Skip to main content
Retour aux questions

Qu'est-ce que l'IaaS ?

L'infrastructure en tant que service (IaaS) fournit des ressources informatiques virtualisées, un réseau virtuel, un stockage virtuel et des machines virtuelles accessibles sur l'internet. Parmi les services d'infrastructure les plus populaires, citons Elastic Compute (EC2) d'Amazon, Google Compute Engine et Microsoft Azure. L'utilisation de l'IaaS augmente en raison du faible coût initial. Les organisations qui utilisent des services d'infrastructure n'ont pas besoin d'acheter ou d'entretenir du matériel. Cela rend l'IaaS attrayant pour les organisations de toutes tailles. L'IaaS est également plus évolutif et plus flexible que le matériel. L'infrastructure en nuage peut être étendue à la demande et réduite lorsqu'elle n'est plus nécessaire. Ce niveau d'évolutivité n'est pas possible avec du matériel sur site. Toutefois, l'IaaS peut être la cible de cyberattaques visant à détourner les ressources IaaS pour lancer des attaques par déni de service, exploiter des réseaux de zombies ou extraire des crypto-monnaies. Les ressources de stockage et les bases de données sont une cible fréquente pour l'exfiltration de données dans de nombreuses violations de données. En outre, les attaquants qui parviennent à s'infiltrer dans les services d'infrastructure d'une organisation peuvent ensuite utiliser ces comptes pour accéder à d'autres parties de l'architecture de l'entreprise.

Comment sécuriser l'IaaS

Les clients IaaS sont responsables de la sécurisation de leurs données, de l'accès des utilisateurs, des applications, des systèmes d'exploitation et du trafic sur le réseau virtuel. Les organisations commettent souvent les erreurs suivantes lorsqu'elles utilisent l'IaaS :

Données non chiffrées : Dans les environnements hybrides et multiclouds, les données circulent entre les ressources sur site et dans le nuage, et entre différentes applications dans le nuage. Le cryptage est essentiel pour protéger les données contre le vol ou l'accès non autorisé. Une organisation peut chiffrer les données sur site, avant qu'elles ne soient transférées dans le nuage, ou dans le nuage. Elle peut utiliser ses propres clés de chiffrement ou le chiffrement du fournisseur IaaS. Un service informatique peut également vouloir crypter les données en transit. De nombreuses réglementations gouvernementales et sectorielles exigent que les données sensibles soient cryptées à tout moment, qu'elles soient au repos ou en mouvement.

Erreurs de configuration : Une cause fréquente d'incidents liés à la sécurité de l'informatique en nuage est la mauvaise configuration des ressources de l'informatique en nuage. Les fournisseurs d'informatique en nuage peuvent proposer des outils pour sécuriser leurs ressources, mais le professionnel de l'informatique est responsable de l'utilisation correcte de ces outils. Voici quelques exemples d'erreurs courantes :

  • Ports entrants ou sortants mal configurés
  • L'authentification multifactorielle n'est pas activée
  • Cryptage des données désactivé
  • Accès au stockage ouvert à l'internet

Services fantômes : Les comptes "shadow" ou "rogue" sont les plus courants dans les solutions SaaS (Software-as-a-Service), mais ils peuvent également se produire dans les solutions IaaS. Lorsque les employés ont besoin de provisionner une application ou une ressource, ils peuvent utiliser un fournisseur de services en nuage sans en informer leur service informatique. Pour sécuriser les données de ces services, le service informatique doit d'abord identifier les services et les utilisateurs au moyen d'un audit. Pour ce faire, le service informatique peut utiliser un site cloud access security broker (CASB).

Services fantômes : Les comptes "shadow" ou "rogue" sont les plus courants dans les solutions SaaS (Software-as-a-Service), mais ils peuvent également se produire dans les solutions IaaS. Lorsque les employés ont besoin de provisionner une application ou une ressource, ils peuvent utiliser un fournisseur de services en nuage sans en informer leur service informatique. Pour sécuriser les données de ces services, le service informatique doit d'abord identifier les services et les utilisateurs au moyen d'un audit. Pour ce faire, le service informatique peut utiliser un site cloud access security broker (CASB).

Solutions pour la sécurité de l'IaaS

De nombreuses organisations utilisent des environnements multi-cloud, avec des services IaaS, PaaS et SaaS provenant de différents fournisseurs. Les environnements multi-cloud sont de plus en plus courants, mais ils peuvent aussi poser des problèmes de sécurité. Les solutions traditionnelles de sécurité d'entreprise ne sont pas conçues pour les services en nuage, qui se trouvent à l'extérieur du pare-feu de l'entreprise. Les services d'infrastructure virtuelle (comme les machines virtuelles, le stockage virtuel et les réseaux virtuels) nécessitent des solutions de sécurité spécialement conçues pour un environnement en nuage.

