Étant donné que les ressources essentielles à la mission sont hébergées dans le cloud, la sécurité de ces ressources est très importante, peu importe où elles sont hébergées.
Puisque l'architecture du cloud est différente des réseaux traditionnels; les entreprises doivent développer une expertise en matière de sécurité cloud pour les plateformes cloud respectives et les technologies de sécurité qui les entourent.
L'opportunité que présente le cloud présente également des défis.
Alors que le nombre de menaces à la sécurité et de violations de données augmente, il est très difficile pour tout être humain de gérer le volume des risques et également en raison du manque de compétences.
La violation de Capital One, un client d'Amazon Web Services (AWS), a révélé des informations personnelles telles que les données de transaction, les cotes de crédit, l'historique des paiements, les soldes et, pour certains comptes bancaires liés, les numéros de sécurité sociale de 106 millions de personnes aux États-Unis et au Canada. .
Selon Mandiant Incident Response de FireEye, la plupart des intrusions AWS rencontrées ont commencé avec des informations d'identification compromises, généralement sous la forme d'une clé d'accès AWS ou d'un mot de passe utilisateur de gestion des identités et des accès.
Une clé d'accès AWS se compose d'un identifiant public unique et d'une clé privée (secrète) correspondante, qui est respectivement analogue à un nom d'utilisateur et à un mot de passe. Utilisés ensemble, un utilisateur peut effectuer une demande d'interface de programme d'application (API) sur des services AWS ou accéder à l'environnement AWS via l'interface de ligne de commande (CLI) AWS.
La CLI permet à un utilisateur de modifier et de gérer les ressources. Étant donné que les clés sont conçues pour permettre aux applications d'accéder à un environnement AWS, les organisations n'appliquent généralement pas l'authentification multifacteur.
Dans un cas Mandiant Incident Response, les clés d'accès AWS ont été compromises à partir d'un référentiel GitHub et utilisées pour accéder à l'environnement AWS de la victime.
«Si Capital One était dans l'infrastructure cloud d'Oracle Gen 2, la violation ne se serait pas produite. D'un point de vue Oracle, nous éliminons la grande majorité de ce risque avec le déploiement de capacités autonomes de notre base de données », a déclaré Steve Daheb, vice-président directeur du cloud et de la PaaS chez Oracle. TechRadar Pro Middle East dans une interview exclusive.
Une base de données autonome est une base de données cloud qui élimine la complexité, les erreurs humaines et la gestion manuelle associées au réglage, à la sécurité, aux sauvegardes et aux mises à jour de la base de données; tâches traditionnellement effectuées par les administrateurs de base de données.
Daheb a déclaré que la plupart des fournisseurs de cloud font partie de la «technologie cloud de première génération» tandis qu'Oracle a pris une longueur d'avance dans la technologie et l'architecture cloud de deuxième génération.
Ce qui différencie Oracle d'AWS et d'autres, a-t-il dit, c'est qu'il corrige, gère et élimine automatiquement les erreurs humaines.
Selon Gartner, jusqu'en 2023, au moins 99% des échecs de sécurité dans le cloud seront la faute du client.
"Nous pensons que c'est le rôle du fournisseur de technologie de faire le travail d'intégration, que ce soit par le biais de l'automatisation ou des services et du support", a déclaré Daheb.
Sommaire
Avantages du cloud Gen 2
Les principales différences entre le cloud de génération 1 et de génération 2 sont que le cloud de génération 1 place le code utilisateur et les données sur le même ordinateur que le code de contrôle du cloud avec CPU, mémoire et stockage partagés, de sorte que les fournisseurs de cloud peuvent voir les données de l'utilisateur pendant la génération 2 Le cloud place le code client, les données et les ressources sur un ordinateur nu, tandis que le code de contrôle du cloud réside sur un ordinateur séparé avec une architecture différente.
«Nous avons conçu notre cloud Gen 2 pour isoler les charges de travail et les opérations autonomes.
L'isolement de la charge de travail signifie que vous avez des ordinateurs distincts qui contrôlent les données utilisateur et un ensemble complètement distinct d'ordinateurs de contrôle qui effectue le traitement, ce qui signifie qu'Oracle ne peut pas voir les données des utilisateurs et qu'aucun utilisateur ne peut accéder aux données de contrôle. Il n'y aura donc pas de voisins bruyants », a-t-il déclaré.
De plus, il a déclaré que de nombreuses violations se sont produites car le système n'a pas été corrigé avec les dernières mises à jour.
«Nous avons déployé l'apprentissage automatique qui peut détecter et répondre automatiquement aux menaces potentielles. L'infrastructure AWS a été architecturée il y a longtemps et nous avons pu adopter une nouvelle approche à cet égard. Par rapport à AWS, nous avons les performances et l'évolutivité les plus élevées [scaling up or down without rebooting the system] et la sécurité.
