Scaleway BlogAller au contenu principalAller au pied de page

Nos dernières features de sécurité — et ce qu'elles changent pour vos projets

Scale
Cyril Petel
Temps de lecture 6 min

Chez Scaleway, nous concentrons tous nos efforts sur la construction des produits Compute, Storage et AI dont les entreprises européennes ont besoin pour prospérer dans le cloud. Et malheureusement, nous prenons rarement le temps de revenir sur nos progrès — en particulier sur des fonctionnalités transverses comme la sécurité, dont l’impact se fait sentir dans toute l’organisation.

Mais au fil du temps, la sécurité est devenue un pilier central de notre stratégie. Rien qu’au cours des derniers mois, nous avons travaillé sur tant de produits et fonctionnalités de sécurité qu’il est difficile de tous les compter ! C’est donc le moment idéal pour faire le point.

Nos dernières mises à jour s’articulent autour de quatre grands piliers :

  1. Gestion des accès : contrôler qui peut accéder à votre infrastructure
  2. Réseau sécurisé : isoler les communications au sein de votre réseau
  3. Protection des données : garantir la confidentialité et la disponibilité de vos informations
  4. Auditabilité et Conformité : surveiller toutes les actions effectuées dans votre Organisation
Nos dernières mises à jour en matière de sécurité s'articulent autour de quatre piliers : Gestion des accès, Réseau sécurisé, Protection des données, et Auditabilité et Conformité.

Voyons maintenant comment chaque pilier contribue à renforcer la sécurité de vos projets.

Gestion des accès

Selon la Cloud Security Alliance, une mauvaise configuration des accès reste la première menace dans le cloud. Plus vos projets sont complexes et impliquent d’acteurs, plus la gestion des accès doit être granulaire.

Grâce à nos dernières évolutions sur Identity Access Management (IAM) et d’autres produits, vous pouvez désormais vous assurer que seuls les utilisateurs et systèmes autorisés ont accès à vos ressources, réduisant ainsi les risques d’accès non autorisé à votre Organisation.

  • Membres d’une Organisation : au cours des 12 derniers mois, notre équipe IAM a entièrement repensé la gestion multi-utilisateurs dans les Organisations Scaleway. Nous sommes passés d’un système d’invités, où chacun devait posséder sa propre Organisation, à un modèle moderne et sécurisé basé sur les membres. Les administrateurs IAM disposent désormais d’un contrôle accru sur l’authentification, avec encore plus de fonctionnalités à venir. [Plus d’infos ici]
  • Conditions IAM : en utilisant le langage standard d’expressions conditionnelles CEL, les utilisateurs avancés peuvent désormais affiner leurs policies selon les paramètres de requête (timestamp, user agent, adresse IP). Ce système ouvrira la voie à des permissions encore plus fines au niveau des ressources. [Plus d’infos ici]
  • Améliorations du login (SSO, WebAuthn) : comme l’authentification demeure un vecteur d’attaque majeur, nous poursuivons la transition vers une authentification basée sur l’identité plutôt que sur la connaissance d’un secret. De nouveaux flux SSO via OAuth2 sont disponibles pour les Owners et les membres. De plus, WebAuthn est désormais pris en charge comme pour l’authentification à deux facteurs (2FA) : vous pouvez donc utiliser votre empreinte digitale ou une clé FIDO2. [Plus d’infos ici]
  • Support SAML pour les membres : l’authentification via un fournisseur d’identité compatible SAML est maintenant possible pour tous les membres d’une Organisation. Une configuration simple permet aux administrateurs d’utiliser leurs outils internes pour gérer la connexion des employés. [Plus d’infos ici]
  • Compatibilité IAM avec Kubernetes RBAC : combinez Scaleway IAM et Kubernetes RBAC pour renforcer le contrôle d’accès sur vos clusters. Les rôles peuvent être attribués à des utilisateurs, groupes ou ServiceAccounts via RoleBindings et ClusterRoleBindings. [Plus d’infos ici]
  • Multi-utilisateurs sur MongoDB : plusieurs utilisateurs peuvent désormais accéder à une même instance MongoDB, avec des rôles globaux ou spécifiques permettant d’affiner les permissions. [Plus d’infos ici]

Réseau sécurisé

Par nature, le cloud public est accessible depuis Internet — votre infrastructure peut donc être atteinte par bien plus que vos collaborateurs. Notre nouveau portefeuille Network vous permet de mieux contrôler le flux du trafic et de surveiller l’activité pour protéger vos environnements contre les menaces internes et externes.