Quatre solutions importantes pour la sécurité de l'IaaS sont : les courtiers en sécurité d'accès au nuage, les plateformes de protection de la charge de travail du nuage, les plateformes de sécurité du réseau virtuel et la gestion de la posture de sécurité du nuage.

  • Cloud access security broker (CASB), alias passerelle de sécurité en nuage (CSG): Les CASB offrent une visibilité et un contrôle sur les ressources en nuage, y compris la surveillance de l'activité des utilisateurs, la surveillance de l'IaaS, la détection des logiciels malveillants en nuage, data loss prevention, et le cryptage. Ils peuvent s'intégrer aux pare-feu et aux API des plateformes en nuage, et surveiller les IaaS pour détecter les mauvaises configurations et les données non protégées dans le stockage en nuage. Les CASB assurent l'audit et la surveillance des paramètres et des configurations de sécurité, des autorisations d'accès aux fichiers et des comptes compromis. Un CASB peut également inclure la surveillance et la sécurité de la charge de travail.
  • Plateformes de protection des charges de travail dans le nuage (CWPP): Les CWPP découvrent les charges de travail et les conteneurs, appliquent une protection contre les logiciels malveillants et gèrent les instances de charge de travail et les conteneurs qui, s'ils ne sont pas gérés, peuvent permettre à un cybercriminel d'accéder à l'environnement IaaS.
  • Plateformes de sécurité des réseaux virtuels (VNSP): Les solutions VNSP analysent le trafic réseau circulant à la fois dans le sens nord-sud et est-ouest entre les instances virtuelles au sein des environnements IaaS. Elles incluent la détection et la prévention des intrusions dans le réseau afin de protéger les ressources virtuelles.
  • Gestion de la sécurité de l'informatique en nuage (CSPM) : Un gestionnaire de la posture de sécurité dans le nuage vérifie les environnements de nuage IaaS pour les problèmes de sécurité et de conformité, et fournit des mesures correctives manuelles ou automatisées. Les CASB ajoutent de plus en plus de fonctionnalités CSPM.

Considérations sur le fournisseur IaaS

Les fournisseurs IaaS sont responsables des contrôles qui protègent leurs serveurs et données sous-jacents. Les responsables informatiques peuvent évaluer les fournisseurs IaaS sur la base des caractéristiques suivantes :

  • Autorisations d'accès physique : Un fournisseur IaaS est responsable de la mise en œuvre de contrôles d'accès sécurisés aux installations physiques, aux systèmes informatiques et aux services en nuage.
  • Audits de conformité : Les responsables informatiques peuvent demander des preuves de conformité (audits et certifications) avec les réglementations pertinentes, telles que les lois sur la sécurité des informations de santé ou les exigences de confidentialité pour les données financières des consommateurs.
  • Outils de surveillance et de journalisation : Un fournisseur IaaS peut proposer des outils de surveillance, de journalisation et de gestion des ressources en nuage.
  • Spécifications et maintenance du matériel : Le matériel sur lequel reposent les services d'infrastructure en nuage a une incidence sur les performances de ces services. Une organisation informatique peut demander les spécifications matérielles du fournisseur, en particulier les dispositifs de sécurité tels que les pare-feu, la détection d'intrusion et le filtrage de contenu.

À mesure que les centres de données se déplacent vers le nuage, les responsables informatiques doivent élaborer des stratégies de sécurité IaaS et mettre en œuvre des technologies de sécurité du nuage pour protéger leur infrastructure essentielle. La sécurité dans le nuage de Skyhigh Security permet aux entreprises d'accélérer leur activité en leur donnant une visibilité et un contrôle total sur leurs données dans le nuage. Pour en savoir plus sur la technologie de sécurité dans le nuageSkyhigh Security .

Autres sujets

Introduction à la gestion de la sécurité des données (DSPM)

Qu'est-ce qu'une procuration ?

Tokenisation ou cryptage

Guide des bonnes pratiques en matière de sécurité de l'informatique dématérialisée, étape par étape

Qu'est-ce qu'une plateforme de protection des charges de travail dans le nuage (CWPP) ?

Questions relatives à la sécurité de l'informatique en nuage

Qu'est-ce que la sécurité des conteneurs ?

Qu'est-ce que l'isolation du navigateur ?
Découvrez l'avenir de la sécurité dans le cloud — 27 avril (Amérique du Nord) et 29 avril (Europe, Moyen-Orient et Afrique) Réservez votre place →