Cloud Native Zero Trust infrastructures : une approche nécessaire pour passer au Cloud
Si vous êtes développeur Cloud Native, vous savez forcément que la sécurité de votre infrastructure comme de votre application est un sujet complexe et indispensable à prendre au sérieux. Si vous ne le savez pas, spoiler alert: vous allez bientôt le savoir par la force des choses, et ça risque d’être violent…
La crise sanitaire aura eu comme conséquence de faire prendre conscience à la plupart des entreprises que la sécurité informatique est un sujet qui n’est pas traité à la hauteur des enjeux.
On ne compte plus les actes de cyber-malveillance, qui sont malheureusement devenus des faits divers. Les autorités incitent les entreprises à investir massivement sur la cybersécurité, le gouvernement vient encore d’annoncer un nouveau plan d’investissement massif sur la sécurité du numérique.
Bref, il ne serait pas étonnant de voir des administrateurs systèmes traumatisés, appeler leur chien (ou leur enfant ?) Log4Shell dans les mois qui viennent.
Je vais donc vous parler aujourd’hui du modèle d’architecture Zero Trust, qui va vraisemblablement s’imposer dans le domaine du Cloud Native.
Aujourd’hui, une infrastructure réseau repose généralement sur l’approche “château fort et douves”. Le périmètre réseau dans lequel se trouvent les ressources critiques à protéger est assimilé à l’intérieur du château fort. Les épaisses murailles de pierres, le pont-levis, et les douves protègent des entrées à l’intérieur du château.
Il est difficile de pénétrer dans l’enceinte du château fort. Mais que se passe-t-il si une personne malveillante réussit à entrer à l’intérieur du château, bénéficiant par exemple d’une faille avec le système de pont-levis ? Une fois à l’intérieur, la personne malveillante peut accéder aux ressources du château.
Basiquement, ce type d’approche cherche à éliminer le risque de pénétration au sein du réseau critique. Mais si l’on y parvient quand même, il n’y a presque plus de protection à l’intérieur.
L’approche Zero Trust part d’un paradigme différent: on considère qu’on ne peut faire confiance à aucune machine, aucun être humain. C’est une remise en cause de la confiance implicite accordée dans le modèle périmétrique.
À chaque fois qu’une machine ou un humain doit accéder à une ressource, il doit prouver son identité, de manière récurrente, il ne peut accéder qu’à ce qui lui est explicitement autorisé, et tous les échanges sont chiffrés.
Dans le cloud, et plus particulièrement avec une approche multi-cloud, les ressources sont distribuées, et les différents services ne sont pas forcément centralisés dans un périmètre isolé. Il est souvent nécessaire de mettre en place des niveaux de sécurité différents pour différents périmètres.
Le modèle Zero Trust est donc adapté aux infrastructures Cloud Native.
Pour autant, la mise en place d’une architecture Zero Trust est considérée comme très coûteuse et complexe. Elle nécessite une expertise pointue, particulièrement délicate à intégrer dans un projet dans le contexte de pénurie de compétences cyber que nous connaissons.
L’ANSSI, met en garde sur l’enjeu d’un tel chantier :
“A ce jour, le recours à un modèle Zero Trust est ardu, faute de maturité : le déploiement est susceptible d’entraîner des erreurs d’installation ou de configuration, d’accroître la vulnérabilité des systèmes d’information et de donner aux entreprises un faux sentiment de sécurité.”
https://www.ssi.gouv.fr/agence/publication/le-modele-zero-trust/
On peut également noter les difficultés opérationnelles d’un tel modèle. Sa complexité potentielle jouant largement en sa défaveur.
Et c’est bien pour cette raison que je vous présente SquareScale régulièrement depuis quelques mois.
SquareScale est un outil qui permet de déployer et de piloter from scratch une infrastructure Cloud Native Zero Trust, sur n’importe quel IaaS provider, cloud privé (Openstack, VMWare) ou cloud hybride.
Je ne vais pas revenir sur une présentation détaillée de SquareScale, je laisse à la fin de l’article le lien vers les précédentes présentations.Ce qu’il faut retenir ici, c’est que SquareScale automatise le déploiement de l’ensemble de l’infrastructure, avec toutes les bonnes pratiques de sécurité et tous les composants correctement configurés pour la mise en place d’une infrastructure Zero Trust.
SquareScale met en place un cluster Vault, un gestionnaire de secrets qui permet de gérer la rotation automatique des credentials, qui évite l’erreur de sécurité la plus basique (et effroyablement fréquente), qui consiste à stocker les credentials d’accès à une base de données, par exemple, dans le code, et parfois même dans le gestionnaire de version…
Depuis le mois dernier, SquareScale automatise également la mise en place du Service Mesh. Sans faire un exposé technique détaillé sur le sujet, le Service Mesh considère que par défaut, aucun service ne peut parler à un autre service. On va alors configurer les intentions, c’est-à-dire définir quel service a le droit de communiquer avec quel(s) autre(s) service(s).
De plus, le Service Mesh va créer un tunnel TLS sur toutes les routes autorisées. Ce chiffrement systématique est transparent : il n’est pas connu de l’application, le développeur n’a donc pas à s’en soucier.Grâce à SquareScale, les développeurs peuvent se concentrer sur leur métier et le faire bien. Ces derniers évitent alors de faire de la “cuisine ops” qui est une expertise à part entière.
L’approche Zero Trust permet également de faciliter les chantiers de certification de sécurité en démontrant la non-rupture de la chaîne de confiance. C’est d’ailleurs une autre grosse valeur ajoutée de SquareScale: le choix des profils de sécurité, allant de la sécurité basique aux profils de certification (eIDAS, PCI DSS, HDS, SecNumCloud, …).
Dans cet article, j’ai survolé le sujet. Le modèle Zero Trust implique beaucoup d’autres concepts, que je vous présenterai lors des prochains articles sur SquareScale.
Pour conclure, je rappelle que SquareScale recrute des DevOps passionnés par l’automatisation d’infrastructures, n’hésitez pas à les contacter de ma part : https://squarescale.com
Pour se rafraîchir la mémoire, les derniers articles présentant SquareScale :
- https://korben.info/articles/cloud-hybride-gestion-securisee-dune-flotte-dobjets-connectes-grace-a-squarescale
- https://korben.info/articles/infrastructure-cloud-native-sans-iaas-lock-in-squarescale
- https://korben.info/articles/squarescale-la-nouvelle-plateforme-cloud-native-securisee-pourquoi-pour-qui
- https://korben.info/articles/observabilite-monitoring-sans-effort-de-vos-infrastructures-cloud-avec-squarescale
Que faire après le bac quand on est passionné de cybersécurité ?
Entièrement dédiée à la cybersécurité, l'école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l'école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).