Faits saillants de l’étude de cas interactive

  • 3 minutes

Cette unité explore les insights architecturaux et opérationnels exposés grâce à l’étude de cas interactive sur l’application multicloud et la posture de sécurité des données de Fabrikam Inc.. La simulation révèle des lacunes systémiques courantes dans les environnements natifs cloud et fournit un objectif structuré pour les apprenants à analyser et à réfléchir sur eux.

Évaluation de la situation

Fabrikam Inc. fait face à plusieurs défis de sécurité des applications et des données dans son environnement double cloud (Azure et AWS) :

  • Les secrets Kubernetes statiques et les jetons de longue durée sont utilisés pour l’authentification de service à service, avec une rotation manuelle et une visibilité limitée.
  • Les connexions de base de données s’appuient sur des points de terminaison publics et des chaînes de connexion, sans isolation de couche réseau et contrôles d’accès robustes.
  • Les pipelines CI/CD n’ont pas de gouvernance centralisée de la sécurité, ce qui permet aux configurations incorrectes d’atteindre la production.
  • La gestion des dépendances open source est manuelle, en s’appuyant sur la vigilance des développeurs sans analyse intégrée.
  • La surveillance est fragmentée entre les outils natifs cloud, avec des processus de triage incohérents et une détection limitée des menaces.

Ces problèmes reflètent les pratiques de sécurité décentralisées et les lacunes de visibilité qui élèvent les risques dans les architectures natives cloud.

Analyse des menaces

Les faiblesses opérationnelles se traduisent par des menaces tangibles :

  • Exposition des informations d’identification en raison de la gestion manuelle des secrets et des jetons statiques.
  • Les configurations incorrectes dans les stratégies d’admission et d’infrastructure en tant que code introduisent des vulnérabilités persistantes.
  • La chaîne d’approvisionnement risque de dépendances non détectées et de flux de travail CI/CD non sécurisés.
  • Exposition des données à partir de points de terminaison de base de données publics et chiffrement insuffisant.
  • Détection différée des incidents en raison d’une surveillance fragmentée et de diagnostics réactifs.

Ces vulnérabilités mettent en évidence la façon dont les pratiques DevOps et la complexité native du cloud peuvent être exploitées, en particulier dans les environnements multiclouds.

Solution architecturale

Une infrastructure DevSecOps alignée sur confiance zéro à l’aide d’outils Microsoft intégrés répond aux risques de Fabrikam Inc. :

  • Azure Arc étend la gouvernance et l’application des stratégies aux clusters Amazon EKS.
  • GitHub Advanced Security et Defender pour Cloud DevOps activent la sécurité décalée vers la gauche par le biais de l’analyse du code et de l’infrastructure.
  • Les identités de charge de travail remplacent les informations d’identification statiques par des jetons de courte durée liés aux identités de pod.
  • Azure Key Vault, Always Encrypted et Azure Private Link renforcent la protection des données et la connectivité sécurisée.
  • Microsoft Sentinel met en corrélation les données de télémétrie entre les pipelines, les runtimes et les applications cloud pour la détection unifiée des menaces.

Cette architecture met l’accent sur les points suivants :

  • Automatisation et validation continue
  • Cohérence des stratégies entre les clouds
  • Télémétrie intégrée et détection des menaces

Il est évolutif, convivial pour les développeurs et opérationnel, qui traite directement les informations d’identification, les configurations incorrectes, la surveillance fragmentée et l’accès aux données non sécurisés.