Tout chiffré par défaut
«En matière de sécurité, d'évolutivité ou de performances, nous gagnons. Nous sommes plus de 50% moins chers que les autres fournisseurs de cloud. Nous n'autorisons jamais la sursouscription. Nous sommes la seule entreprise à proposer des accords de niveau de service sur les performances de mise en réseau [SLAs] et bloquer les SLA de performance de stockage », a déclaré Daheb.
Rajpreet Kaur, analyste principal chez Gartner, a déclaré que la sécurité est toujours une responsabilité partagée.
«Seule une partie de l'infrastructure est gérée par le cloud. La décision sur la façon de rendre les données / applications / actifs hébergés sur le cloud est la décision et la responsabilité du client », a-t-elle déclaré.
Daheb a également fait écho sur le même ton que la sécurité est une responsabilité partagée et basée sur des accords de niveau de service.
«Il y a des choses que les clients doivent gérer et d'autres que nous pouvons combler et, en même temps, nous proposons également des services gérés qui peuvent également prendre en charge les défauts des clients. Nous avons expédié tout ce qui est crypté par défaut par rapport aux autres. Le but de l'autonomie est de réduire les erreurs humaines et c'est ce que les autres fournisseurs de cloud ne proposent pas aujourd'hui », a-t-il déclaré.
Les concurrents d'Oracle offrent la possibilité d'automatiser la mise à l'échelle et les sauvegardes, mais Oracle propose une base de données intelligente et autogérée en éliminant l'accès administratif humain grâce à la puissance de l'intelligence artificielle et de l'apprentissage automatique dans le but d'apporter un degré élevé d'automatisation à l'administration courante. Tâches.
Actuellement, pour faire des correctifs, Daheb a déclaré que les clients doivent supprimer les applications, puis la base de données et après avoir corrigé, ils doivent redémarrer le système d'exploitation, redémarrer la base de données et les applications.
«D'un point de vue pratique, une entreprise doit embaucher un chef de projet. Il doit contacter les gens des applications s'ils accepteront le ralentissement, puis il doit parler aux gens de la base de données », a-t-il déclaré.
Ainsi, le calendrier complet des correctifs par une entreprise individuelle est vraiment coûteux. Ainsi, l'entreprise est exposée pendant quelques mois, a-t-il déclaré.
Oracle a une adresse IP qui lui permet de patcher le système d'exploitation en huit microsecondes sans arrêter le système.
Patcher sans temps d'arrêt
«Il est vraiment important de faire des correctifs sans temps d'arrêt. Oracle le fait pour le client et non comme un module complémentaire. En matière de sécurité, Oracle a une approche différente », a déclaré Daheb.
Lors de la sélection d'un fournisseur de cloud, Daheb a déclaré que les clients devaient examiner la structure de la configuration du cloud, les performances, le processus de sécurité, l'isolement, comment automatiser le traitement de base et les directives des SLA.
Kaur a déclaré que l'adoption du cloud nécessite de prendre plusieurs décisions en cours de route qui doivent être réglementées par des principes et des politiques préalablement convenus.
«De telles décisions incluent, quelles applications sont de bons candidats pour les environnements de cloud public, quel fournisseur (ou fournisseurs) de cloud à utiliser, quelles stratégies de migration pour les charges de travail existantes ou quels environnements privilégier pour les nouveaux projets», a-t-elle déclaré.
L'utilisation efficace des services de cloud public nécessite la coopération de plusieurs spécialistes de l'entreprise; Elle a déclaré et ajouté qu'il incombait à l'équipe de sécurité de travailler avec les domaines de la conformité, de la confidentialité et des autres risques associés pour développer le processus d'approbation organisationnelle de ce modèle informatique de plus en plus omniprésent.
«Une approche de triage des risques qui dimensionne correctement l'effort d'évaluation ne peut réussir qu'avec le soutien des dirigeants et une politique convenue. L'alternative est l'attente irréaliste que l'équipe de sécurité déploiera toujours un niveau d'effort exhaustif et fournira des réponses incroyablement précises », a-t-elle déclaré.
En outre, elle a déclaré que les entreprises devraient d'abord se concentrer sur l'activation des contrôles de sécurité cloud natifs et sélectionner des technologies de sécurité cloud telles que le courtier de sécurité d'accès cloud (CASB), la gestion de la posture de sécurité cloud (CSPM) et / ou le fournisseur de plateformes de protection de la charge de travail cloud (CWPP) qui couvre les déploiements cloud hybrides ou toutes les lacunes de sécurité restantes que les outils de sécurité cloud natifs ne couvrent pas.
Selon KuppingerCole Analysts AG, Oracle a été nommé leader mondial de la sécurité des bases de données et des mégadonnées en 2019.
C'est pourquoi la base de données et l'infrastructure cloud d'Oracle sont bien protégées et cryptées, a déclaré Daheb.
