Les entreprises migrent vers la technologie cloud en raison des nombreux avantages qu'elle offre par rapport aux méthodes traditionnelles d'hébergement et de déploiement d'applications. Parmi ceux-ci, on peut citer une meilleure évolutivité, une meilleure rentabilité, etc. Alibaba est l'un de ces fournisseurs de cloud largement utilisés à travers le monde par diverses entreprises pour déployer des applications et stocker des données. Alibaba détient une part de marché importante dans le domaine de l'IaaS (Infrastructure-as-a-Service), qui est assez élevée.
Cependant, un grand pouvoir implique de grandes responsabilités. En décembre 2021, Alibaba Cloud a subi une importante faille de sécurité. Un pirate informatique a affirmé avoir volé les données de plus de 1,1 milliard de citoyens chinois dans la base de données de la police nationale de Shanghai, hébergée sur Alibaba Cloud. Cet incident a mis en évidence des vulnérabilités critiques dans la manière dont certaines organisations configurent et sécurisent leurs données sur les plateformes cloud. La faille n'était pas due à un défaut de l'infrastructure d'Alibaba Cloud, mais plutôt à une mauvaise configuration de la base de données qui l'a exposée à l'internet public sans authentification appropriée.lt;/p>
Alibaba Cloud traitant des données sensibles, il est essentiel de les sécuriser pour empêcher les acteurs malveillants d'accéder aux données internes de l'entreprise. Dans cet article, nous aborderons les services et outils de sécurité d'Alibaba Cloud. Nous discuterons des meilleures pratiques pour renforcer la sécurité d'Alibaba Cloud et fournirons des mesures pour résoudre les vulnérabilités courantes. Ce blog vous aidera à mieux comprendre la sécurité d'Alibaba Cloud et comment protéger efficacement vos actifs.
Comprendre Alibaba Cloud
Alibaba Cloud est un fournisseur de services cloud similaire à AWS et GCP, largement utilisé dans la région asiatique. Alibaba Cloud propose plusieurs outils et services pour aider les entreprises à se développer et à mettre en œuvre leurs solutions. Parmi les services proposés par Alibaba Cloud, on trouve notamment l'informatique, le stockage, la mise en réseau, l'IAM, etc.
Avec l'essor des conteneurs et de Kubernetes pour les déploiements, il est important de les sécuriser également. Alibaba propose divers services tels qu'Alibaba Cloud Kubernetes et Elastic Container Instance pour aider les entreprises à sécuriser les conteneurs et les environnements K8s. Mais ce n'est pas tout : Alibaba propose également des outils pour les technologies modernes telles que l'IA (intelligence artificielle) et le ML (apprentissage automatique).l'IA (intelligence artificielle) et le ML (apprentissage automatique).
Les clients d'Alibaba Cloud sont confrontés à des défis uniques en matière de sécurisation de leurs données et applications. Parmi ceux-ci, on peut citer :
- Les entreprises opérant en Chine doivent faire face à des exigences réglementaires complexes, telles que la loi sur la cybersécurité et la loi sur la sécurité des données.
- Les utilisateurs d'Alibaba Cloud peuvent être confrontés à des restrictions lorsqu'ils transfèrent des données hors de Chine continentale, ce qui a un impact sur leurs opérations internationales.
- Par rapport aux fournisseurs de cloud occidentaux, Alibaba Cloud peut offrir moins d'options d'intégration avec les outils et services de sécurité courants.
Afin de renforcer la confiance des utilisateurs dans la sécurité de son cloud, Alibaba a obtenu plusieurs certifications de sécurité à travers le monde. Pour n'en citer que quelques-unes, Alibaba est certifié conforme à la norme PCI-DSS (Payment Card Industry Data Security Standard) et à la norme MTCS (Multi-Tier Cloud Security) de Singapour, niveau 3.
Principales fonctionnalités de sécurité d'Alibaba Cloud
Alibaba Cloud offre à ses utilisateurs de multiples fonctionnalités pour sécuriser leurs données. En voici quelques-unes :
1. Gestion des identités et des accès
Alibaba Cloud fournit un système de gestion centralisé permettant à l'administrateur de gérer ses clients et leurs autorisations respectives. IAM aide les administrateurs à créer des politiques pour définir de nouveaux rôles ou modifier des rôles existants et gérer le niveau d'accès chaque fois qu'un nouvel utilisateur est ajouté.
