Sécurité du cloud : transformer de fausses hypothèses en garanties avec Illumio
Dans notre article de blog précédent, j'ai expliqué à un haut niveau pourquoi c'était une erreur d'ignorer les risques liés à une sécurité inadéquate du cloud. Et j'ai introduit deux fausses suppositions que de nombreuses organisations font lorsqu'elles adoptent des services cloud pour soutenir leurs activités.
Dans cet article, nous allons examiner trois autres hypothèses et comment vous pouvez facilement exploiter la puissance de Illumio CloudSecure pour une meilleure visibilité et un meilleur contrôle natifs du cloud.
Hypothèse #3 : les services cloud sont isolés d'Internet.
Pour aider les clients à tirer le meilleur parti de leurs investissements, les fournisseurs de cloud leur fournissent des ressources d'infrastructure en tant que service (IaaS) et de plateforme en tant que service (PaaS). Il peut s'agir de machines virtuelles, de conteneurs, de fonctions sans serveur et de bases de données cloud gérées.
Mais ceux-ci services cloud peut être ouvert sur Internet, souvent par défaut. Ils peuvent donc constituer des points d'entrée pour une violation potentielle. La limitation de leur accès relève de la responsabilité du client, et non du fournisseur de cloud. N'oubliez pas que le cloud n'est pas un « moindre privilège » par défaut. Il fonctionne plutôt sur la base d'un « excès de privilège ». Cela signifie que vous devez déterminer quelles ressources peuvent communiquer entre elles et bloquer tout le reste.
Sans visibilité sur les applications qui se trouvent dans le cloud et sur ce qui communique avec elles, vous pourriez héberger des ressources critiques dans le cloud sans contrôles adéquats. Cela est particulièrement dangereux si vos charges de travail et vos fonctions de processus dans le cloud public sont exposées aux ressources internes du centre de données.
Pour garantir une bonne sécurité du cloud, vous devez comprendre les voies de communication entre vos charges de travail sur site et dans le cloud. Tout comme pour le centre de données, vous devez savoir exactement ce qui est connecté à Internet. Ensuite, vous devez vous assurer que ces connexions ne deviennent pas des chemins permettant à des pirates informatiques ou à des logiciels malveillants d'accéder à votre réseau.
Hypothèse #4 : Il n'y a pas de limites à la mise à l'échelle des services cloud.
Du point de vue de la sécurité, les clouds publics tels qu'AWS et Microsoft Azure limitent le nombre de segments pouvant être créés pour gérer la sécurité. Cela vous empêche d'obtenir un contrôle précis de vos applications et données cloud.
La réponse des fournisseurs de cloud à la segmentation est le segment de réseau virtuel : dans le cas d'Amazon, le cloud privé virtuel (VPC) et dans le cas de Microsoft, le réseau virtuel Azure (VNet). Pour ces environnements, les groupes de sécurité créent le périmètre à l'intérieur et à l'extérieur du segment.
Toutefois, le nombre de groupes de sécurité pouvant exister dans un segment de réseau virtuel est limité. Si vous avez besoin de plus que la limite, vous devez utiliser plusieurs hôtes dans un segment. Mais pour évoluer efficacement, chaque segment ne doit avoir qu'un seul hôte.
La présence de plusieurs hôtes sur un même segment entraîne une complexité de gestion accrue et un risque de sécurité accru. Si un hôte est piraté, vous ne voulez pas qu'il communique avec un autre hôte (et qu'il puisse infecter) un autre hôte. Pour évoluer, vous aurez besoin d'une aide supplémentaire en plus de ce que proposent vos fournisseurs de cloud pour segmenter l'accès. Sinon, vous serez confrontés aux mêmes problèmes que ceux rencontrés par les entreprises avec la segmentation traditionnelle des centres de données : visibilité médiocre, gestion complexe des politiques et nécessité de « reconnecter » manuellement les configurations réseau et les pare-feux.
Hypothèse #5 : Une fois que vous avez sécurisé une charge de travail, votre travail est terminé.
Quand les gens pensent à sécurité des charges de travail, beaucoup pensent à tort que leurs charges de travail restent au même endroit. Mais dans le cloud, vos charges de travail peuvent être transférées sur plusieurs clouds publics, chacun ayant son propre modèle de politique. Dans ce cas, il est peu probable que les segments de sécurité partagent les mêmes contrôles de sécurité. Et même si c'est le cas, votre équipe de sécurité doit surveiller en permanence ce mouvement pour s'assurer que les charges de travail sont protégées par une politique appropriée.
Toutes les ressources informatiques, les ressources sans serveur et les objets du cloud sont dynamiques. Au fur et à mesure que ces ressources et objets cloud se déplacent, leurs adresses IP changent également. Ils peuvent changer d'endroit où ils résident dans un cloud public. Ils peuvent également passer d'un fournisseur de cloud à un autre. Ils peuvent même « mourir », pour ensuite revenir à la vie avec une nouvelle adresse IP.
Par conséquent, vous ne pouvez plus rédiger de politique en utilisant une approche traditionnelle. Examinez plutôt vos charges de travail dans le cloud pour comprendre comment les composants de l'application interagissent entre eux. Une fois que vous avez une idée claire du comportement de votre application, vous pouvez rédiger des politiques d'application appropriées.
L'essentiel à retenir est que toutes les applications cloud, quel que soit leur lieu de résidence ou les ressources associées qu'elles utilisent, doivent être protégées avec autant de diligence que n'importe quelle application exécutée sur un serveur dans un centre de données traditionnel.
La sécurité est un outil commercial clé pour le cloud
Quelles sont les raisons qui motivent les entreprises, grandes et petites, à migrer ou envisagent de transférer davantage de charges de travail vers le cloud ? La rapidité, la flexibilité et l'évolutivité qu'offre le cloud. Néanmoins, la sécurité, « l'enfant orphelin », ne fait souvent pas partie des discussions relatives à la migration vers le cloud. Pourquoi ? Parce que la sécurité est considérée comme un « facteur de complication » et non comme un accélérateur d'activité.
Toutefois, la planification de la sécurité doit faire partie intégrante de tout effort de migration vers le cloud, et non être une question secondaire. CloudSecure surveille et protège en permanence les applications, les machines virtuelles et les conteneurs natifs du cloud, ainsi que les infrastructures sans serveur, PaaS et IaaS. Vous pouvez donc adopter le cloud en toute confiance.
Découvrez comment renforcer la sécurité de vos environnements multicloud et hybrides :
- Regardez la démo pour voir Illumio CloudSecure en action.
- Lisez le fiche produit.
- Téléchargez le Gartner Hype Cycle pour les réseaux Zero Trust 2023.