Historiquement, l’infrastructure informatique des entreprises était hébergée sur site, soit directement dans leurs locaux, soit dans des centres de données dédiés. La gestion des appareils et des points de terminaison y était relativement simple, car le service IT pouvait y accéder physiquement et la majorité des utilisateurs travaillaient dans les bureaux. Grâce à des registres détaillant l’ensemble des équipements présents sur le réseau, la Direction des systèmes d’information (DSI) avait une visibilité précise sur leur localisation et leur état. Les principales difficultés concernaient le maintien à jour de ces appareils et l’application des correctifs nécessaires — tâches que les solutions de gestion de base permettaient d’effectuer efficacement.
Dans ce contexte, le provisionnement et la gestion des certificats numériques suivaient également un processus assez simple. La principale difficulté provenait du nombre de domaines et de l’éclatement géographique des sites de l’organisation. Dans les organisations les plus complexes, la gestion des certificats pouvait mobiliser plusieurs équipes et exiger des procédures spécifiques pour gérer correctement l’ensemble des utilisateurs et des appareils. Mais, tant que la majorité des collaborateurs évoluaient dans un environnement centralisé, la configuration des certificats d’utilisateur restait gérable.
Le meilleur des mondes
Le monde a cependant évolué au cours des 10 à 15 dernières années. L’adoption massive de services cloud privés et publics, souvent plus rentables, a progressivement éloigné les entreprises des infrastructures exclusivement sur site. Aujourd’hui, les organisations optent pour des configurations hybrides, combinant des services sur site, des services de cloud publics et privés (avec une infrastructure cloud dédiée à une seule organisation), ainsi que des applications de provisionnement de cloud communautaire. À cela s’ajoute la prise en charge des collaborateurs, qu’ils soient présents sur site ou en télétravail. Cet ensemble hétérogène d’infrastructures forme ce que l’on appelle modèle de cloud hybride — bien que beaucoup semblent ignorer le fait que les services sur site restent une composante essentielle de cette approche.
Gestion des machines virtuelles et des certificats dans un environnement Cloud : quelles sont les difficultés ?
Malgré un coût potentiellement élevé à l’achat, pour sa mise en œuvre et sa maintenance, le matériel traditionnel sur site offrait aussi aux organisations des possibilités directes de personnalisation, de gestion, de sécurisation et de contrôle. Il était simple de localiser précisément les serveurs et les applications, et par conséquent, de les perdre de vue. Malgré les avantages économiques du cloud computing, et sa flexibilité, la facilité et la rapidité avec lesquelles des machines virtuelles peuvent être créées via plusieurs fournisseurs ont conduit à une prolifération des machines virtuelles et des ressources. Résultat : leur suivi et leur maintenance sont devenus compliqués. Cette difficulté est accentuée par la création et la suppression fréquentes de machines virtuelles par différents services et sous-traitants, en particulier dans les environnements où des applications de production sont en activité. Il est alors facile de perdre la trace du nombre de machines virtuelles ou de conteneurs, de leurs fournisseurs, des services qu’ils hébergent et de leur état de sécurité.
La gestion des certificats numériques dans une infrastructure cloud, bien que courante, présente aussi plusieurs défis. L’adoption croissante de la conteneurisation, par rapport à l’infrastructure traditionnelle en tant que service (IaaS), rend la localisation des machines virtuelles compliquée. En effet, la conteneurisation introduit des problèmes de gestion imprévus concernant la demande, le provisionnement et le renouvellement de certificats. La complexité des pods, des services et des nœuds ajoute un niveau de difficulté supplémentaire. Les conteneurs sont créés et supprimés rapidement en fonction des besoins. Dans ces environnements dynamiques, caractérisés par des équipes multiples et l’utilisation de plusieurs conteneurs, sécuriser les clés privées et gérer les demandes constantes de provisionnement de certificats, les dates d’expiration et la configuration de ces certificats, représente un sujet de préoccupation majeure.
Comprendre les risques des environnements cloud hybrides
La gestion des certificats numériques dans un environnement cloud, qu’il soit pur ou hybride, présente plusieurs problèmes potentiels qu’il est crucial de bien appréhender :
- Fragmentation et duplication des services : En règle générale, les applications et les services sont déployés dans le cloud lors de la migration de services existants ou pour le lancement de nouveaux projets, sur des périodes prolongées. Toutefois, au fil du temps, de nouveaux services ou de nouvelles instances avec répartition de charge peuvent être répartis par plusieurs équipes sur divers fournisseurs cloud dans diverses régions. Ces déploiements peuvent être effectués par des éditeurs de logiciels, des intégrateurs ou des prestataires de services, chacun avec ses propres fournisseurs de services cloud, processus et technologies cloud. Résultat : l’environnement est tellement fragmenté qu’il en devient impossible à gérer. Pour maintenir un niveau de sécurité élevé, il est donc essentiel de disposer d’un mécanisme permettant de surveiller et de gérer automatiquement toutes ces instances, quel que soit leur emplacement.