Ces politiques d'accès permettent de restreindre l'accès des utilisateurs aux ressources, ce qui protège les organisations contre les accès non autorisés et les violations de données. Pour ajouter un niveau de sécurité supplémentaire, l'authentification multifactorielle (MFA) doit être appliquée à l'ensemble du système. Elle agit comme un deuxième niveau de défense et permet d'éviter les attaques par force brute.
2. Chiffrement des données
La transmission sécurisée a toujours été un élément important de la sécurité du cloud. Les informations sensibles sont cryptées à l'aide des services fournis par Alibaba Cloud. Les données sont ensuite stockées dans des bases de données et des services de stockage au repos, ce qui implique de les sécuriser de manière à ce qu'aucun utilisateur non autorisé ne puisse y accéder.
Les données sont cryptées à l'aide d'algorithmes de cryptage puissants tels que AES ou 3DES, de sorte que si quelqu'un venait à accéder au stockage physique et à consulter les données qui s'y trouvent, la seule chose qu'il pourrait voir serait un charabia aléatoire, qui est en fait crypté. tels que AES ou 3DES, de sorte que si quelqu'un venait à pénétrer dans le stockage physique et à consulter les données qui s'y trouvent, la seule chose qu'il pourrait voir serait un charabia aléatoire, qui est en fait des données cryptées.
D'autre part, les données sur les réseaux sont souvent transmises à l'aide de protocoles sécurisés impliquant HTTPS et TLS, et la configuration activée sur Alibaba Cloud garantit que les données sont également cryptées pendant leur transit ou leur transfert.
3. Service de gestion des clés (KMS)
Alibaba Cloud fournit un service de gestion des clés (KMS) pour stocker des secrets tels que des clés de chiffrement et les gérer de manière centralisée dans le cloud. Les utilisateurs peuvent créer, importer et gérer des clés à l'aide du KMS.
Grâce au KMS, les entreprises peuvent également définir des contrôles d'accès pour déterminer comment les utilisateurs sont autorisés à utiliser la clé. Il offre également la possibilité de conserver des journaux afin que vous puissiez voir qui utilise la clé et à quelles fins.
4. Certificats SSL/TLS
Les certificats SSL/TLS sont émis par Alibaba Cloud afin d'assurer la sécurité des connexions entre les clients et les serveurs. Ces certificats sont utilisés pour sécuriser la connexion sur Internet, ce qui crée un canal crypté lors de l'échange de données. De nos jours, les organisations continuent de protéger les données transmises à l'aide du protocole SSL/TLS en cryptant les données transmises entre les utilisateurs et l'application afin d'empêcher leur interception ou leur altération.
5. Sécurité réseau
Alibaba Cloud offre une sécurité réseau qui utilise des nuages privés virtuels (VPC). Les VPC fonctionnent de manière à permettre à l'utilisateur de créer un réseau isolé au sein du cloud. Le VPC est isolé du reste du cloud. Cela facilite la gestion des ressources et le contrôle du flux de trafic lorsque ces ressources sont isolées.
Outre la création de VPC, Alibaba Cloud aide également à la mise en place de groupes de sécurité. Ces groupes de sécurité sont des pare-feu virtuels définis avec des règles attribuées à un groupe de ressources donné. Ils facilitent le contrôle du trafic réseau entrant et sortant.
6. Protection anti-DDoS
La protection anti-déni de service distribué est une fonctionnalité importante fournie par Alibaba Cloud, car les attaques DDoS constituent l'une des principales menaces pour les serveurs et l'infrastructure informatique dans son ensemble. Son objectif est de protéger le système contre les demandes de données à grande échelle provenant de multiples sources.
Ces attaques sont lancées et exécutées dans le but de menacer l'entreprise, de fermer ses serveurs et de rendre le système plus vulnérable aux violations de données. Les mesures anti-DoS disponibles chez Alibaba fonctionnent grâce au nettoyage du trafic et à sa réaffectation à différents flux de trafic, ainsi qu'à l'identification en temps réel des problèmes potentiels, ce qui permet de maintenir le modèle de flux et de protéger le système contre les menaces.
