Evan Gilman, ingénieur des opérations chez PagerDuty, a récemment pris la parole lors d'une rencontre au siège de PagerDuty . La première chose qu’Evan a remarquée : « La sécurité est difficile ». Que vous soyez une petite entreprise avec une base de code en constante évolution ou une grande entreprise comptant plusieurs milliers d'employés, les attaquants continueront d'affluer, vous devez donc trouver un moyen évolutif pour les arrêter.

Sécurisé par défaut

Evan a souligné l’importance d’être « sécurisé par défaut » en ce qui concerne les autorisations de fichiers et les privilèges de sécurité. Si vous mettez en place des contrôles de sécurité, faites en sorte qu’il soit difficile pour les autres de les contourner. À quoi servent les règles si les gens savent qu’elles peuvent être contournées ? Les contrôles n’ont pas été ajoutés pour une raison arbitraire – ils sont là pour protéger votre client et votre équipe. De plus, sécurisez tout. Vos journaux peuvent ne pas contenir de mots de passe, mais ils peuvent contenir des données sensibles telles que des informations sur les clients, vous devez donc tout sécuriser.

Soyez paranoïaque

En règle générale, a noté Evan, il faut partir du principe que votre réseau est hostile. C'est particulièrement vrai dans le cloud.

« Vous n’avez aucune idée de ce qui tourne d’autre sur le rack à côté de vous. »

Chiffrez tout le trafic réseau, qu'il soit inter- et intra-DC, et le succès que nous avons constaté est le chiffrement au niveau de la couche de transport. N'oubliez pas non plus de nettoyer les données quittant votre infrastructure de données, car vous ne pouvez pas faire confiance au fournisseur pour surveiller ce que vous laissez derrière vous.

Automatisez et répartissez l'application des règles autant que possible

Pour Evan et l'équipe PagerDuty , l'automatisation concerne l'application distribuée des politiques de sécurité. Créez un ensemble de règles centralisées pour gérer la politique, puis transférez-la vers des nœuds individuels afin qu'ils puissent s'appliquer eux-mêmes.

Par exemple, vous trouverez ci-dessous un extrait de code que nous devons distribuer pour l'application, qui dit : Le stockage Cassandra sur le port 7000 ne doit être accessible qu'à ceux qui possèdent des nœuds avec le rôle Cassandra.

Agir lorsqu'il y a un problème

En fin de compte, quelles que soient les solutions de sécurité que vous choisirez, elles devront être adaptées aux utilisateurs, que ces derniers soient des personnes au sein de votre organisation, le grand public ou les deux.

Vous devez mettre en place une surveillance et des alertes pour être averti lorsque les choses ne se passent pas comme prévu. Evan a suggéré de surveiller le niveau de cryptage de votre trafic de données. Si vous savez que 80 % de votre trafic doit être crypté, mais que seulement 25 % le sont sur une période donnée, il y a un problème et quelqu'un doit être immédiatement alerté.

Étant donné que PagerDuty est distribué auprès de plusieurs fournisseurs tiers, nous ne disposons pas de VPC. Nous exploitons donc la détection d'intrusion basée sur l'hôte (HIDS) pour nous informer en cas de problèmes.

Le conseil le plus important d'Evan ? Commencez dès aujourd'hui. Vous allez devoir le faire un jour ou l'autre et en commençant dès maintenant, vous pourrez réduire votre dette technique et vous débarrasser des mauvaises choses que vous avez déjà. Regardez son exposé ci-dessous :

Vous souhaitez voir plus de discussions lors de cette rencontre, consultez :

• Défendre l'oiseau : l'ingénierie de sécurité des produits chez Twitter
• Identifier les cycles de vie des identités pour la sécurité des applications cloud

Ou apprenez-en plus sur la sécurité chez PagerDuty:

• Comment nous garantissons que PagerDuty est sécurisé pour nos clients
• Définition et distribution des protocoles de sécurité pour la tolérance aux pannes
• Surveillance, alerte et automatisation de la sécurité