Le passage au cloud et au multicloud fait émerger de nouvelles pratiques dans les entreprises. Elles déplacent certains de leurs environnements de travail depuis leurs datacenters vers différents clouds. Cette évolution des applications, des infrastructures sur site vers le cloud public, des systèmes bare metal vers des conteneurs, s’accompagne également de nouvelles problématiques de sécurité. L’adoption de ces nouvelles pratiques doit s’accompagner d’une prise en compte de la sécurité et d’une évolution des pratiques en la matière.
Le périmètre de sécurité existe toujours
Ce n’est pas parce que la sécurité s’étend hors du périmètre de l’entreprise stricto sensu que ce dernier ne compte plus.
Dans un environnement multicloud, la notion de périmètre évolue. Quand les workloads sont distribuées entre plusieurs datacenters physiques et un ou plusieurs types de clouds publics, le périmètre doit être étendu du site physique jusqu’au cloud. Ceci suppose généralement de prévoir un routage sécurisé au niveau de la plateforme cloud (généralement dans le cadre de la passerelle Virtual Private Cloud).
Pour bien gérer la transition, il ne suffit pas de déployer des fonctionnalités de pare-feu dans le cloud. S’il s’agit de ressources qui peuvent être déplacées, il faudra que les règles de sécurité s’appliquent de façon uniforme, peu importe où les charges de travail s’exécutent. Qu’une application soit dans AWS ou Azure ou même sur site, la façon d’exécuter une tâche peut différer, mais l’intention reste la même. Cela signifie que les entreprises se doivent d’adopter des plateformes d’orchestration capables d’appliquer les règles de sécurité à l’ensemble des infrastructures de l’architecture multicloud, aussi hétérogènes soient-elles.
Les options vont inévitablement se multiplier au gré de l’évolution du multicloud. Il convient donc d’anticiper et de prévoir des environnements multifournisseurs.
La nécessité de lier les ressources
Le préfixe multi de multicloud suggère la coexistence d’îlots de ressources différents qu’il convient de connecter. Ces liens devront être sécurisés, ce qui suppose un chiffrement évolutif sur toute la zone servant d’interconnexion au multicloud.
Bien sûr, la taille dicte les besoins. Un grand datacenter opère à une échelle différente de celle d’un site distant ou encore d’une instance applicative tournant dans le cloud. Comme pour le périmètre, la clé ici est de gérer le WAN de façon à uniformiser les opérations malgré la complexité et la variété des systèmes sous-jacents.
Idéalement, les entreprises utiliseront des plateformes d’orchestration multicloud capables de gérer les pares-feux périphériques et les routeurs sécurisés qui composent ces passerelles. Ceci induit à terme une convergence entre multicloud et SD-WAN. De nouveau, ne pas anticiper pourrait compromettre la pérennité des investissements consentis dans l’infrastructure.
L’importance de la segmentation
Si la sécurité périphérique et le transport chiffré des données sont importants, la pierre angulaire de la sécurité multicloud reste la segmentation et la micro-segmentation. La capacité à isoler les applications, les utilisateurs, les terminaux, etc. conditionne la réussite du projet tout autant qu’il réduit les risques.
Il existe trois principaux défis liés à la micro-segmentation dans un contexte multicloud. Tout d’abord celui de la granularité. Il faut pouvoir prendre la bonne décision au bon moment et l’appliquer à l’endroit adéquat. L’action à mener est relativement directe : bloquer, rediriger, consigner, etc. Mais elle doit l’être uniquement là où cela est nécessaire. Autrement dit, la segmentation doit pouvoir être appliquée à un lien, à un port, à une machine virtuelle, à un conteneur ou à une instance cloud.
Le second défi est opérationnel. S’il faut gérer les règles à l’échelle d’une multiplicité d’infrastructures, du cloud au datacenter et au-delà, alors les opérations doivent être fiables et efficaces. De nouveau, il faut miser sur une plateforme d’orchestration commune reliée aux éléments d’infrastructure sous-jacents, afin d’obtenir une visibilité et un contrôle suffisants sur l’ensemble de l’environnement.
Le troisième défi réside dans le fait que l’approche de sécurité doit être mise en œuvre à l’échelle d’un environnement hétérogène. Non seulement les charges de travail sont réparties sur des serveurs baremetal et dans des conteneurs hébergés au sein de clouds privés et publics, mais ces environnements variés dépendent des solutions émanant de fournisseurs multiples. Si bien que quelle que soit l’approche de sécurité retenue, l’option multifournisseurs n’est pas négociable.
La sécurité n’est jamais acquise
S’il y a bien une chose que nous avons appris ces dernières années, c’est que la sécurité n’est jamais chose acquise. Même quand toutes les conditions sont réunies, des menaces peuvent se présenter. Il est donc vital de pouvoir les détecter au sein d’écosystèmes aussi hétérogènes que les environnements multicloud.
De nouveau, la diversité crée des contraintes de design. Une approche de sécurité multicloud doit être à la fois ouverte et en permanence à jour. Les flux de renseignements sur les menaces doivent récupérer l’information depuis là où elle se trouve. Les solutions doivent pouvoir interpréter rapidement l’information disponible et prendre des mesures d’atténuation de la menace à l’échelle de l’infrastructure déployée, aussi large soit-elle.
Si les solutions se focalisent sur des domaines spécifiques ou même des sous-domaines de l’architecture multicloud, alors la défense sera poreuse.
La connectivité dans une architecture multicloud
Pour bénéficier d’une défense en profondeur, les entreprises s’attendent à voir fonctionner chacun des éléments de l’infrastructure de manière uniforme. Il ne s’agit pas d’exécuter des systèmes disparates, chacun jouant son rôle, mais bien de coordonner les ressources au sein d’un écosystème cohérent de sécurité connectée.
A terme, l’instauration de cette couche de sécurité connectée doit avoir pour seul objectif la continuité et l’efficacité des opérations. Les entreprises doivent impérativement considérer les implications opérationnelles des décisions ponctuelles et veiller à ce que chaque décision prise les rapproche d’un environnement multicloud sécurisé et automatisé.
___________
Mike Bushong est VP Enterprise and Cloud Marketing, Juniper Networks