Outils et services de sécurité pour Alibaba Cloud Security
Les organisations ont besoin d'outils de sécurité pour se protéger contre les menaces et les vulnérabilités. Voici quelques-uns des outils et services de sécurité fournis par Alibaba Cloud :
#1. Alibaba Cloud Security Center
Pour la détection des menaces, l'évaluation des vulnérabilités et la gestion de la conformité, Alibaba propose une gestion centralisée de la sécurité appelée Alibaba Cloud Security Center. Elle présente certaines fonctionnalités clés, telles que :
- Gestion des actifs : Il détecte et gère automatiquement tous les actifs cloud, y compris les instances ECS, les bases de données RDS et les équilibreurs de charge SLB. Par exemple, il gère les instances ECS, les bases de données RDS et les équilibreurs de charge SLB et affiche le total des actifs sur un tableau de bord central. Il suit également les changements et les configurations des actifs en temps réel.
- Détection des menaces : Alibaba Cloud Security Center utilise l'apprentissage automatique et l'analyse des mégadonnées pour détecter les menaces de sécurité potentielles. Il identifie les tentatives de connexion inhabituelles, les processus suspects et les communications réseau anormales.
- Gestion des vulnérabilités : Alibaba Cloud Security Center utilise des plugins de sécurité pour analyser périodiquement les problèmes logiciels, les problèmes de configuration et les listes de règles obsolètes. Il prend en charge l'analyse sans agent et basée sur un agent et fournit des solutions pour résoudre les problèmes détectés.
- Évaluation de la conformité : Alibaba Cloud Security Center affiche l'état actuel de la conformité à l'aide de contrôles de conformité préconfigurés. Il propose des contrôles de conformité pour CIS, PCI DSS et ISO 27001, ainsi que des contrôles de conformité personnalisables. Il génère également des rapports de conformité pour les audits.
- Analyse des journaux : Il collecte et analyse les journaux provenant de divers services cloud tels que ECS, SLB, RDS et des services de sécurité tels que DDoS, Cloud Firewall et Cloud Monitor. Il fournit une interface web pour la recherche de journaux et affiche les événements de sécurité sur un tableau de bord unique. Il est également possible de stocker les journaux pour une analyse plus approfondie.
#2. Pare-feu d'application Web (WAF)
Alibaba Cloud propose WAF comme service de sécurité pour protéger les applications Web contre diverses attaques basées sur le Web. Voici quelques-unes de ses principales fonctionnalités :
- Protection HTTP(S) : Il assure l'inspection du trafic HTTP et HTTPS. Il inclut le déchargement TLS/SSL afin de réduire la charge de traitement HTTP sur les serveurs backend, avec la possibilité de prendre en charge le téléchargement et l'utilisation de certificats SSL personnalisés.
- Protection contre les attaques Web : Elle protège l'application contre les 10 principales vulnérabilités OWASP, telles que l'injection SQL, XSS et CSRF. Ce service utilise l'apprentissage automatique pour protéger les applications contre les exploits zero-day et prend en charge des ensembles de règles personnalisés pour une protection sur mesure.
- Gestion des bots : Alibaba Cloud WAF identifie et bloque le trafic des bots. Il prend en charge les bons bots et utilise des défis pour aider à gérer le trafic, tels que les défis CAPTCHA et JavaScript.
- Contrôle d'accès : Alibaba Cloud WAF permet de créer des listes de contrôle d'accès pour mettre en liste noire ou en liste blanche des adresses IP.
- Prévention des fuites de données : Il comprend également des algorithmes de limitation de débit pour empêcher les attaques par force brute. Alibaba Cloud WAF peut également analyser les modèles de trafic sortant afin de protéger les données confidentielles et créer des règles pour détecter ces données.
#3. Service anti-bot
Le service Anti-Bot d'Alibaba Cloud est une solution dédiée à l'identification et à l'élimination du trafic malveillant des bots contre les applications web, les API mobiles et les applications. Voici quelques-unes des principales fonctionnalités du service :
- Identification des bots : L'identification des bots s'effectue à l'aide de plusieurs algorithmes capables de distinguer le trafic humain, les bots légitimes et les bots malveillants.
