Le concept de cyberstockage se concrétise chez les hyperscalers
Après Azure, AWS dote ses services de stockage en mode objet d’un dispositif autonome qui détecte les tentatives de corruption des données. La discipline, appelée cyberstockage, devrait se populariser.
Lors de sa récente conférence, AWS a présenté Amazon GuardDuty Malware Protection for S3, un service en ligne qui détecte les actions des logiciels malveillants contre les données enregistrées dans plusieurs services de stockage objet S3. Cette fonctionnalité est une réponse à Malware Scanning in Defender for Storage, un service similaire lancé l’année dernière par Azure pour détecter les logiciels malveillants téléchargés sur Azure Blob storage, le service de stockage objet d’Azure.
Les services en ligne de détection de ransomwares proposés par AWS et Microsoft Azure concrétisent le cyberstockage, une nouvelle discipline de stockage dont les analystes prédisent l’explosion prochaine des offres et des pratiques.
Gartner définit le cyberstockage comme des technologies de défense active qui identifient les attaques de ransomware et y répondent en protégeant les données, mais aussi en restaurant l’activité le cas échéant.
Le détail important est que, concernant le stockage objet, il n’y avait pas d’autre moyen simple de le protéger des attaques de ransomware. Car un service de stockage objet en cloud n’est pas directement rattaché à un serveur. À l’inverse, les services de stockage en mode bloc ou fichiers sont rattachés à des serveurs sur lesquels les entreprises ont toujours eu la possibilité d’exécuter des logiciels anti-malwares.
Pour Krista Macomber, analyste chez Futurum Group, le cyberstockage a aussi pour particularité qu’il demande aux entreprises de concrétiser une nouvelle collaboration entre les responsables de la cybersécurité et ceux de l’infrastructure.
« En cyberstockage, il n’y a plus qu’un seul produit. Donc, plus que des règles d’automatisation (de sauvegarde, de réplication, etc.), il s’agit de définir une liste complète de contrôles qui doivent permettre d’assurer la résilience du stockage. »
Krista MacomberAnalyste, Futurum Group
« D’ordinaire, vous avez un service de stockage géré par le personnel responsable de l’infrastructure et un logiciel anti-malware géré par les responsables de la cybersécurité. En cyberstockage, il n’y a plus qu’un seul produit. Donc, plus que des règles d’automatisation (de sauvegarde, de réplication, etc.), il s’agit de définir une liste complète de contrôles qui doivent permettre d’assurer la résilience du stockage », dit-elle.
« Dans le concept de cyberstockage, il y a aussi l’idée que le stockage objet n’est plus ce dépotoir dans lequel votre logiciel de sauvegarde emmagasine des données d’importance secondaire. Désormais, le stockage objet est un stockage primaire comme les autres, avec lequel les applications travaillent directement et qui est donc directement exposé aux malwares contaminant les serveurs applicatifs », ajoute-t-elle, en se félicitant que les hyperscalers aient fini par le comprendre.
Le cyberstockage protège, mais ne décontamine pas
Techniquement, Amazon GuardDuty Malware Protection for S3 est une fonction d’analyse sans agent qui évalue les nouveaux enregistrements dans les buckets S3, en utilisant des moteurs logiciels tiers pour la détection des malwares. AWS précise que le service examine spécifiquement les nouveaux objets téléchargés en temps quasi réel.
Le service de protection contre les logiciels malveillants d’AWS est facturé par gigaoctet de volume scanné et par nombre d’objets évalués par mois, avec une version limitée AWS Free Tier disponible.
Le service Azure Malware Scanning in Defender for Storage offre un ensemble de fonctionnalités similaires pour le stockage Azure Blob. D’autres fournisseurs de services en cloud, tels que GPC de Google et OCI d’Oracle, proposent des architectures de référence pour créer des capacités similaires, mais n’offrent pas de services prêts à l’emploi pour l’analyse du stockage objet.
Jerome Wendt, analyste pour le cabinet Data Center Intelligence Group, note cependant que les hyperscalers ne proposent pas encore de services clés en main :
« Le service GuardDuty for S3 ne fournit qu’une surveillance et des alertes sur les malwares. À la charge des entreprises de disposer d’une sécurité supplémentaire, configurée en fonction de leurs besoins, pour arrêter et mettre en quarantaine les logiciels malveillants qui s’exécutent depuis leurs serveurs. Car n’oubliez pas que rendre vos données immuables ne signifie pas que vous vous débarrassez du ransomware. »
Dans les faits, les clients d’AWS devront utiliser un service tel qu’Amazon EventBridge pour déclencher des actions postérieures à une découverte d’attaque. Ces actions seront typiquement le marquage et la mise en quarantaine du serveur qui émet des requêtes malveillantes vers les données.
Le cyberstockage appelé à se populariser
Le dernier rapport « Magic Quadrant for Distributed File Systems and Object Storage » de Gartner prédit que « tous les services de stockage incluront des capacités de cyberstockage axées sur la défense active, qui vont au-delà des simples copies de secours résilientes d’ici à 2028. »
« Conserver des données saines que l’on peut restaurer en cas de problème n’est pas suffisant. »
Jeff VogelAnalyste, Gartner et co-auteur du rapport
Jeff Vogel, analyste chez Gartner et co-auteur de ce rapport, estime que seuls 10 % des produits de stockage sur le marché offrent aujourd’hui le cyberstorage tel que défini par le cabinet d’études. Il pense que, pour résoudre le problème, les d’hyperscalers vont chercher à conclure des partenariats avec des fournisseurs de stockage sur site, à la manière du partenariat qu’AWS, Azure et GCP ont déjà conclu avec NetApp.
« Les fournisseurs d’infrastructures de stockage hybrides tels que HPE, IBM et Pure Storage, entre autres, offrent des écosystèmes matériels et logiciels efficaces pour mettre en œuvre des environnements de stockage plus résilients que les offres natives des hyperscalers. Ces fournisseurs pourraient proposer des accords de niveau de service (SLA) significatifs pour garantir la disponibilité et la sécurité du stockage en ligne, en référence au modèle de responsabilité partagée qui existe dans les offres de cloud », explique Jeff Vogel.
« Ces accords de niveau de service ne seraient toutefois qu’un début, car de nombreuses entreprises devraient adopter des cadres de sécurité, tels que le NIST et ses variantes, pour renforcer davantage l’infrastructure. Conserver des données saines que l’on peut restaurer en cas de problème n’est pas suffisant », ajoute-t-il.
