Cloud Security & Compliance
De la gestion des identités (IAM) à la détection d'intrusions (SIEM). Le modÚle Zero Trust en action.
Responsabilité Partagée
Qui sécurise quoi ? La limite entre le Provider et le Client.
IAM & Identity
Principals, Policies, MFA, RBAC vs ABAC, Least Privilege.
Infrastructure Sec
Defense in Depth : WAF, DDoS Shield, Security Groups, Private Link.
Data Protection
KMS, Encryption at Rest/Transit, Secrets Management, Vault.
Detection & Response
SIEM, GuardDuty, CloudTrail, SOAR et remédiation auto.
Compliance (CSPM)
Audit continu, Standards (PCI-DSS, ISO 27001), Drift detection.
Le ModÚle de Responsabilité Partagée
La faille de sécurité #1 dans le Cloud est une mauvaise configuration client. Comprendre ce modÚle est vital.
Security OF the Cloud (Provider)
- Protéger les datacenters (Gardes, caméras).
- Sécuriser le réseau backbone mondial.
- Patching de l'Hyperviseur (Xen, KVM, Nitro).
Security IN the Cloud (Vous)
- Patcher vos OS (Linux/Windows) en IaaS.
- Configurer les Firewalls (Security Groups).
- GĂ©rer les accĂšs IAM (Le point critique).
- Chiffrer les données (KMS).
Identity & Access Management (IAM)
Dans le Cloud, l'Identité est le nouveau périmÚtre. On ne fait plus confiance au réseau (Zero Trust), on vérifie l'identité à chaque appel API.
| Concept | DĂ©finition | Best Practice |
|---|---|---|
| Principal | Entité qui fait l'action (User, Role, App). | Ne jamais utiliser le compte "Root". |
| Authentication (AuthN) | "Qui es-tu ?" (Login + MFA). | MFA obligatoire partout. FIDO2 (YubiKey) recommandé. |
| Authorization (AuthZ) | "Que peux-tu faire ?" (Permissions). | Least Privilege : Donner uniquement les droits nécessaires, rien de plus. |
| Role (AssumeRole) | Identité temporaire (STS). | Ne jamais hardcoder des Access Keys. Utiliser des RÎles IAM pour les EC2/Lambda. |
Structure d'une Policy JSON
Exemple d'une politique restrictive pour un développeur Junior.
Note: Un "Deny" explicite l'emporte toujours sur un "Allow".
Infrastructure Protection
Defense in Depth (L'oignon de sécurité)
Ne jamais compter sur une seule barriĂšre. Empilez les couches.
| Couche | Outil | RĂŽle |
|---|---|---|
| Edge (Global) | WAF & Shield | Bloque les attaques DDoS Volumétriques (L3/L4) et Web (L7: SQLi, XSS). |
| VPC (Réseau) | NACL (Network ACL) | Stateless. Bloque des IPs ou des sous-réseaux entiers. |
| Instance (NIC) | Security Groups | Stateful. Le pare-feu virtuel de la VM. Autoriser SSH (22) uniquement depuis le VPN ou Bastion. |
| Private Access | PrivateLink / VPC Endpoints | Accéder aux services Cloud (S3, DynamoDB) sans passer par l'Internet public. |
Data Protection & Encryption
Concepts de Chiffrement
- At Rest (Au repos) : Disques EBS, Buckets S3, Bases RDS. Utilise AES-256.
- In Transit (En transit) : Flux réseau. Utilise TLS 1.2+. Terminaison SSL sur le Load Balancer.
- KMS (Key Management Service) : Service géré pour créer et contrÎler les clés de chiffrement. Vous ne voyez jamais la clé brute.
Envelope Encryption
Pour chiffrer des Peta-octets de données, KMS est trop lent. On utilise une hiérarchie.
Secrets Management
Anti-Pattern : Mettre les mots de passe DB dans le code ou les variables d'environnement.
Solution : Utiliser AWS Secrets Manager ou HashiCorp Vault. L'application récupÚre le mot de passe au démarrage via API. Rotation automatique des mots de passe possible.
SecOps : Detection & Response
| Source de Log | Ce qu'on y trouve | Usage |
|---|---|---|
| CloudTrail (Audit) | "QUI a fait QUOI, QUAND et OĂ ?" | EnquĂȘter sur un accĂšs non autorisĂ© ou une suppression de ressource. |
| VPC Flow Logs | Méta-données réseau (IP Source, IP Dest, Port, Accept/Reject). | Troubleshoot réseau, détecter scan de port. |
| DNS Logs (Route53) | RequĂȘtes DNS sortantes. | DĂ©tecter communication avec serveur C&C (Command & Control). |
| GuardDuty | IDS intelligent (Machine Learning). | Alerte sur comportement anormal (Minage crypto, accĂšs Tor). |
Automated Incident Response (SOAR)
La vitesse est la clé. Si un serveur est compromis, isolez-le automatiquement.
Compliance & Posture (CSPM)
Le CSPM (Cloud Security Posture Management) scanne votre cloud en continu pour trouver les mauvaises configurations.
Standards Communs
- CIS Benchmarks : RĂšgles techniques de base (ex: pas de SSH ouvert sur 0.0.0.0/0).
- GDPR / RGPD : Protection des données personnelles (Localisation, Chiffrement).
- PCI-DSS : Pour traiter les paiements CB.
- SOC 2 : Rapport d'audit sur la sécurité et la dispo.
Outils de détection de dérive (Drift)
Enregistre l'Ă©tat de chaque ressource. Permet de "Remonter le temps" pour voir la config d'hier.
Outils Open Source pour scanner un compte et sortir un rapport HTML de vulnérabilités.