- Modes de protection : Le service propose un mode d'observation pour la surveillance et la journalisation du trafic, un mode de prévention pour la gestion active du trafic de bots identifié et un mode personnalisé pour la gestion personnalisée des bots.
- Protection intelligente : Il traite les modèles de trafic à partir de données plus anciennes et les utilise pour déterminer les pics de trafic, puis prend des mesures en conséquence.
- Protection de la couche application : Il protège contre le web scraping, qui peut conduire au vol de contenu. Elle aide également à éviter la fraude au clic et la fraude publicitaire dans les applications web.
- Protection des API : Elle prend en charge OAuth et les schémas d'authentification personnalisés et empêche l'utilisation abusive des API et l'accès non autorisé aux données.
Comprendre la conformité et la gouvernance
La conformité et la gouvernance sont des éléments importants de l'architecture cloud. Alibaba renforce la confiance de ses clients en respectant des normes telles que la norme PCI-DSS (Payment Card Industry Data Security Standard), le RGPD (Règlement général sur la protection des données), la norme ISO/IEC 27001 et bien d'autres encore.
Alibaba Cloud dispose de certifications telles que PCI-DSS. Cela démontre l'engagement d'Alibaba à respecter les normes de sécurité mondiales. Parmi les principaux défis en matière de conformité et de gouvernance pour les utilisateurs d'Alibaba Cloud, on peut citer :
- Tout d'abord, les exigences en matière de localisation des données. De nombreux pays ont des exigences strictes concernant le lieu de stockage des données.
- Les entreprises opérant dans des secteurs tels que la santé (HIPAA) et la finance (RGPD, PSD2) sont soumises à des exigences strictes en matière de protection des données.
- Les pistes d'audit et la responsabilité constituent un autre défi majeur. Les organisations doivent suivre et rendre compte de l'accès aux données et de leur utilisation.
Alibaba Cloud Security répond à ces problèmes de plusieurs manières :
- Alibaba Cloud propose des fonctionnalités d'audit et de reporting. Cela aide les organisations à conserver des journaux détaillés de toutes les activités qui se déroulent dans leur environnement cloud.
- Alibaba Cloud fournit à ses clients une documentation appropriée sur les exigences de conformité pour différentes régions et en fonction des besoins des clients.
- Les utilisateurs peuvent choisir l'emplacement spécifique des centres de données pour leurs ressources afin de garantir la conformité avec les lois sur la localisation des données.
Réponse et gestion des incidents
Afin de maintenir la sécurité du cloud, Alibaba Cloud utilise des plans de réponse et de gestion des incidents. Une stratégie de réponse aux incidents est nécessaire pour que les organisations puissent traiter les incidents de sécurité et les résoudre le plus rapidement possible.
Les organisations élaborent souvent un plan de réponse aux incidents (IRP) qui décrit les procédures, les rôles et les responsabilités, afin de s'assurer que tous les membres de l'équipe comprennent leurs tâches en cas d'incident. L'IRP (plan de réponse aux incidents) sert de feuille de route à l'équipe de réponse aux incidents, lui permettant d'agir rapidement et efficacement en cas de violation de la sécurité.
Alibaba Cloud propose plusieurs outils pour aider les entreprises à gérer la réponse aux incidents. En voici quelques-uns :
- Security Center : La plateforme assure la détection des menaces en temps réel, l'évaluation des vulnérabilités et la gestion centralisée des politiques de sécurité.
- ActionTrail : Semblable à AWS CloudTrail, ActionTrail fournit des journaux détaillés de tous les appels API effectués vers les services Alibaba Cloud. Ces données sont utilisées à des fins d'analyse lors de la réponse aux incidents.
- Alibaba propose une plateforme Simple Log Service pour collecter, traiter et analyser les journaux provenant de diverses sources. Cet outil facilite la détection et l'investigation en cas d'incidents de sécurité.
Guide du marché du CNAPP
Obtenez des informations clés sur l'état du marché CNAPP dans ce Gartner Market Guide for Cloud-Native Application Protection Platforms.