- Équipes et sous-traitants en silos : Lorsque plusieurs équipes et sous-traitants interviennent, parfois de façon épisodique, sur la création d’applications basées dans le cloud, sans pratique ou documentation commune, des certificats peuvent être créés et provisionnés à partir de plusieurs AC. Il arrive même que des certificats auto-signés soient générés, sans moyens efficaces de les gérer et de les contrôler. Pire encore, l’absence de processus standard et la multiplication des actions manuelles augmentent le risque d’avoir des points de terminaison non sécurisés et des certificats expirés.
- Lenteurs dans le processus d’auto-scalabilité du cloud : Dans de nombreux environnements cloud, la création et la suppression des machines virtuelles, et encore plus des conteneurs, sont automatisées pour répondre aux besoins d’évolutivité. Cependant, la demande et le provisionnement manuels de certificats ralentissent considérablement le processus, annulant les bénéfices du redimensionnement automatisé. Les développeurs, pour gagner en agilité, contournent alors souvent les bonnes pratiques de gestion des certificats en utilisant des AC non fiables ou des certificats auto-signés. Cela ne fait qu’accroître les vulnérabilités pour la cybersécurité, et le risque de mauvaises configurations.
- Manque de visibilité : Même avec un fournisseur cloud unique, le grand nombre de machines virtuelles et de conteneurs créés et supprimés chaque jour empêche quasiment de savoir où les certificats sont nécessaires, où ils ont été provisionnés, quelle AC les a délivrés, et quand ils expirent. Outre le fait d’avoir des applications non sécurisées, cela peut entraîner des pannes, des failles de sécurité et des interruptions de service. Le département Conformité ne sera pas en mesure d’auditer et d’enregistrer les certificats pour s’assurer de leur fiabilité et validité, ce qui risque d’entraîner des problèmes de non-conformité, comme l’utilisation de normes cryptographiques faibles, de certificats auto-signés vulnérables et de certificats obtenus auprès d’autorités de certification non approuvées.
En savoir plus sur les risques de gérer une AC en interne
Gérer des certificats en environnement de cloud hybride
Chez GlobalSign, nous estimons que la gestion des certificats dans un environnement de cloud hybride ne diffère pas fondamentalement de celle en environnement sur site.
Notre solution Certificate Automation Manager permet non seulement de recevoir automatiquement les demandes et de provisionner des certificats sur n’importe quel domaine connecté, mais aussi de suivre leur cycle de vie, en veillant à ce qu’ils soient renouvelés, révoqués ou remplacés en temps voulu.
Conçue pour être totalement flexible, notre solution s’adapte aux besoins de chaque client, qu’il s’agisse d’une infrastructure sur site avec un seul domaine ou d’un cloud hybride complexe faisant appel à plusieurs fournisseurs, technologies cloud sur plusieurs domaines et fuseaux horaires.
Bien qu’il ne soit pas encore disponible en mode SaaS (Software as a Service), Certificate Automation Manager peut être installé sur des machines virtuelles, sans nécessiter une présence sur site, ou dans le même environnement physique que l’Active Directory. Afin d’offrir une personnalisation optimale, la solution peut être déployée sur site, en mode hybride ou dans un environnement cloud complet, selon l’avancement de votre migration vers le cloud.
Si vous n’avez pas encore amorcé cette transition, Certificate Automation Manager peut tout à fait être installé sur site, puis migré vers une configuration hybride ou entièrement cloud lorsque vous serez prêt.
Cette flexibilité permet de provisionner des applications et des projets sur des plateformes cloud, tout en les sécurisant rapidement et efficacement avec des certificats GlobalSign, sans craindre de temps d’arrêt ou de failles de sécurité.
Certificate Automation Manager peut surveiller et gérer les appareils et les serveurs, qu’ils soient physiques ou virtuels. En tant que solution de gestion des certificats entièrement automatisée, elle permet de :
- Provisionner automatiquement des certificats pour les nouveaux appareils, serveurs, conteneurs ou utilisateurs, sans intervention manuelle, conformément aux politiques établies
- Assurer un suivi permanent des certificats
- Créer des rapports programmés offrant une visibilité complète sur les certificats
- Prendre en charge les actions clés telles que le renouvellement et la révocation des certificats
- Gérer les certificats dans des environnements évolutifs, comme une infrastructure IaaS ou une architecture basée sur des conteneurs, où le nombre de machines virtuelles ou de conteneurs, et leurs besoins en certificats évoluent constamment.