● 55 entries

Sécurité du cloud

Admission Controller KubernetesUn admission controller est un plugin de l'API server Kubernetes qui intercepte les requetes authentifiees avant persistance pour valider, muter ou rejeter les objets selon la politique.
Attaque AWS IMDSv1Vol des identifiants de role d'instance EC2 via des requetes GET non authentifiees vers l'endpoint historique IMDSv1, generalement par SSRF.
Attaque de cluster KubernetesIntrusion sur un cluster Kubernetes (K8s) exploitant des APIs exposees, un RBAC faible ou des charges vulnerables pour prendre le controle du plan de controle ou des noeuds.
Bring Your Own Key (BYOK)Modèle de gestion de clés où le client génère ou importe ses propres clés de chiffrement dans le KMS du fournisseur cloud plutôt que d'utiliser celles générées par lui.
CASB (Cloud Access Security Broker)Point d'application de politiques situé entre les utilisateurs et les applications cloud/SaaS pour assurer visibilité, protection des données et contrôle des menaces.
Chiffrement dans le cloudPratique consistant à chiffrer les données stockées, traitées ou transmises dans des services cloud afin que seuls les détenteurs des bonnes clés puissent les lire.
CIEM (Cloud Infrastructure Entitlement Management)Discipline et catégorie d'outils qui découvrent, analysent et calibrent les identités et permissions présentes dans les environnements cloud.
CiliumContainer Network Interface base sur eBPF qui fournit reseau, observabilite et securite aux workloads Kubernetes a la vitesse du noyau.
CNAPP (Cloud-Native Application Protection)Plateforme de sécurité intégrée combinant CSPM, CWPP, CIEM, scan d'IaC et détection runtime pour protéger les applications cloud-native du build à la production.
Container EscapeExploit qui rompt l'isolation entre un conteneur et son hote, donnant a l'attaquant l'execution de code sur le noeud sous-jacent ou le noyau.
Cryptojacking cloudUtilisation non autorisee des ressources de calcul cloud d'une victime pour miner des cryptomonnaies, generant des factures elevees tandis que l'attaquant en percoit les gains.
CSPM (Cloud Security Posture Management)Catégorie d'outils qui évaluent en continu les comptes cloud par rapport aux bonnes pratiques et référentiels de conformité afin de détecter et corriger les mauvaises configurations.
CWPP (Cloud Workload Protection Platform)Plateforme protégeant les charges cloud — machines virtuelles, conteneurs, fonctions serverless — sur l'ensemble de leur cycle de vie, du build au runtime.
Enclave sécuriséeZone d'un processeur ou d'un SoC isolée par le matériel et protégée en intégrité, qui exécute du code sensible et stocke des clés hors d'atteinte du système d'exploitation principal.
Environnement d'Exécution de Confiance (TEE)Contexte d'exécution sécurisé et isolé au sein du processeur où code et données sont protégés en confidentialité et en intégrité, même vis-à-vis de l'OS hôte et de l'hyperviseur.
Escalade de privileges IAMDetournement de permissions IAM existantes dans le cloud pour obtenir des privileges superieurs, souvent par edition de policy, prise de role ou auto-attribution de droits admin.
Exfiltration de donnees cloudCopie ou transfert non autorise de donnees hors d'un compte cloud, souvent via APIs de stockage, snapshots, replication ou comptes controles par l'attaquant.
Finding CSPMAlerte produite par un outil de Cloud Security Posture Management lorsqu'une ressource cloud viole un benchmark, une politique ou une regle de conformite.
Fonction en tant que Service (FaaS)Modèle cloud serverless où des fonctions éphémères s'exécutent à la demande en réponse à des événements, le fournisseur gérant serveurs, mise à l'échelle et runtime.
Fuite de cles cloudExposition accidentelle de cles cloud de longue duree dans des depots publics, images de conteneur, logs ou code client, souvent exploitee en quelques minutes.
gVisorgVisor est un noyau applicatif open source de Google qui intercepte les appels systeme des conteneurs en espace utilisateur, reduisant la surface d'attaque du noyau hote exposee aux charges non fiables.
Hold Your Own Key (HYOK)Modèle de gestion de clés où les clés de chiffrement ne quittent jamais le HSM ou le coffre du client ; le fournisseur cloud doit y faire appel pour utiliser la clé.
Identité de WorkloadIdentité cryptographique attribuée à un service, un conteneur ou une fonction pour s'authentifier auprès d'autres systèmes sans secrets partagés longue durée.
Informatique confidentielleProtéger les données pendant leur traitement en exécutant les charges dans des environnements d'exécution de confiance matériels isolés de l'hôte et de l'opérateur cloud.
Infrastructure as a Service (IaaS)Modèle cloud dans lequel le fournisseur livre du calcul, du stockage et du réseau virtualisés, le client gérant l'OS, les middlewares et les applications au-dessus.
Isolation des locatairesEnsemble de contrôles garantissant que, sur une plateforme cloud ou SaaS partagée, les données, identités et charges d'un client ne sont ni accessibles ni perturbées par un autre.
Kata ContainersKata Containers est un runtime open source qui encapsule chaque conteneur ou pod Kubernetes dans une machine virtuelle legere pour fournir une isolation au niveau materiel.
kube-benchOutil open source d'Aqua Security qui verifie automatiquement la configuration d'un cluster Kubernetes par rapport au CIS Kubernetes Benchmark.