Lire le guideMeilleures pratiques pour sécuriser l'environnement Alibaba Cloud
Voici quelques-unes des meilleures pratiques à suivre pour sécuriser l'environnement Alibaba Cloud :
N° 1. Évaluations et audits de sécurité réguliers
Il est important de mener régulièrement des évaluations et des audits de sécurité, car ils permettent de mesurer le niveau de sécurité. Les évaluations et les audits de sécurité permettent d'évaluer les mesures de sécurité en place et de déterminer les éventuelles erreurs de configuration dans le cloud d'une organisation. Ils contribuent à garantir la conformité aux normes et réglementations du secteur et à valider les performances des contrôles de sécurité existants.
#2. Mise en œuvre des principes du moindre privilège
Il s'agit d'une exigence fondamentale pour sécuriser un cloud, car elle minimise les risques. Cette approche réduit les niveaux d'attaque de sécurité d'une organisation en garantissant que chaque utilisateur dispose des informations dont il a besoin pour accéder aux données pertinentes et accomplir ses tâches.
#3. Formation à la sensibilisation à la sécurité pour les ingénieurs cloud
Il est essentiel de mettre en place un programme visant à former les ingénieurs aux différentes menaces et à la manière de les identifier. La formation doit s'accompagner de divers supports pédagogiques et d'exercices reproduisant des scénarios d'attaques réels. Deuxièmement, des simulations de tentatives de phishing doivent être menées par des membres expérimentés de l'équipe de sécurité.
De plus, il est important de modifier périodiquement le programme de formation afin de garantir que les informations partagées sont à jour et efficaces. De plus, discuter des incidents signalés avec les employés de l'entreprise permet de minimiser les dommages supplémentaires.
Alibaba Cloud propose également un programme de certification en sécurité cloudCloud Security Certification afin de sensibiliser les utilisateurs. Ce programme propose des certifications basées sur les rôles pour les professionnels de la sécurité du cloud.
Pour les entreprises qui utilisent intensivement les fournisseurs de cloud, les programmes de formation à la sécurité doivent inclure :
- Les risques de sécurité spécifiques au cloud, ainsi que la manière de réagir en cas d'incident
- Des laboratoires pratiques pour une configuration sécurisée des services Alibaba Cloud afin d'une meilleure compréhension
- Modules de formation spécifiques à chaque rôle (par exemple, pour les développeurs, les administrateurs système, etc.)
Intégration et automatisation de la sécurité
L'intégration et l'automatisation de la sécurité sont des activités essentielles qui doivent être mises en œuvre dans un environnement utilisant Alibaba Cloud. Ces processus sont importants car ils permettent d'améliorer la sécurité globale de l'entreprise. Cela se fait à l'aide d'outils spécialisés et améliore les temps de réponse aux incidents grâce à des alertes et des actions automatisées.
-
Automatisation des tâches de sécurité avec Alibaba Cloud
L'automatisation des tâches de sécurité sur Alibaba Cloud peut considérablement améliorer l'efficacité opérationnelle et réduire la charge de travail des équipes de sécurité. ActionTrail d'Alibaba est utilisé pour créer une piste qui enregistre l'activité des utilisateurs et les appels API. Parfois, l'ensemble du processus peut s'avérer un peu difficile et prendre beaucoup de temps. Il est donc recommandé de créer et d'automatiser l'envoi d'une alerte dans des cas tels que l'inexistence préalable de l'utilisateur ou de l'API, ou si d'autres actions sont suspectées de comportement inapproprié.
-
Intégration avec des outils de sécurité tiers
Afin de mettre en place un cadre de sécurité plus efficace, les organisations peuvent envisager d'intégrer Alibaba Cloud à des outils de sécurité tiers. En général, pour renforcer leurs mesures de sécurité, les entreprises utilisent divers outils, notamment des systèmes de gestion des informations et des événements de sécurité, des systèmes de détection d'intrusion et des outils de gestion des vulnérabilités. La connectivité entre les solutions Alibaba Cloud et les outils de sécurité tiers peut être assurée par des API." target="_blank" rel="noopener">gestion des vulnérabilités. La connectivité entre les solutions Alibaba Cloud et les outils de sécurité tiers peut être assurée par des API et des webhooks, permettant un partage des données en temps réel.
