Cloud security et IAM

Le cloud repose fortement sur l'identité et les permissions. Une mauvaise règle IAM, une clé longue durée exposée ou un stockage public mal configuré peuvent suffire à créer un incident majeur.

Concepts communs

Même si les fournisseurs diffèrent, on retrouve souvent :

• comptes ou tenants
• utilisateurs
• groupes
• rôles
• politiques IAM
• clés d'accès
• stockage objet
• journaux d'audit
• réseaux virtuels

IAM

IAM signifie Identity and Access Management. Il définit qui peut faire quoi sur quelles ressources.

Questions à poser :

• quelle identité agit
• quel rôle est utilisé
• quelles actions sont autorisées
• sur quelles ressources
• depuis quel contexte
• avec quelle traçabilité

Erreurs fréquentes

• permissions trop larges
• clés d'accès longues durées
• absence de MFA sur comptes sensibles
• stockage public non voulu
• journaux d'audit désactivés
• secrets dans une image ou un dépôt
• rôles de production réutilisés en développement
• absence d'inventaire des ressources

Stockage objet

Les buckets ou conteneurs de stockage sont très utilisés.

À vérifier :

• exposition publique
• droits en lecture
• droits en écriture
• chiffrement
• versioning
• logs d'accès
• règles de cycle de vie

Un stockage public peut être volontaire, mais il doit être explicite, documenté et limité aux fichiers prévus.

Journaux cloud

Les journaux d'audit permettent de savoir qui a fait quoi.

À surveiller :

• création de clés
• modification IAM
• désactivation de logs
• accès à des secrets
• modification de règles réseau
• exposition de stockage
• actions depuis pays ou IP inhabituels

Bonnes pratiques

• activer MFA
• appliquer le moindre privilège
• préférer les rôles temporaires aux clés longues durées
• séparer les environnements
• activer les logs d'audit
• surveiller les ressources publiques
• taguer les ressources
• scanner les secrets
• revoir les droits régulièrement