Les serveurs en nuage doivent aussi être mis à jour

L'approvisionnement en nuage a progressivement remplacé les serveurs hébergés localement. Il est tout simplement beaucoup plus rapide, et souvent moins cher, de lancer des VM Linux hébergées dans le nuage pour gérer les charges de travail et s'adapter à la demande.

Pas étonnant que le marché de l'infrastructure en tant que service (IaaS) soit en pleine croissance, Gartner suggère que les facturations IaaS ont augmenté de 37,3 % pour la seule année 2019.. Mais cette facilité d'utilisation peut être trompeuse - et laisser les entreprises qui exploitent des serveurs Linux hébergés dans le cloud à un risque massif de cyberattaques.

Dans cet article, nous expliquons pourquoi les serveurs Linux hébergés dans le nuage présentent des risques de sécurité uniques, ce que cela signifie en termes de responsabilités de maintenance pour votre entreprise, et nous décrivons ce que votre entreprise peut faire pour s'assurer que ses serveurs Linux dans le nuage sont toujours à jour.

Contenu :

1. Que sont les machines virtuelles dans le nuage (IaaS) ?
2. Les services en nuage, et IaaS, sont en danger
3. Un exemple concret : SACK Panic
4. Il est facile de mettre en place un nouveau système, mais la maintenance et la sécurité sont à votre charge.
5. Le problème des correctifs du noyau
6. Comment KernelCare peut vous aider
7. Conclusion

Que sont les machines virtuelles dans le nuage (IaaS) ?

L'infrastructure en tant que service (IaaS) peut être définie comme "une infrastructure informatique instantanée, provisionnée et gérée sur Internet". Un élément clé de l'IaaS est la possibilité d'acheter l'utilisation de ressources matérielles telles que des serveurs et de déployer rapidement ces ressources pour répondre aux exigences des applications de votre entreprise ou de votre client.

La location d'un serveur peut impliquer la location d'un serveur physique entier, mais le plus souvent, les entreprises louent une infrastructure matérielle virtualisée qui donne accès à une quantité spécifique de puissance de traitement et de stockage. Cette infrastructure est fournie par le vendeur IaaS, un fournisseur qui gère de manière flexible le matériel physique en utilisant une technologie de virtualisation de pointe.

Dans le cadre d'un pack de serveurs en nuage, votre fournisseur vous proposera généralement des moyens pratiques d'installer une distribution Linux pré-intégrée. C'est simple : il suffit de cliquer pour déclencher l'installation, et vous êtes prêt à commencer à exécuter votre charge de travail Linux.

Cependant, l'installation peut être d'une simplicité trompeuse et il est facile de penser que vous pouvez simplement configurer votre serveur Linux et l'oublier. Mais ce serait prendre un risque important.

Les services en nuage, et IaaS, sont en danger

La récente enquête de Sophos sur l'état de la sécurité du cloud a illustré à quel point il est facile de considérer la sécurité du cloud comme acquise - et à quel prix. Selon l'enquête de Sophos, 98 % des entreprises n'ont pas activé l'étape de sécurité la plus élémentaire - l'authentification multifactorielle (MFA) - sur leurs comptes.

Il n'est donc pas surprenant que sur les 3 200 responsables informatiques interrogés, 70 % aient déclaré avoir été piratés ou que des données aient fuité de leurs comptes.

Les violations de la sécurité du cloud continuent à se multiplier. En voici un exemple, plus tôt cette année, un groupe sophistiqué a piraté Amazon Web Services (AWS)en installant un rootkit qui a permis aux pirates de contrôler à distance les serveurs AWS.

Il ne s'agit pas seulement d'AWS, bien sûr. En 2019, la société israélienne NSO Group, créatrice du malware Pegasus utilisé pour pirater WhatsApp, a déclaré qu'elle était capable de violer tous les services cloud de la grande entreprise technologique.. En substance, l'entreprise a affirmé que son logiciel est conçu pour permettre des enquêtes criminelles pour les entreprises d'application de la loi.

Quoi qu'il en soit, cela indique clairement que les serveurs en nuage sont vulnérables. Et l'un des points clés de la vulnérabilité est le noyau Linux.

En 2019 également, le géant des médias Netflix a découvert un certain nombre de vulnérabilités réseau critiques dans les noyaux Linux.. Avec cet exploit, les attaquants pouvaient procéder tant qu'ils pouvaient ouvrir une connexion TCP avec le serveur - indépendamment du service en jeu. L'une des vulnérabilités les plus critiques a été baptisée "SACK Panic" par Netflix.

