The Doppler Quarterly (FRANÇAIS) Été 2016 | Page 67
Nous avons mappé le CSA Cloud Controls Matrix aux architectures répétables sur
AWS, Azure et Google. Exécuter une évaluation des manquements de sécurité et
de gouvernance signifie comparer vos objectifs de contrôle par rapport à une
norme connue telle que la matrice CSA, et documenter les manquements dans
vos contrôles et technologies en fonction des meilleures pratiques acceptées.
Le résultat est un MVC avec une plate-forme de sécurité et de gouvernance
prescriptive mappée au CSA. Cela permet un immense gain de temps. Au lieu
de créer votre architecture de référence de sécurité de A à Z, vous pouvez
accepter une base et réaliser des modifications mineures pour répondre à vos
besoins spécifiques.
Nouveaux contrôles et outils
La plupart des entreprises commencent par penser à leur programme cloud
comme s'il s'agissait d'un datacenter et se trouvent rapidement sans savoir
comment mapper leurs objectifs de contrôle existants au nouveau modèle
cloud. Prendre les ensembles d'outils existants et les appliquer au cloud ne
fonctionne pas. Les outils axés sur les datacenters ne sont pas conçus pour les
plates-formes de cloud public. Notre expérience signale de nouveaux outils et
processus pour résoudre ces problèmes.
De plus, il existe un gros bonus secondaire pour exploiter de nouveaux outils -
bien moins chers que vos outils de datacenter !
N° 8 - Planifiez une conformité continue
Les entreprises disposent de nombreux contrôles qui régissent l'environne-
ment informatique. Comme la plupart des ressources sont basées sur le maté-
riel, les contrôles prennent la forme de gestion du changement et de services
opérationnels. Toutefois, le nouveau modèle cloud est basé sur un logiciel et
n'est pas contrôlé par nature. Imaginez le passage d'un processus d'achat basé
sur les autorisations (obtenir un bon de commande signé pour un nouveau
matériel) à un compte de carte de crédit où vous pouvez commander de nou-
veaux services sans approbations.
Le nouveau modèle basé sur la consommation requiert un nouveau niveau de
gouvernance. Utiliser la gestion des changements standard et l'approche des
contrôles ne fonctionne tout simplement pas. Les contrôles de changement
existants ralentiront le processus et vous vous retrouverez dans la situation à
laquelle vous vouliez échapper.
Ce qui est requis : une conformité continue. Dans ce contexte, la conformité
continue est le logiciel qui analyse constamment votre environnement et
contrôle la consommation et l'utilisation des services dans votre cloud. Les
contrôles sont implémentés à l'aide des « signatures logicielles » qui vérifient
les exigences spécifiques de gouvernance et de conformité.
Par exemple, AWS a des serveurs (EC2) et un stockage associé (EBS) qui for-
ment la configuration basique de serveur / stockage. Si vous supprimez un
serveur et n'indiquez pas spécifiquement à AWS de supprimer le stockage,
celui-ci reste inutilisé. Au fil du temps, le stockage de bloc inutilisé devient un
risque pour l'entreprise. Sauf avec une gouvernance adéquate, les volumes de
stockage inconnus coûtent de l'ar