Geekly articles weekly

Cloud Data Protection: A Guide for Developers

La plateforme Azure a été conçue pour assurer la sécurité et répondre à toutes les exigences des développeurs. Découvrez comment utiliser les services intégrés pour stocker en toute sécurité les données d'application afin que seuls les services et clients autorisés accèdent à ces données.



Présentation


La sécurité est l'un des aspects les plus importants de toute architecture. La protection des données de l'entreprise et des clients est essentielle. Les fuites de données peuvent ruiner la réputation de l'entreprise et causer des dommages financiers importants. Dans ce module, nous aborderons les problèmes de sécurité de l'architecture de base lors du développement d'un environnement cloud.

En explorant le développement de solutions cloud pour lesquelles la sécurité est une priorité, nous verrons comment un utilisateur Azure fictif utilise ces principes dans la pratique.

Lamna Healthcare est un fournisseur national de soins de santé. Son service informatique a récemment commencé à déplacer la plupart de ses systèmes informatiques vers Azure. L'organisation utilise ses propres applications, des applications open source et des applications standard avec diverses architectures et plates-formes technologiques. Nous apprendrons ce qui doit être fait pour transférer des systèmes et des données vers le cloud sans compromettre la sécurité.

Remarque

Bien que les concepts abordés dans ce module ne soient pas exhaustifs, ils incluent certains concepts importants liés à la création de solutions dans le cloud. Microsoft publie une large gamme de modèles, de guides et d'exemples pour développer des applications sur la plateforme Azure. Il est fortement recommandé de consulter le contenu dans Azure Architecture Center avant de planifier et de concevoir votre architecture.

Objectifs d'apprentissage


Dans ce module, vous apprendrez à effectuer les tâches suivantes:

  • Apprenez Ă  utiliser la protection en profondeur pour sĂ©curiser votre architecture.
  • Apprenez Ă  protĂ©ger les identitĂ©s.
  • DĂ©couvrez les technologies disponibles pour protĂ©ger votre infrastructure Azure.
  • DĂ©couvrez comment et oĂą utiliser le chiffrement pour protĂ©ger vos donnĂ©es.
  • DĂ©couvrez comment protĂ©ger les architectures au niveau du rĂ©seau.
  • DĂ©couvrez comment utiliser les consignes de sĂ©curitĂ© des applications pour intĂ©grer des mesures de sĂ©curitĂ© dans votre application.

Protection de profondeur


Il n'y a pas de remède pour toutes les menaces et une solution pour tous les problèmes. Supposons que Lamna Healthcare ait perdu de vue la sécurité. Il est devenu clair que ce domaine devait être ciblé. Les employés de Lamna ne savent pas par où commencer ni s'il est possible d'acheter une solution pour garantir un environnement sûr. Ils sont sûrs d'avoir besoin d'une approche holistique, mais ne savent pas ce que c'est. Ici, nous discuterons en détail des concepts clés de la protection en profondeur, identifierons les technologies et les approches de sécurité clés pour prendre en charge la profondeur de la stratégie de défense et discuterons de la façon d'utiliser ces concepts dans le développement de votre architecture de service Azure.

Approche de sécurité en couches


La défense profonde est une stratégie qui utilise un certain nombre de mécanismes pour ralentir une attaque visant à obtenir un accès non autorisé à l'information. Chaque niveau offre une protection, donc si un attaquant dépasse un niveau, le niveau suivant empêchera toute pénétration supplémentaire. Microsoft adopte une approche à plusieurs niveaux de la sécurité dans les centres de données physiques et les services Azure. La protection approfondie a pour objectif d'assurer la sécurité des informations et d'empêcher le vol de données par des personnes qui ne sont pas autorisées à y accéder. Les principes généraux utilisés pour déterminer l'état de sécurité sont la confidentialité, l'intégrité et la disponibilité, communément appelés CIA (confidentialité, intégrité, disponibilité).

