Si votre entreprise héberge des applications dans le cloud, vous devez vous assurer que les communications en ligne de vos applications sont sécurisées, à la fois entre les applications elles-mêmes et entre l’application et le datacenter. Mais les environnements multi-clouds actuels peuvent transformer la gestion de l’accès sécurisé aux workloads en une entreprise gigantesque. Entre les connexions complexes et les exigences de sécurité strictes, c’est un domaine qui a besoin d’être simplifié. Basées sur les approches Zero Trust, de nouvelles solutions pour les workloads dans le cloud apparaissent comme la meilleure solution.

Lorsque les charges de travail sont transférées dans le cloud, elles doivent être accessibles de différentes manières. Dans les scénarios multi-clouds qui prévalent dans les entreprises aujourd’hui, ce fait est au cœur du débat sur la complexité et la sécurité. Pour la plupart des applications hébergées dans le cloud public, trois relations de communication sont nécessaires. La charge de travail, qui se compose de l’application et des données associées, doit être accessible par le service informatique à des fins administratives ; elle doit également être capable de communiquer avec d’autres applications via Internet et être connectée au datacenter. Si les droits d’accès requis dans ces directions ne sont pas configurés correctement, l’entreprise peut accroître sa vulnérabilité aux attaques.

Confusion et chaos au niveau de la communication des workloads

L’augmentation du nombre de charges de travail dans le cloud public au cours des deux dernières années a plongé de nombreuses entreprises dans un système complexe de connexions. Cette complexité est le résultat des différentes exigences de routage pour le trafic de données destiné à l’application dans le cloud, la communication entre les applications basées sur le cloud elles-mêmes, et la communication de l’application vers le datacenter. Des facteurs tels que les niveaux requis de disponibilité des services dans différentes régions et zones de disponibilité, voire des applications redondantes, contribuent à alourdir les voies de communication.

En fonction du volume de données – et avec des vitesses dédiées à la synchronisation des charges de travail de l’ordre du téraoctet – les entreprises sont obligées d’utiliser la technologie de la fibre optique ou des connexions directes aux hyperscalers (les très grands fournisseurs comme Amazon AWS, Google Cloud et Microsoft Azure). Les connexions point à point dédiées répondent à l’exigence de communication de la charge de travail vers le datacenter.

Dans ce type de scénario de cloud complexe, la question de savoir qui est exactement responsable de la sécurité des charges de travail de cloud et de toute l’infrastructure associée est souvent négligée. Bien que les responsabilités aient pu être clairement définies lorsque les applications étaient hébergées sur le réseau (l’équipe chargée des applications, l’équipe chargée du réseau et le service de sécurité jouant tous leur rôle), le cloud brouille ces délimitations traditionnelles des responsabilités. Il est tacitement entendu que la responsabilité de la sécurité de la charge de travail dans le cloud incombe aux responsables de l’application cloud. Cependant, les compétences des développeurs résident souvent dans le développement d’applications ; ils ne sont pas forcément experts en infrastructure de réseau et de sécurité, ce qui peut entraîner des lacunes dans la configuration de la sécurité.

Zero Trust : Simplifier la sécurité des Workloads via le cloud

Ces dernières années, l’approche Zero Trust a gagné en popularité. Elle est perçue comme étant un moyen de sécuriser le trafic des données d’application sur l’Internet, et comme un moyen de sécuriser l’accès à distance aux applications dans les datecenters ou les environnements cloud. Avec cette approche, la communication sécurisée s’effectue sur la base de politiques et de droits d’accès définis, conformément au principe de moindre privilège. Une plateforme de sécurité agit comme une couche de sécurité intermédiaire pour mettre en œuvre ces politiques. Ces services de sécurité opèrent entre l’Internet, les applications et l’utilisateur pour surveiller la communication sécurisée. Dans ce type de scénario, une approche basée sur le cloud est idéale car elle offre la marge de manœuvre nécessaire à l’évolution et nécessite peu d’intervention en termes de gestion.

Ce concept de Zero Trust peut également être appliqué pour la structuration et la surveillance des relations entre les charges de travail dans le cloud, ce qui contribue à réduire la complexité de ces scénarios. Des politiques sont utilisées pour accorder des droits d’accès aux applications requises ; ces droits sont ensuite contrôlés via une plateforme cloud. Cette approche rend les connexions réseau obsolètes et privilégie les connexions granulaires au niveau des applications individuelles. Par le biais d’une connexion encapsulée, un intermédiaire dans le cloud surveille le trafic afin de garantir que seules les relations de communication autorisées sont établies. La plateforme de sécurité du cloud ne se contente pas de mettre en œuvre les droits d’accès, mais gère également d’autres fonctions de sécurité pour surveiller le trafic de données, comme l’analyse du trafic crypté par SSL à la recherche de codes malveillants cachés.

Ne plus faire des workloads dans le cloud une porte d’entrée pour les attaques

Cette approche a un double effet : elle réduit la complexité tout en diminuant la vulnérabilité des charges de travail dans le cloud face aux attaques pouvant avoir lieu sur Internet. Comme les communications entre les applications sont encapsulées, les applications elles-mêmes ne sont pas visibles en ligne, ce qui empêche les parties non autorisées d’y accéder.

Cette méthode permet également la micro-segmentation : à l’aide des politiques de droits d’accès définies, le système détermine quels serveurs peuvent communiquer avec d’autres serveurs et dans quelles circonstances, sans qu’il soit nécessaire d’acheminer le trafic de données via des réseaux externes pour appliquer des règles de pare-feu. Cette approche fonctionne sur différents cloud, contrecarrant ainsi la méthodologie décentralisée des hyperscalers.

Elle rétablit également la répartition traditionnelle des responsabilités pour l’application, le réseau et la sécurité. Le développeur d’applications n’est responsable que de la mise en place du chemin de l’application vers la plateforme de sécurité du cloud ; la responsabilité de la sécurité de l’infrastructure du cloud est transférée à l’équipe de sécurité une fois les politiques établies. Comme les applications ne sont plus exposées en ligne à des fins de communication, l’entreprise réduit également sa vulnérabilité aux attaques.

Il convient alors que les connexions des charges de travail dans le cloud public doivent être tout aussi sécurisées que les connexions par lesquelles les utilisateurs individuels accèdent à leurs applications basées sur le cloud. L’application du principe Zero Trust permet ainsi aux entreprises de s’assurer d’une communication simple et sécurisée, tout en réduisant leur exposition aux attaques sur Internet. Cette approche réduit la complexité en restructurant les flux de données tout en renforçant les défenses de sécurité, ce qui en fait la solution parfaite pour le « cloud-first » qui prévaut aujourd’hui dans les entreprises.
___________________

Par Ivan Rogissart, Directeur Avant-Vente Europe du Sud chez Zscaler

À lire également :

> Cybersécurité : 10 prévisions pour 2022

> Approche Zero Trust : réduire sa présence en ligne pour mieux lutter contre la cybercriminalité.

> Objets connectés : le besoin majeur de dispositifs de sécurité pour l’Edge et l’IoT.

> Aller au-delà du Zero Trust pour lutter contre les ransomwares et les fuites de données…

> L’authentification forte, pierre angulaire du modèle Zero Trust.

> 5 questions sur le modèle Zero Trust auxquelles les MSP doivent se préparer à répondre