Under Attack?
Search
Menu
  • Blog
  • Cloud Security
  • Pourquoi les autorisations basées sur les rôles sont-elles si dangereuses pour votre environnement Cloud ?

Pourquoi les autorisations basées sur les rôles sont-elles si dangereuses pour votre environnement Cloud ?

By Eyal Araziseptembre 17, 2021

This post is also available in: Anglais Allemand Italien Portugais - du Brésil Espagnol Russe

L’un des principaux défis auxquels sont confrontées les entreprises qui utilisent le Cloud est le contrôle des autorisations excessives. L’utilisation du Cloud implique agilité et flexibilité. Le problème, toutefois, est que ces avantages ont souvent un revers sur le plan de la sécurité : une prolifération d’autorisations inutiles et excessives dans le Cloud.

Ce webinaire aborde la question des autorisations excessives dans le Cloud et comment les contrôler.

La migration vers le Cloud modifie votre périmètre de menaces

Le problème fondamental auquel sont confrontées les entreprises est le passage au Cloud qui modifie leur périmètre de menaces.

Autrefois, quand les centres de données physiques étaient sur site, les ressources réseau et les administrateurs se trouvaient au même endroit ou dans le même réseau. Dans ces environnements, ils étaient protégés contre les menaces physiques, et la protection était axée sur les défenses périmétriques (pare-feu, passerelle Web sécurisée, WAF, etc.) contre les menaces extérieures. Les administrateurs avaient un contrôle total sur leurs ressources et, dans le pire des cas, s’ils détectaient un problème, ils pouvaient se rendre sur les lieux de l’incident, déconnecter le serveur et isoler ainsi le problème.

Dans un Cloud public, les choses sont très différentes. Les charges de travail sont traitées à distance. Tous les accès se font via une connexion à distance, en utilisant les mécanismes et les API fournis par le fournisseur d’hébergement de Cloud public. Les administrateurs n’ont plus de contrôle physique sur leurs ressources, et tous les accès à celles-ci se font à distance. En revanche, les pirates, les acteurs malveillants et d’autres tiers non autorisés peuvent accéder à ces mêmes ressources en utilisant les mêmes protocoles, API et méthodes d’accès standardisés.

Par conséquent, la sécurité de votre charge de travail dépend directement des personnes qui y ont accès et de la nature de cet accès. Concrètement, cela signifie que vos autorisations = votre surface de menace.

La recherche de vitesse engendre des autorisations excessives

L’utilisation du Cloud implique agilité et flexibilité. La rapidité et le caractère pratique du Cloud permettent d’utiliser de nouvelles ressources, d’étendre les capacités de manière dynamique, de déployer de nouveaux codes et d’accélérer la mise sur le marché.

Plusieurs raisons expliquent pourquoi les autorisations excessives posent un tel problème dans le Cloud :

  1. Les exigences métier conditionnent l’activité dans le Cloud. La transformation numérique vise à accélérer la mise sur le marché, et le Cloud public permet d’y parvenir. Le Cloud, synonyme d’agilité et de flexibilité, est la clé de voûte de la transformation numérique. Le problème est que par souci d’efficacité, les responsables informatiques se concentrent souvent sur la rapidité et ne sécurisent pas correctement leurs environnements Cloud, laissant les charges de travail et les données des clients exposées à des violations.
  2. Souvent, les utilisateurs ne savent pas de quelles autorisations ils ont besoin. Ils savent ce qu’ils veulent faire, mais ne connaissent pas forcément toutes les petites étapes qui les mèneront à leur but. Pour cette raison, ils demandent beaucoup plus d’autorisations que ce dont ils ont besoin. Cela crée une situation dangereuse : les entreprises accordent des privilèges bien supérieurs à ce qui serait nécessaire, ce qui peut exposer les applications, les configurations des environnements et leurs défenses de sécurité.
  3. Les administrateurs Cloud ne veulent pas entraver les activités des entreprises. Ce penchant humain conduit à ce que des administrateurs accordent des autorisations à la va-vite.
  4. Accorder des autorisations dans le Cloud est facile. Ce problème est crucial car il explique pourquoi les autorisations peuvent être accordées si facilement dans le Cloud. Les opérations dans le Cloud sont souvent automatisées ou basées sur des scripts, qui privilégient la vitesse et la facilité d’utilisation. En conséquence, il est très facile d’accorder des autorisations, et les administrateurs ont tendance à le faire sans trop y réfléchir.

