certains incluraient cela dans les attributions du CSPM, tandis que d’autres préféreraient le conserver comme une stratégie distincte. Les comptes d'utilisateurs et leurs paramètres de sécurité sont une source potentielle de failles de sécurité dans un service cloud.
En général, les plates-formes de sécurité cloud maintiennent Cloud IAM à part, principalement parce qu'il s'agit d'un service de grande valeur dont elles aimeraient tirer des revenus supplémentaires. Certes, une entreprise souhaitant assurer la sécurité de ses actifs cloud doit également maintenir une stratégie stricte de gestion des droits d’accès. Certaines plates-formes proposent Cloud Identity Security et Cloud Security Posture Management sous forme de deux modules liés dans un package : Nuage de prisme de Palo Alto est un exemple d'un tel bundle.
Un troisième élément à prendre en compte est la protection des charges de travail dans le cloud. Ce type de système est un service de détection des menaces et si vous exploitez des actifs cloud, vous aurez besoin de cette protection constante parallèlement à durcissement du système valeur du CSPM.
Outils recommandés pour la gestion de la posture de sécurité du cloud
Nous avons préparé un rapport distinct qui passe en revue les 8 meilleurs outils CSPM. Cependant, si vous n'avez pas le temps de lire un autre guide sur la gestion de la posture de sécurité du cloud, les recommandations de cet examen sont résumées ci-dessous.
1. Gestion de la posture de sécurité du Cloud Datadog
Chien de donnéespropose une gamme d'outils de surveillance et de gestion de systèmes basés sur le cloud et ses Gestion de la posture de sécurité du cloud le service est un nouvel ajout à sa stabilité. Cet outil peut être configuré pour assurer la conformité aux normes CIS, PCI DSS, HIPAA et GDPR.
Le package est conçu pour être utilisé par des analystes de sécurité qui ne possèdent peut-être pas les compétences en programmation ou en script que l'on pourrait attendre des techniciens en administration système. Parallèlement au CSPM, Datadog propose une plateforme de protection des charges de travail cloud, appelée Sécurité des charges de travail cloud . La société propose également une solution basée sur le cloud SIEM pour une protection de sécurité supplémentaire et un Gestionnaire de journaux ce qui faciliterait votre gestion et votre analyse des journaux pour l’audit de conformité.
2. CSPM CrowdStrike Falcon Horizon
L'argument de vente unique du CrowdStrike Falcon Horizon CSPM c'est que CrowdStrike canalise dans son Renseignements sur les menaces prestations de service. Ainsi, non seulement l'analyseur compare les configurations aux meilleures pratiques, mais il concentre également l'attention sur les points d'entrée du système qui sont actuellement attaqués dans le monde entier par des groupes de pirates informatiques.
CrowdStrike comprend audit des droits d'accès avec son CSPM avec une attention particulière aux implémentations d'Azure AD. L’outil alerte les administrateurs des risques de sécurité et génère des guides sur la façon de les résoudre, mais il n’offre pas de correction automatisée. Analystes de sécurité de CrowdStrike sont disponibles pour obtenir des conseils inclus dans le prix.
3. Nuage de prisme de Palo Alto
Nuage de prisme de Palo Alto vous offre une plate-forme de cinq modules qui regroupe Cloud Gestion de la posture de sécurité , Protection des charges de travail cloud , Sécurité du réseau cloud , Sécurité des identités cloud , et Sécurité des codes cloud . Ce package intègre un service d'analyse IAM pour renforcer le contrôle d'accès à votre accès au cloud et renforcer la préparation aux attaques.
Prisma Cloud exécute tous ses scanners simultanément et en continu , alertant des faiblesses et des menaces de sécurité nouvellement repérées. Ce service documente minutieusement vos actifs Cloud, fournissant des éléments pour les rapports de conformité et propose également des recommandations sur les actions visant à renforcer la sécurité – la remédiation n’est pas automatique.
4. Vérifiez Point CloudGuard
Le Check Point CloudGuard La plateforme présente cinq modules : Gestion de la posture de sécurité du cloud , Sécurité des applications cloud , Protection des charges de travail cloud , Intelligence cloud et chasse aux menaces , et Sécurité du réseau cloud et prévention des menaces .
Ce service comprend l'audit des droits d'accès et la surveillance continue de l'activité du compte. Même si le CSPM propose durcissement du système , les services de prévention des menaces recherchent en permanence des comportements anormaux. Ce service offre un haut degré d’automatisation des mesures correctives et est très performant en matière d’application de la conformité et de reporting.
5. Sécurité du cloud BMC Helix
Sécurité du cloud BMC Helix est un bon package pour les rapports de conformité car il documente minutieusement toutes ses conclusions et toutes les actions correctives. Il peut être configuré pour PCI DSS , CEI , et RGPD en appliquant un modèle pré-écrit.
Il s'agit d'un système basé sur des alertes qui produit des guides d'action lorsqu'une faiblesse est détectée. Les alertes peuvent être transmises via un système ITSM sous forme de tickets et vous pouvez également déclencher des alertes pré-écrites. manuels de remédiation soit manuellement, soit automatiquement.
La plateforme Helix Cloud Security implémente également la protection des charges de travail cloud pour les processus sur Azure et AWS.
6. Posture de la charge de travail Zscaler
Posture de la charge de travail Zscaler inclut l'audit et la gestion des droits d'accès dans son service CSPM. Zscaler est un leader en matière d'accès Zero Trust, de SASE et de WAN sécurisés définis par logiciel. Vous pouvez donc trouver une combinaison d'autres services de ce fournisseur qui rassemble toutes vos ressources dans un seul réseau virtuel. Si votre système est très fortement basé sur le cloud, la Posture de charge de travail sera votre premier choix.
Le tableau de bord de ce service vous donne des informations en direct et constamment ajustées évaluations des risques et l’identification des données sensibles. L'outil s'insère dans votre compte cloud via une API et nécessite très peu de réglages. Des charges de travail de correction sont disponibles pour des réponses automatisées ou une activation manuelle.
7. Rapid7 InsightCloudSec
Rapid7 InsightCloudSec est un paquet de CSPM , Protection des charges de travail cloud , et Gestion des identités et des accès . Ce service peut être configuré en tant que testeur de pipeline CI/CD ainsi que pour être utilisé avec des systèmes en direct. Le package n’est pas aussi puissant que les autres options de cette liste pour les rapports de conformité.
Rapid7 est l'un des leaders des systèmes de sécurité basés sur le cloud et convient aux environnements hybrides. Les autres outils disponibles sur la plateforme Insight incluent un service combiné XDR et SIEM, appelé AperçuIDR . Cet outil est plus puissant pour rapports de conformité que le système InsightCloudSec, donc la combinaison de ces deux packages fonctionnerait bien.
8. Sophos Cloud Optix
Sophos Cloud Optix est un bon package pour la surveillance et le reporting de la conformité ainsi que pour le renforcement du système. Le système peut analyser tous les comptes enregistrés pour les services sous-jacents.
Cloud Optix génère alertes lorsqu'il découvre les faiblesses du système et produit guides pour la correction, mais il ne mettra pas en œuvre les correctifs pour vous. Une fonctionnalité intéressante de ce package que les autres sur cette liste n’offrent pas est un Optimiseur de coûts cloud . Cela suit l'argent que vous dépensez sur chaque plate-forme et identifie des forfaits alternatifs qui vous coûteraient moins cher pour le même service.