  • La confidentialitĂ© est le principe des privilèges minimaux. L'accès Ă  l'information n'est accessible qu'aux personnes qui sont explicitement autorisĂ©es. Ces informations incluent la protection par mot de passe utilisateur, les certificats d'accès Ă  distance et le contenu des messages Ă©lectroniques.
  • IntĂ©gritĂ© - PrĂ©vention des modifications non autorisĂ©es des donnĂ©es inactives ou transmises. L'approche gĂ©nĂ©rale utilisĂ©e dans le transfert de donnĂ©es est qu'une empreinte digitale unique est crĂ©Ă©e pour l'expĂ©diteur Ă  l'aide d'un algorithme de hachage unidirectionnel. Le hachage est envoyĂ© au destinataire avec les donnĂ©es. Le hachage des donnĂ©es est recalculĂ© et comparĂ© par le destinataire avec l'original afin que les donnĂ©es ne soient pas perdues et n'aient pas subi de modifications pendant le transfert.
  • DisponibilitĂ© - S'assurer que les services sont disponibles pour les utilisateurs autorisĂ©s. Les attaques par dĂ©ni de service sont la cause la plus courante de perte d'accessibilitĂ© des utilisateurs. De plus, en cas de catastrophe naturelle, les systèmes sont conçus pour Ă©viter un point de dĂ©faillance unique et dĂ©ployer plusieurs instances de l'application dans des emplacements gĂ©ographiquement Ă©loignĂ©s.

Niveaux de sécurité


La protection de la profondeur peut être représentée par plusieurs anneaux concentriques, au centre desquels se trouvent les données. Chaque anneau ajoute une couche de sécurité supplémentaire autour des données. Cette approche élimine la dépendance à un niveau de protection, ralentit l'attaque et fournit des alertes avec des données de télémétrie afin que vous puissiez prendre des mesures - manuellement ou automatiquement. Regardons chacun des niveaux.



Les données


Presque toujours, les attaquants recherchent des données:

  • qui sont stockĂ©s dans la base de donnĂ©es;
  • qui sont stockĂ©s sur disque dans des machines virtuelles;
  • qui sont stockĂ©s dans une application SaaS telle qu'Office 365;
  • qui sont stockĂ©s dans le stockage cloud.

Les responsables du stockage des données et du contrôle d'accès doivent fournir une protection adéquate. Les exigences réglementaires nécessitent souvent des contrôles et des procédures spécifiques pour garantir la confidentialité, l'intégrité et l'accessibilité des données.

Les applications


  • Assurez-vous que les applications sont protĂ©gĂ©es et exemptes de vulnĂ©rabilitĂ©s.
  • Gardez les secrets d'application confidentiels sur des supports sĂ©curisĂ©s
  • Faites de la sĂ©curitĂ© une exigence pour toutes les applications.

En intégrant la sécurité dans le cycle de vie du développement d'applications, vous pouvez réduire le nombre de vulnérabilités dans le code. Encouragez toutes les équipes de développement à garantir la sécurité des applications par défaut. Les exigences de sécurité doivent être immuables.

Services informatiques


  • ProtĂ©gez l'accès aux machines virtuelles
  • ImplĂ©mentez la protection des terminaux et appliquez tous les correctifs en temps opportun

Les programmes malveillants, le manque de correctifs et la protection inadéquate des systèmes rendent votre environnement vulnérable aux attaques. Ce niveau est conçu pour assurer la sécurité de vos ressources informatiques et vous disposez des contrôles appropriés pour minimiser les problèmes de sécurité.

RĂ©seau


  • Limitez les interactions entre les ressources grâce Ă  la segmentation et aux contrĂ´les d'accès
  • DĂ©finir l'interdiction par dĂ©faut
  • Limitez le trafic Internet entrant et sortant dans la mesure du possible
  • Connectez-vous en toute sĂ©curitĂ© aux rĂ©seaux locaux

L'objectif de ce niveau est de limiter les connexions réseau dans les ressources et d'utiliser uniquement les connexions les plus nécessaires. Séparez les ressources et utilisez les contrôles au niveau du réseau pour restreindre la communication uniquement entre les composants requis. En limitant l'échange de données, vous réduisez les risques de déplacement sur les ordinateurs de votre réseau.

