Architecture de Sécurité Cloud : Couches, Modèles et Pratiques
#cloud#security#architecture#compliance
La sécurité cloud n'est pas un produit que l'on achète -- c'est une architecture que l'on construit. Comprendre le modèle de responsabilité partagée, la défense en profondeur et la sécurité centrée sur l'identité est fondamental pour tout déploiement cloud.
Le modèle de responsabilité partagée
La frontière entre responsabilité du fournisseur et du client varie selon le type de service :
| Couche | IaaS | PaaS | SaaS |
|---|---|---|---|
| Sécurité physique | Fournisseur | Fournisseur | Fournisseur |
| Infrastructure réseau | Fournisseur | Fournisseur | Fournisseur |
| Hyperviseur / OS hôte | Fournisseur | Fournisseur | Fournisseur |
| OS invité | Client | Fournisseur | Fournisseur |
| Runtime / middleware | Client | Fournisseur | Fournisseur |
| Application | Client | Client | Fournisseur |
| Données | Client | Client | Client |
| Identité et accès | Client | Client | Client |
| Chiffrement côté client | Client | Client | Client |
Point clé : les données et l'identité sont toujours votre responsabilité, quel que soit le modèle de service.
Sécurité réseau
Architecture VPC
- Sous-réseaux publics -- uniquement pour les load balancers et bastions
- Sous-réseaux privés -- serveurs applicatifs, bases de données, services internes
- Sous-réseaux isolés -- aucun accès internet, pour le traitement de données sensibles
- Endpoints VPC -- accéder aux services cloud sans traverser internet
Contrôles de sécurité
| Contrôle | Objectif | Exemples |
|---|---|---|
| Security Groups | Pare-feu au niveau instance (stateful) | AWS SG, GCP Firewall Rules |
| Network ACLs | Pare-feu au niveau sous-réseau (stateless) | AWS NACL, Azure NSG |
| WAF | Protection applicative | AWS WAF, Cloud Armor, Azure WAF |
| Protection DDoS | Mitigation des attaques volumétriques | AWS Shield, Cloud Armor |
| Private Link | Connectivité privée aux services | AWS PrivateLink, GCP Private Service Connect |
Gestion des identités et des accès
L'IAM est la couche de sécurité la plus critique dans le cloud. Un IAM mal configuré est la première cause de brèches cloud.
Principes fondamentaux :
- Moindre privilège -- accorder uniquement les permissions nécessaires
- Pas de credentials à longue durée -- utiliser des rôles IAM, pas des clés d'accès
- MFA partout -- imposer l'authentification multi-facteur pour tous les utilisateurs humains
- Fédération -- centraliser l'identité avec le SSO (Okta, Azure AD, Google Workspace)
- Comptes de service -- identité séparée pour chaque service, pas de credentials partagés
Architecture d'identité
| Pattern | Description | Cas d'usage |
|---|---|---|
| SSO + SAML/OIDC | Fédérer l'identité corporate vers le cloud | Accès humain |
| Workload Identity | Identité cloud-native pour les services | Service-à-service |
| Rôles cross-account | Assumer des rôles entre comptes AWS | Architectures multi-comptes |
| Accès juste-à-temps | Permissions élevées temporaires | Scénarios de break-glass |
Chiffrement
Au repos
- Chiffrement par défaut -- tous les providers majeurs chiffrent le stockage par défaut
- Clés gérées par le client (CMK) -- vous contrôlez la clé dans KMS
- Chiffrement côté client -- chiffrer avant d'envoyer au cloud (contrôle maximal)
En transit
- TLS partout -- imposer TLS 1.2+ pour toutes les connexions
- TLS mutuel (mTLS) -- client et serveur s'authentifient mutuellement
- Gestion des certificats -- utiliser ACM (AWS), Certificate Manager (GCP), ou Let's Encrypt
Gestion de la posture de sécurité
| Catégorie d'outil | Exemples | Fonction |
|---|---|---|
| CSPM | Prisma Cloud, AWS Security Hub, Wiz | Détecter les misconfigurations |
| CWPP | Aqua, Sysdig, Falco | Protection runtime des workloads |
| CIEM | Ermetic, CloudKnox | Analyse des permissions d'identité |
| Scan IaC | Checkov, tfsec, Bridgecrew | Détecter les problèmes avant déploiement |
| Scan de secrets | GitGuardian, Trufflehog | Détecter les credentials dans le code |