Helene - stock.adobe.com

Construire un système de prévention et détection d’intrusions pour le Cloud

Pouvoir prévenir les intrusions, et détecter celles qui surviennent malgré tout, sur les services Cloud que l’on utilise, est un élément essentiel de sa posture de sécurité.

La défense en profondeur consiste à créer un système de protection à multicouches au sein de son infrastructure. Chaque couche peut être couverte par différents contrôles de sécurité. Cela permet de construire un environnement plus sûr, sans laisser de zone d’ombre qu’un attaquant pourrait mettre à profit pour compromettre le réseau visé.

Un système de prévention et de détection d’intrusion (IPS/IDS) bien configuré et déployé de manière appropriée doit compter parmi les contrôles de sécurité en place. Ces produits opèrent en écoutant passivement le trafic réseau (IDS) ou l’interceptant (IPS) pour le comparer à des jeux de règles consistant en autant de signatures de trafic malicieux ou suspect. Un IDS peut alerter lorsqu’une correspondance est trouvée ; un IPS peut aussi bloquer le trafic dans ce cas.

Ecouter le trafic réseau est plus complexe dans un réseau en mode Cloud d’un tiers. Mais il existe plusieurs options pour rendre cela possible et, ainsi, appliquer des contrôles de prévention et de détection d’intrusion à un environnement Cloud.

Positionnement des équipements

Le succès d’un déploiement IDS/IPS tient essentiellement à deux choses : les jeux de règles utilisés, et le trafic réseau observé. Ce dernier doit être pertinent pour les règles déployées : pourquoi inspecter le trafic à la recherche d’une attaque WordPress connue si aucun service de ce type n’est déployé sur le périmètre considéré ? Cela signifie que le positionnement de l’équipement de surveillance est critique. Par exemple, faut-il surveiller l’ensemble de l’infrastructure connectée à Internet ou seulement un sous-réseau ?

Historiquement, un IDS/IPS a été fréquemment positionné tout juste derrière le pare-feu, avec un très large éventail de règles, tandis que plusieurs autres étaient installé entre différents segments du réseau local, avec là un jeu de règles très limité pour couvrir d’éventuelles opérations de déplacement latéral.

Un déploiement en Cloud hybride demandera aussi un positionnement correct des équipements pour couvrir tout le trafic pertinent, y compris les communications au sein de l’environnement Cloud.

Ce que proposent les fournisseurs de services Cloud

La plupart des grands fournisseurs de services Cloud, tels que Microsoft et Amazon, proposent leurs propres services de sécurité, en complément de leurs produits de plateforme Cloud. Cela recouvre souvent des services de prévention et de détection d’intrusion préconfigurés sous la forme d’appliances virtuelles. L’architecture réseau peut être très flexible. Surtout, ces services d’IDS/IPS sont adaptés à l’environnement Cloud et peuvent dès lors constituer une bonne option pour les entreprises.

Bien sûr, il est également possible d’aller plus avant dans l’externalisation avec des offres de gestion des informations et des événements de sécurité (SIEM) en mode service, ou en passant par un prestataire de services de sécurité managés (MSSP).

Mais si un produit plus traditionnel ou un contrôle plus étroit est nécessaire, il est également possible de disposer son propre équipement dans le Cloud public et de le contrôler via SSH, HTTPS, ou un système d’administration.

Les équipements administrés par le client

Dans un environnement Cloud hybride, les équipements IDS/IPS administrés par le client doivent toujours couvrir le trafic du réseau local ainsi que le trafic entre sites WAN non Cloud.

L’emplacement le plus critique, toutefois, est une passerelle entre les points de terminaison réseau locaux et Cloud. Cela permet d’inspecter tout le trafic local depuis et vers l’infrastructure Cloud. Ce qui couvre généralement des communications liées à de nombreux services critiques. Il est également recommandé d’inspecter le trafic entre segments du réseau local et sites WAN ou connectés par VPN, pour détecter et bloquer les tentatives de déplacement latéral d’un attaquant.

Enfin, le trafic Internet local est généralement routé vers l’extérieur directement, sans passer par un environnement Cloud. Dès lors, placer un IDS/IPS sur ce périmètre est essentiel.

Journaux et SIEM

Toutes les règles validées par le trafic réseau génèrent des événements de sécurité. Avec un réseau fortement utilisé, et des points d’entrée et de sortie tout aussi utilisés, un IDS/IPS génère beaucoup de données. Ces données doivent être stockées et utilisées pour alimenter un système d’analyse, tel qu’un SIEM.

Selon la topologie du réseau, le point de collecte et de stockage des données peut être interne ou en Cloud. Le choix de l’emplacement le plus efficace dépend de là où les performances sont les plus importantes et du modèle de tarification du fournisseur de la plateforme Cloud. Dans tous les cas, il est important de garder à l’esprit qu’envoyer ces données dans le Cloud ou les y récupérer sera fortement consommateur de bande passante.

Conclusion

Il n’est pas trop difficile de concevoir un IDS/IPS compatible à la fois avec l’environnement Cloud et le réseau interne. Mais des jeux de règles pertinents et un positionnement approprié des sondes sont essentiels.

Toutefois, l’une des premières décisions à prendre est la mesure dans laquelle le système devrait être externalisé auprès du fournisseur de services Cloud. C’est une question d’équilibre entre coûts et contraintes réglementaires. Mais ce processus n’est en rien différent de celui qui s’applique à tout autre service migré dans le Cloud. 

Pour approfondir sur Sécurité du Cloud, SASE