Périmètre


  • Utilisez la protection par dĂ©ni de service distribuĂ© (DDoS) pour filtrer les attaques Ă  grande Ă©chelle avant qu'elles ne conduisent Ă  un dĂ©ni de service pour les utilisateurs finaux
  • Utilisez des pare-feu de pĂ©rimètre pour dĂ©tecter les alertes rĂ©seau et recevoir des alertes

Le long du périmètre du réseau, une protection contre les attaques du réseau sur les ressources est nécessaire. L'identification de telles attaques, l'élimination de leur impact et leur alerte sont des éléments importants de la sécurité du réseau.

Politiques et accès


  • GĂ©rer l'accès Ă  l'infrastructure, gĂ©rer le changement
  • Utilisez l'authentification unique et l'authentification multifacteur
  • VĂ©rifier les Ă©vĂ©nements et les changements

Le niveau des politiques et de l'accès vise à garantir la sécurité des identités, à contrôler la fourniture d'accès uniquement aux personnes qui en ont besoin, ainsi qu'à enregistrer les modifications.

Sécurité physique


  • Assurer la sĂ©curitĂ© physique des bâtiments et contrĂ´ler l'accès aux Ă©quipements informatiques d'un datacenter est la première ligne de dĂ©fense.

La sécurité physique comprend des mesures pour limiter l'accès physique aux ressources. Il garantit que les attaquants ne dépassent pas le reste des niveaux et protège les données contre la perte et le vol.

Chaque couche peut effectuer une ou plusieurs tâches selon le modèle de confidentialité, d'intégrité et d'accès.



Responsabilité partagée


Les environnements informatiques passent des centres de données gérés par les clients aux centres de données basés sur le cloud, et la responsabilité évolue avec eux. La sécurité est désormais une responsabilité partagée des fournisseurs de services cloud et des clients.



Amélioration continue


L'image des menaces évolue en temps réel et à grande échelle, de sorte que l'architecture de sécurité n'est jamais parfaite. Microsoft et nos clients doivent pouvoir répondre à ces menaces de manière intelligente, rapide et à la hauteur.

Azure Security Center offre aux clients des capacités de gestion de la sécurité unifiée et une protection avancée contre les menaces pour reconnaître et répondre aux événements de sécurité dans l'environnement local et dans Azure. À leur tour, les clients Azure doivent constamment revoir et développer leur architecture de sécurité.

Protection en profondeur chez Lamna Healthcare


Lamna Healthcare déploie activement une protection en profondeur dans tous les services informatiques. Étant donné que l'organisation est responsable de grands volumes de données médicales confidentielles, elle comprend qu'une approche intégrée sera la meilleure option.

Pour protéger les données de l'entreprise, un groupe de travail virtuel a été créé dans l'entreprise, composé de représentants de chaque service informatique et service de sécurité. La tâche du groupe est de familiariser les ingénieurs et les architectes avec les vulnérabilités et les méthodes pour leur élimination, ainsi que de fournir un support d'information pour travailler avec des projets dans l'organisation.

Naturellement, ce travail ne se fera jamais jusqu'au bout. Par conséquent, pour maintenir le niveau de protection requis, l'entreprise prévoit de revoir régulièrement les politiques, les procédures, les aspects techniques et l'architecture dans une recherche constante de moyens d'augmenter la sécurité.

Résumé


Nous avons examiné ce qu'est la défense en profondeur, quels niveaux elle a et quelle est la tâche de chaque niveau. Une telle stratégie de sécurité dans l'architecture garantit une approche intégrée de la protection de l'environnement entier, plutôt qu'un niveau ou une technologie unique.

Autres pièces


Pour compléter cette formation gratuite, suivez le lien . Vous y trouverez ces pièces:

  • PrĂ©sentation
  • Protection de profondeur
  • Gestion d'identitĂ©
  • Protection des infrastructures
  • Cryptage
  • SĂ©curitĂ© rĂ©seau
  • RĂ©sumĂ©
  • Cinq fonctionnalitĂ©s de sĂ©curitĂ© clĂ©s Ă  prendre en compte avant le dĂ©ploiement.
  • GĂ©rer les secrets dans les applications serveur avec Azure Key Vault
  • SĂ©curiser les ressources Azure avec un accès conditionnel

Source: https://habr.com/ru/post/fr428447/

More articles:


All Articles