The Doppler Quarterly (FRANÇAIS) Été 2016 - Page 67

Nous avons mappé le CSA Cloud Controls Matrix aux architectures répétables sur AWS, Azure et Google. Exécuter une évaluation des manquements de sécurité et de gouvernance signifie comparer vos objectifs de contrôle par rapport à une norme connue telle que la matrice CSA, et documenter les manquements dans vos contrôles et technologies en fonction des meilleures pratiques acceptées. Le résultat est un MVC avec une plate-forme de sécurité et de gouvernance prescriptive mappée au CSA. Cela permet un immense gain de temps. Au lieu de créer votre architecture de référence de sécurité de A à Z, vous pouvez accepter une base et réaliser des modifications mineures pour répondre à vos besoins spécifiques. Nouveaux contrôles et outils La plupart des entreprises commencent par penser à leur programme cloud comme s'il s'agissait d'un datacenter et se trouvent rapidement sans savoir comment mapper leurs objectifs de contrôle existants au nouveau modèle cloud. Prendre les ensembles d'outils existants et les appliquer au cloud ne fonctionne pas. Les outils axés sur les datacenters ne sont pas conçus pour les plates-formes de cloud public. Notre expérience signale de nouveaux outils et processus pour résoudre ces problèmes. De plus, il existe un gros bonus secondaire pour exploiter de nouveaux outils - bien moins chers que vos outils de datacenter ! N° 8 - Planifiez une conformité continue Les entreprises disposent de nombreux contrôles qui régissent l'environne- ment informatique. Comme la plupart des ressources sont basées sur le maté- riel, les contrôles prennent la forme de gestion du changement et de services opérationnels. Toutefois, le nouveau modèle cloud est basé sur un logiciel et n'est pas contrôlé par nature. Imaginez le passage d'un processus d'achat basé sur les autorisations (obtenir un bon de commande signé pour un nouveau matériel) à un compte de carte de crédit où vous pouvez commander de nou- veaux services sans approbations. Le nouveau modèle basé sur la consommation requiert un nouveau niveau de gouvernance. Utiliser la gestion des changements standard et l'approche des contrôles ne fonctionne tout simplement pas. Les contrôles de changement existants ralentiront le processus et vous vous retrouverez dans la situation à laquelle vous vouliez échapper. Ce qui est requis : une conformité continue. Dans ce contexte, la conformité continue est le logiciel qui analyse constamment votre environnement et contrôle la consommation et l'utilisation des services dans votre cloud. Les contrôles sont implémentés à l'aide des « signatures logicielles » qui vérifient les exigences spécifiques de gouvernance et de conformité. Par exemple, AWS a des serveurs (EC2) et un stockage associé (EBS) qui for- ment la configuration basique de serveur / stockage. Si vous supprimez un serveur et n'indiquez pas spécifiquement à AWS de supprimer le stockage, celui-ci reste inutilisé. Au fil du temps, le stockage de bloc inutilisé devient un risque pour l'entreprise. Sauf avec une gouvernance adéquate, les volumes de stockage inconnus coûtent de l'ar