La migration des bases de données vers le cloud s’accompagne d’un transfert des exigences de sécurité et de conformité des données, mais alors comment appliquer des contrôles d’audit et de surveillance lors de la migration d’une base de données vers des services cloud ? Il s’agira d’abord de définir une base de données RDaaS, lister ses avantages, définir le responsable de la sécurité de des bases de données dans le cloud et enfin prendre les mesures pour assurer la sécurité des bases de données relationnelles dans le cloud.
Une base de données relationnelle sous forme de service (RDaaS) offre l’équipement, le logiciel et l’infrastructure nécessaires pour permettre aux entreprises sa mise en œuvre dans le cloud plutôt qu’en interne. Parmi les exemples de RDaaS, citons notamment AWS RDS (Relations Database Services) et Microsoft Azure SQL Relational Database Service.
L’adoption d’une base de données RDaaS présente de nombreux avantages comme :
- Des économies sur les investissements dans l’équipement et les licences logicielles.
- Une réduction des dépenses liées au recrutement de personnel et/ou de consultants hautement qualifiés.
- L’élimination des difficultés inhérentes à la mise en place d’un système de base de données.
- Pas de besoin de personnel informatique supplémentaire pour la maintenance du système de base de données.
- Des frais d’exploitation de base RDaaS qui incombent au prestataire cloud
- La résilience et la fiabilité garanties par le prestataire cloud
- Des équipes chargées des bases de données chez le prestataire cloud, expérimentées et qui savent comment traiter les problèmes les plus divers.
- Une base RDaaS hébergée dans un site sécurisé, et donc moins vulnérable aux catastrophes naturelles, coupures de courant et autres causes d’interruption de l’activité au quotidien.
- La contrainte pour l’hébergeur de la base RDaaS de par la concurrence d’offrir le meilleur service possible en affectant des ressources substantielles à l’optimisation de l’équipement et au recrutement de personnel qualifié.
Mais alors qui est responsable de la sécurité des bases de données dans le cloud ?
Vue d’en haut, la sécurité du cloud repose sur un modèle de « responsabilité partagée » dans lequel l’exigence de sécurité correspond au degré de contrôle d’un acteur donné sur les différentes couches de l’architecture. Amazon indique que AWS a « la responsabilité de la sécurité du cloud » tandis que les clients ont « la responsabilité de la sécurité dans le cloud. » Qu’est-ce que cela signifie pour vous ?
Les prestataires cloud fournissent les outils et services nécessaires pour sécuriser l’infrastructure (équipement réseau, ordinateurs…), tandis que les utilisateurs sont responsables d’aspects tels que la protection du trafic réseau et la sécurité des applications. Par exemple, les prestataires cloud contribuent à restreindre l’accès aux instances informatiques sur lesquelles le serveur web est déployé (au moyen de groupes de sécurité, de firewalls et d’autres méthodes). Ils interdisent également l’accès du trafic web à certains ports en ne configurant que les listeners HTTP ou HTTPS indispensables sur les points d’extrémité publics (généralement le répartiteur de charge).
Cependant, les prestataires de services cloud publics n’offrent pas les outils permettant d’assurer une protection complète contre les attaques applicatives (OWASP Top 10, par exemple), les attaques automatisées ou les vulnérabilités des bases de données. La responsabilité incombe donc à l’utilisateur de prendre des mesures de sécurité qui laissent exclusivement le trafic web autorisé à entrer dans son datacenter cloud… tout comme pour un datacenter physique. La protection des données dans les datacenters physiques est typiquement assurée par une surveillance des activités sur la base de données et, fort heureusement, des mesures similaires peuvent être également déployées dans le cloud public.
L’avantage de solutions Database Activity Monitoring est l’intégration de la supervision d’Amazon RDS dans une vue étendue de toutes les bases de données d’entreprise. Permettant ainsi une surveillance des bases de données dans le cloud (architecture évolutive), une unification de la politique de sécurité (protection des données dans AWS avec des alertes pour les activités non autorisées), une extension de la conformité aux bases de données cloud (production de rapports d’audit unifiés pour les données dans le cloud et sur site), une évaluation des vulnérabilités et des risques pour les bases de données et enfin un audit et une protection des bases de données.
En conclusion, la nécessité d’une vision rapide et panoramique de l’infrastructure complète d’applications et de données, où qu’elle soit déployée, est impérieuse. La vitesse et la coordination du contrôle et de la neutralisation sont essentielles pour rétablir l’équilibre de la défense