KubescapePlateforme open source de securite Kubernetes editee par ARMO, qui analyse clusters, manifests et images pour detecter mauvaises configurations, vulnerabilites et derives de politique.
KyvernoKyverno est un moteur de politiques Kubernetes CNCF qui valide, mute et genere des ressources via des politiques ecrites en YAML natif plutot que dans un nouveau DSL.
Logiciel en tant que Service (SaaS)Modèle de livraison cloud dans lequel un éditeur héberge et exploite une application accessible aux clients via Internet par abonnement.
Mauvaise configuration cloudFaille de sécurité due à des réglages incorrects ou non sécurisés des services cloud : stockage exposé, politiques IAM faibles, ports d'administration ouverts, etc.
Mauvaise configuration de bucket S3Erreur de configuration d'un bucket Amazon S3 (ou stockage objet équivalent) qui expose des objets, permet des écritures non voulues ou octroie un accès inter-comptes trop large.
Mauvaise configuration IAM (cloud)Paramètres IAM cloud non sécurisés ou trop permissifs qui permettent à des utilisateurs, rôles ou services d'effectuer plus d'actions qu'ils n'en ont réellement besoin.
Modèle de responsabilité partagéeCadre de sécurité cloud qui répartit les tâches de sécurité entre le fournisseur (sécurité du cloud) et le client (sécurité dans le cloud).
NetworkPolicy KubernetesNetworkPolicy Kubernetes est une ressource namespaced qui controle quels pods peuvent se connecter a quels pods ou endpoints externes via IP, port et protocole.
OPA (Open Policy Agent)Moteur de politiques généraliste, gradué CNCF, qui découple les décisions d'autorisation des applications et de l'admission Kubernetes via le langage Rego.
OPA GatekeeperOPA Gatekeeper est un controleur de politiques CNCF qui utilise Open Policy Agent et le langage Rego pour appliquer des politiques d'admission et d'audit dans Kubernetes.
Platform as a Service (PaaS)Modèle cloud dans lequel le fournisseur gère runtime, middleware, OS et infrastructure, le client se concentrant sur le code applicatif et les données.
Pod Security StandardsLes Pod Security Standards (PSS) sont des profils de securite definis par Kubernetes — Privileged, Baseline et Restricted — qui codifient la configuration sure des pods et remplacent l'ancien PodSecurityPolicy.
Policy as CodePratique consistant à définir les règles de sécurité, de conformité et de gouvernance dans du code lisible par machine, versionné, testé, revu et appliqué automatiquement.
Runtime SPIREImplémentation open source de référence de SPIFFE : un système serveur-agent qui atteste les workloads et émet des SVID X.509 ou JWT à courte durée de vie.
Sécurité as CodePratique consistant à exprimer contrôles, tests et infrastructure de sécurité sous forme de code source, versionnés, revus, automatisés et livrés en continu avec les applications.
Sécurité de KubernetesProtection d'un cluster Kubernetes — son API server, son plan de contrôle, ses nœuds, ses workloads et son réseau — contre les mauvaises configurations, les compromissions et le mouvement latéral.
Sécurité des conteneursEnsemble de pratiques visant à sécuriser les images de conteneur, les registres, les orchestrateurs et le runtime qui exécute les conteneurs.
Sécurité du cloudEnsemble de politiques, contrôles et technologies qui protègent les données, applications et infrastructures hébergées dans des environnements cloud publics, privés ou hybrides.
Sécurité du Service MeshEnsemble de contrôles d'identité, de chiffrement et d'autorisation qu'un service mesh fournit pour sécuriser le trafic service-à-service en environnement cloud-native.
Sécurité IstioEnsemble des fonctionnalités de sécurité d'Istio : identité de workload via SPIFFE, mTLS automatique et AuthorizationPolicy/RequestAuthentication pour un contrôle d'accès fin.
Sécurité serverlessPratiques de sécurité pour les workloads orientés événements et fonctions (AWS Lambda, Azure Functions, Google Cloud Functions) où les serveurs sous-jacents sont gérés par le fournisseur.
SPIFFEStandard ouvert pour attribuer des identités cryptographiques portables aux workloads via des SPIFFE IDs sous forme d'URI et des SVID X.509 ou JWT à courte durée de vie.
SSPM (SaaS Security Posture Management)Catégorie d'outils qui surveille en continu les configurations, identités et intégrations des applications SaaS pour détecter erreurs et comportements à risque.
SSRF sur metadonnees cloudAttaque SSRF qui exploite une application vulnerable pour interroger le service de metadonnees de l'instance du fournisseur cloud et voler des identifiants temporaires.
TetragonOutil de securite runtime Kubernetes base sur eBPF, issu du projet Cilium, qui observe et applique des politiques de maniere synchrone sur les processus, fichiers et reseau.
Token de ServiceAccount (Kubernetes)Credential JWT monte dans un pod Kubernetes qui authentifie le workload aupres de l'API server et de tout service faisant confiance au fournisseur d'identite du cluster.
Vol de tokens cloudVol de tokens OAuth, SAML ou de signature aupres d'un service d'identite cloud et rejeu pour usurper utilisateurs ou services sans avoir besoin de mots de passe.