[Vous avez aimé cet article ?Abonnez-vous et recevez chaque semaine dans votre boîte de réception les derniers contenus Radware, ainsi qu’un accès exclusif aux contenus Radware Premium.]

Si les motifs exacts peuvent varier d’une entreprise à l’autre, ils conduisent tous au même résultat. De nombreuses autorisations sont accordées sans nécessité. Lorsque tant d’autorisations sont accordées, une partie d’entre elles peuvent être utilisées à mauvais escient, ce qui entraîne des violations à grande échelle. Parmi les principales causes d’exposition des données figure l’octroi de privilèges inutiles et non vérifiés, qui peuvent entraîner d’importantes failles de sécurité.

Le rôle des rôles dans les autorisations excessives

Les autorisations basées sur les rôles constituent un problème particulier. À la différence des autorisations classiques basées sur les utilisateurs et les groupes, généralement associées à des utilisateurs physiques (ou à des groupes d’utilisateurs), les autorisations basées sur les rôles sont plus souples et peuvent être attribuées de manière dynamique à un utilisateur, à des applications ou à des services. Selon les recherches menées par Radware, environ 80 % des autorisations excessives observées dans les environnements Cloud sont des autorisations basées sur les rôles.

À la différence des autorisations basées sur les utilisateurs, qui sont généralement associées à une seule personne, les autorisations basées sur les rôles sont destinées à être attribuées de manière ad hoc à toute personne (ou entité) qui en a besoin pour une session spécifique. Les autorisations basées sur les rôles des comptes Cloud permettent de déléguer les accès des utilisateurs et des services aux ressources Cloud auxquelles ils n’ont normalement pas accès.

Si elles offrent une grande souplesse, ces autorisations très flexibles posent également un problème de sécurité, car elles peuvent être utilisées par un large éventail de personnes et de services. La fluidité de ces rôles et la variété des cas d’utilisation pour lesquels elles sont utilisées conduisent fréquemment à une prolifération d’accès non nécessaires.

[Sur le même thème :Grâce à Radware, une entreprise verrouille son Cloud public]

Maîtriser les autorisations excessives

Radware a récemment organisé un webinaire en partenariat avec AWS pour expliquer le fonctionnement de la gestion des identités et des accès (IAM) dans le Cloud et sa protection contre les utilisations abusives accidentelles et malveillantes. Ce webinaire comprend un témoignage de Perion Network, l’un des clients de longue date de Radware, qui explique comment Radware les a aidés à fortifier leurs accès au Cloud et à renforcer leur posture de sécurité dans le Cloud.

Pour visionner le webinaire Radware/AWS, cliquez ici.

AWS and Radware Webinarhttps://www.radware.com/2021-aws-webinar?utm_source=Blog&utm_medium=Eyal+Blog+3+&utm_campaign=AWS+Radware+Blog

Posted in: Cloud Security Non classifié(e)Tags:

Eyal Arazi

Eyal is a Product Marketing Manager in Radware’s security group, responsible for the company’s line of cloud security products, including Cloud WAF, Cloud DDoS, and Cloud Workload Protection Service. Eyal has extensive background in security, having served in the Israel Defense Force (IDF) at an elite technological unit. Prior to joining Radware, Eyal worked in Product Management and Marketing roles at a number of companies in the enterprise computing and security space, both on the small scale startup side, as well as large-scale corporate end, affording him a wide view of the industry. Eyal holds a BA in Management from the Interdisciplinary Center (IDC) Herzliya and a MBA from the UCLA Anderson School of Management.

Contact Radware Sales

Our experts will answer your questions, assess your needs, and help you understand which products are best for your business.

Contact Us Now

Already a Customer?

We’re ready to help, whether you need support, additional services, or answers to your questions about our products and solutions.

Locations
Get Answers Now from KnowledgeBase
Get Free Online Product Training
Engage with Radware Technical Support
Join the Radware Customer Program

CyberPedia

An Online Encyclopedia Of Cyberattack and Cybersecurity Terms

CyberPedia
What is WAF?
What is DDoS?
Bot Detection
ARP Spoofing

Get Social

Connect with experts and join the conversation about Radware technologies.

Blog
Security Research Center
Close

What are you looking for?