Lorsqu'il est utilisé, un attaquant peut forcer une machine Linux à se planter en utilisant un trafic spécialement conçu à cet effet. Cela a conduit de nombreuses distributions majeures, dont Ubuntu et Red Hat, à publier des avertissements contre l'exploit du noyau SACK Panic.

La découverte de Netflix montre à quel point les noyaux Linux sont incroyablement vulnérables. Oui, les vulnérabilités conduisent à des correctifs du noyau qui corrigent efficacement ces vulnérabilités, mais les correctifs ont une faiblesse essentielle : un correctif parfaitement efficace ne fonctionnera jamais si l'opérateur de la machine Linux n'applique pas le correctif.

Il est facile de mettre en place un nouveau système, mais la maintenance et la sécurité sont à votre charge.

Une liste exhaustive des mesures de sécurité requises pour sécuriser les services en nuage (par exemple, MFA) dépasse le cadre de cet article, mais nous aborderons ici un point essentiel : Les correctifs du noyau Linux. Au vu de l'exemple ci-dessus, le patching du noyau est un aspect évident mais souvent négligé de la sécurité des serveurs en nuage.

Lorsque les entreprises déploient des serveurs Linux dans le nuage, elles s'appuient sur les processus de déploiement rapides, simples et évolutifs proposés par les fournisseurs IaaS. Cela implique le déploiement d'une distribution Linux standard, mais souvent légèrement dépassée, qui ne contiendra inévitablement pas les derniers correctifs critiques.

Pire encore, les exploitants de serveurs en nuage supposent parfois que le fournisseur IaaS est responsable de l'application des correctifs en temps réel au noyau, alors qu'en réalité, ils ne le font qu'au moment du redémarrage. Comme le montre SACK Panic, un noyau non patché peut conduire à une cyber-violation incroyablement coûteuse. En tant qu'opérateur de serveurs virtuels Linux, votre entreprise ne peut ignorer les correctifs en temps réel du noyau.

Malheureusement, l'application systématique de correctifs aux noyaux est plus facile à dire qu'à faire.

Le problème des correctifs du noyau

Tout d'abord, l'application d'un correctif au noyau d'un serveur nécessite généralement un redémarrage. Pendant le redémarrage, un serveur est mis hors ligne - et les services pris en charge par ce serveur sont mis hors ligne. Les entreprises ne veulent tout simplement pas interrompre leurs services pour appliquer un correctif de sécurité, à moins que celui-ci ne soit absolument indispensable.

Ensuite, l'application des correctifs est un processus qui demande beaucoup de travail. Il ne s'agit pas seulement de l'application des correctifs : il faut aussi surveiller les performances du serveur au redémarrage et s'assurer que les correctifs n'interrompent pas les services essentiels. Entre les temps d'arrêt causés par l'application des correctifs et les efforts nécessaires, il n'est pas surprenant que l'application régulière des correctifs soit reléguée au second plan, ce qui crée des risques importants en matière de cybersécurité.

Il existe toutefois une alternative au redémarrage des serveurs et à l'application manuelle de correctifs.

Comment KernelCare peut vous aider

L'automatisation de la mise à jour des noyaux pour assurer une mise à jour cohérente et sans effort des noyaux est la première étape et, au fond, c'est ce que fait KernelCare. KernelCare surveille en permanence les nouveaux correctifs publiés et déclenche automatiquement le processus de mise à jour dès qu'un correctif est identifié.

Cette automatisation élimine le problème de l'effort manuel - quel que soit le nombre de correctifs déployés, vos serveurs Linux en nuage sont toujours corrigés et sécurisés. Cependant, KernelCare va encore plus loin.

Contrairement à de nombreuses autres solutions de correction automatique, KernelCare peut effectuer des correctifs en direct.. Les entreprises qui utilisent KernelCare pour l'application automatique de correctifs réduisent les temps d'arrêt au minimum, car KernelCare peut appliquer les correctifs du noyau sans nécessiter un redémarrage complet du serveur Linux.

Par conséquent, KernelCare garantit que vos serveurs Linux sont toujours corrigés et que vous ne devez pas dépendre de vos efforts de correction ou du support (probablement absent) de votre fournisseur IaaS.

Conclusion

L'application de correctifs en direct est une étape clé, mais le message général de cet article reste que vous devez gérer activement vos instances de serveur IaaS Linux. Réfléchissez-y à deux fois avant de confier la maintenance et la sécurité des serveurs aux fournisseurs de l'infrastructure. En agissant ainsi, vous exposez vos opérations à des vulnérabilités de sécurité qui peuvent s'avérer très coûteuses - et qui sont tout à fait évitables.