-
Avantages de l'intégration et de l'automatisation des processus de sécurité
Les principaux avantages de l'intégration et de l'automatisation des processus de sécurité comprennent l'amélioration de l'efficacité des mesures, une détection plus efficace des menaces et une réduction des coûts d'exploitation. Le principal avantage est qu'avec l'utilisation de workflows automatisés, les équipes de sécurité n'ont plus qu'à interagir avec les mesures de manière stratégique.
Conclusion
Alibaba Cloud contribue à accroître l'efficacité des opérations commerciales grâce à ses multiples fonctionnalités, telles que la gestion des identités et des accès, les techniques de cryptage, la protection anti-DDoS, et bien d'autres encore. Toutes ces fonctionnalités, combinées aux efforts d'Alibaba pour maintenir la conformité, aident l'organisation à mettre en place une défense solide pour ses actifs. Il réduit le risque d'erreur humaine en permettant l'intégration et l'automatisation de son processus de sécurité pour l'infrastructure de l'entreprise.
Si une entreprise automatise ses tâches quotidiennes, elle peut utiliser le temps et les ressources ainsi économisés pour d'autres tâches. Ces tâches peuvent inclure l'analyse des menaces, la réponse aux incidents, etc. Pour que l'organisation tire pleinement parti des fonctionnalités de sécurité d'Alibaba, les entreprises doivent mettre en œuvre les meilleures pratiques, telles que des évaluations de sécurité régulières et l'application des principes du moindre privilège.
Alibaba offre une intégration fluide des outils tiers à ses services, ce qui aide les organisations à avoir une vision plus large de leur situation en matière de sécurité. L'intégration des outils et des services facilite le partage des données en temps réel, ce qui permet d'identifier et de résoudre plus rapidement les menaces potentielles. Cette intégration offre bien plus que la sécurité. Elle aide également l'organisation à se conformer aux normes et s'assure qu'elle est prête à faire face à toute menace qui pourrait se présenter.
Pour améliorer encore la sécurité d'Alibaba Cloud, les organisations doivent mettre en œuvre les solutions de sécurité avancées de SentinelOne’s. La plateforme offre des fonctionnalités de détection des menaces, de réponse automatisée et d'intégration transparente avec les services Alibaba Cloud.
"FAQs
Oui, Alibaba Cloud est considéré comme sécurisé. Il offre d'excellentes fonctionnalités de sécurité et est conforme à toute une série de normes de sécurité internationales. Cependant, comme toute plateforme cloud, sa sécurité dépend des ressources dont vous disposez, ainsi que de la manière dont vous configurez et gérez votre configuration. Pour garantir la sécurité des données stockées dans Alibaba, les entreprises doivent investir du temps et des ressources afin de s'assurer qu'elles ne négligent pas les erreurs de configuration de base en matière de sécurité.
Cela dépend de vos besoins. Alibaba Cloud est souvent plus abordable et plus présent en Asie. Cependant, en tant que plus grand fournisseur mondial de services cloud, AWS détient une plus grande part de marché mondial et offre une meilleure disponibilité de ses services. En termes de sécurité, il convient de noter que les deux offrent des fonctionnalités de sécurité robustes. Votre choix dépendra donc entièrement de vos besoins spécifiques, de votre budget et de considérations régionales. Alibaba Cloud fonctionne mieux en Chine et dans certaines régions d'Asie du Sud-Est. Alibaba Cloud offre une latence plus faible et une meilleure conformité avec les réglementations locales.
Alibaba Cloud propose à la fois des configurations de cloud public et privé, et son service de cloud privé virtuel sur Alibaba Cloud peut être utilisé pour créer des réseaux privés isolés qui offrent le même niveau de confidentialité que les centres de données traditionnels exclusivement basés sur le cloud.
Parmi les inconvénients d'Alibaba, on peut citer la courbe d'apprentissage plus raide par rapport aux outils et logiciels déjà familiers pour ceux qui découvrent ce cloud, car il comprend sa documentation et son interface. Au niveau mondial, les entreprises travaillant dans des secteurs tels que les paiements et les soins de santé doivent faire face à des défis réglementaires lorsqu'elles utilisent des fournisseurs de cloud chinois. De plus, certaines entreprises chinoises ont récemment commencé à utiliser des solutions cloud non chinoises en raison de préoccupations liées à la sécurité des fournisseurs nationaux tels qu'Alibaba Cloud.