  • Web Application Firewall (WAF) : En plus de nos services Edge (qui permettent la mise en cache de nos Load Balancers et buckets), nous avons déployé un pare-feu applicatif web (WAF) protégeant contre les requêtes malveillantes. Les niveaux de paranoïa et les exclusions peuvent être ajustés selon vos besoins réseau. [Plus d’infos ici]
  • InterLink : créez une connexion privée et sécurisée entre votre infrastructure externe et votre VPC Scaleway. Votre trafic circule ainsi en toute sécurité, hors de l’Internet public. [Plus d’infos ici]
  • Listes de contrôle d’accès (ACL) pour VPC : configurez les flux réseau au sein de votre VPC selon des règles précises, limitant le trafic entre certaines sources et destinations. [Plus d’infos ici]
  • Intégrations VPC : certains clients exigent une connexion entièrement privée entre les composants de leur architecture. Nos produits Functions, Containers, Apple Silicon et MongoDB sont désormais compatibles avec les Private Networks. [Plus d’infos ici]
  • VPN site-à-site (S2S VPN) en bêta privée : connectez votre VPC Scaleway à votre infrastructure distante via un tunnel chiffré. [Plus d’infos ici]

Protection des données

La protection des données vise à préserver vos informations les plus sensibles grâce au chiffrement, aux sauvegardes et à un stockage sécurisé, garantissant la Confidentialité, l’Intégrité et la Disponibilité des données (le fameuse triade CIA). Cette année, l’accent a été mis sur la confidentialité, notamment via le chiffrement au repos de nos produits clés.

  • Key Manager : notre service de gestion de clés (KMS) est désormais en disponibilité générale. Il permet de créer, faire une rotation, protéger et supprimer des clés, qu’elles soient symétriques ou asymétriques. [Plus d’infos ici]
  • SSE-C sur Object Storage : le chiffrement côté serveur avec clé client est désormais disponible. Lors d’une action put/get, si une clé est fournie, les objets sont chiffrés ou déchiffrés avec des algorithmes de pointe. [Plus d’infos ici]
  • Intégrations de Secret Manager : notre solution de gestion des secrets est désormais intégrée à d’autres produits Scaleway (Serverless Jobs, VPN site-à-site, Edge Services), garantissant une utilisation sécurisée des secrets dans tout l’écosystème. [Plus d’infos ici]
  • Chiffrement au repos des bases de données managées : PostgreSQL et MySQL bénéficient désormais du chiffrement des données stockées au repos. [Plus d’infos ici]

Auditabilité et conformité

De plus en plus de clients demandent une visibilité en temps réel et une conformité intégrée avec les dernières normes réglementaires. Ces nouvelles fonctionnalités répondent à ce besoin.

  • Audit Trail en beta et intégration de 7 produits : suivez, dans un espace centralisé, qui a effectué quelle action dans votre Organisation. Les produits couverts incluent Kubernetes, Secret Manager, Apple Silicon et d’autres à venir. [Plus d’infos ici]
  • Certification HDS pour Dedibox et Elastic Metal : nous avons obtenu la certification Hébergement de Données de Santé (HDS) pour nos offres Bare Metal. Nos équipes commerciales peuvent vous accompagner dans la mise en place d’architectures conformes aux exigences les plus strictes. [Contactez nos équipes commerciales]

Sécurité : les améliorations à venir chez Scaleway

Gestion des accès, réseau sécurisé, protection des données, auditabilité et conformité : grâce à nos dernières améliorations, vos projets et Organisations bénéficient d’une sécurité renforcée sur tous les plans.

Et ce n’est qu’un début. Les équipes produit et ingénierie de Scaleway continuent de travailler à vous offrir la meilleure expérience de sécurité possible. Dans les prochains mois, nous travaillerons sur des fonctionnalités très demandées comme SSE-KMS pour Object Storage, la conformité SecNumCloud, ou encore le VPC Peering. Restez à l’écoute !