Editeur | Michael Renotte

Les déploiements cloud modernes sont extrêmement complexes et impliquent souvent plusieurs clouds. Si les fournisseurs de cloud public consacrent des efforts considérables à la sécurité, les clients n'en conservent pas moins la responsabilité de la manière dont ils utilisent ces services, ce qui représente un défi considérable lors de la mise à l’échelle des charges de travail et des applications dans le cloud.


Emanuel Da Costa, Security Engineer chez Check Point Software Technologies, et Laurent Untereiner, Head of Sales Unit Network & Security chez Telindus, nous expliquent comment une stratégie de sécurité unifiée native du cloud peut contribuer à automatiser la sécurité et à optimiser les déploiements dans le cloud.


TS : L'adoption d'une infrastructure de cloud public par une organisation signifie que la sécurité est désormais partagée entre celle-ci et son prestataire de Cloud. Face à cette réalité, comment les entreprises peuvent-elles se doter d'une sécurité réseau automatisée et élastique afin de protéger leurs actifs et leurs données tout en restant alignées sur les besoins dynamiques des environnements de cloud public ? 

EC : "Nous constatons que lorsqu'une entreprise entreprend d'étendre son centre de données vers le cloud public, son premier pas dans ce sens consiste à sécuriser ses réseaux. Une solution de gestion unifiée de la sécurité - comme CloudGuard Cloud Network Security - qui fait partie de la plateforme CloudGuard de Check Point Software - autorise les entreprises à gérer de manière cohérente leurs politiques de sécurité et leur offre une vue unifiée de l’ensemble des clouds publics, privés, hybrides et des réseaux sur site."


"Cette solution permet de prévenir les menaces avancées grâce à des fonctionnalités qui ne sont pas offertes nativement par les fournisseurs de Cloud, telles que pare-feu, IPS, App Control, Anti-Bot, antivirus ou encore sandboxing."


"CloudGuard Cloud Network Security assure non seulement évolutivité, haute disponibilité, élasticité et efficacité, elle garantit également l’agilité, la rapidité de déploiement et l’automatisation des flux de travail CI/CD indispensables dans les environnements DevOps."


LU"Les équipes de développement de nos clients doivent répondre avant tout à des besoins métier qui évoluent rapidement et constamment. La sécurité est souvent vue comme un frein qui apporte des contraintes supplémentaires et ralentit le développement. En conséquence, la communication entre les équipes de développement et les équipes en charge de la sécurité des infrastructures et applications est rarement optimale."


"L’avantage de la solution Cloud Guard Cloud Network Security est de permettre d’automatiser de façon transparente l’intégration de la politique de sécurité définie par les équipes de sécurité dans les déploiements opérés par les équipes de développement. L’environnement déployé répond ainsi automatiquement aux templates de sécurité établis, simplifiant grandement le quotidien de toutes les équipes opérationnelles de nos clients."


"D'une manière générale, l'évolution des pratiques vers le DevSecOps permet à la sécurité de devenir un business enabler plutôt qu'un facteur de blocage comme cela a été le cas par le passé." 

 


TS : La sécurisation des charges de travail dans le cloud exige une approche différente de la protection des actifs traditionnels dans un centre de données, car les bonnes pratiques vont à l'encontre de la pensée traditionnelle. Comment les organisations peuvent-elles relever les nouveaux défis posés par les environnements cloud hyper-dynamiques pour lesquels les outils basés sur des règles et des antivirus ne suffisent pas ?


EC"L'adoption croissante du cloud entraîne en effet la transformation des applications dites monolithiques en microservices, ce qui donne beaucoup d'agilité et de flexibilité mais entraîne un certain nombre de challenges en matière de sécurité. L’aspect dynamique de ces charges de travail implique également que le nombre d’actifs hébergés dans des environnements complexes est en croissance constante."


"CloudGuard Cloud Workload Protection permet de répondre aux problématiques de sécurité posées par ces nouveaux types de charges de travail. Dans un premier temps, la solution apporte une meilleure visibilité sur les environnements conteneurs et serverless, elle autorise la détection de problèmes de configuration pouvant entraîner des risques de sécurité et la vérification de la conformité avec les principaux standards tel que CIS et NIST." 


"CloudGuard Cloud Workload Protection offre également la possibilité de scanner les environnements conteneurs et serverless et de détecter ainsi des vulnérabilités tout long du cycle de vie de l’application, et ce dès la phase de développement. La solution fournit en effet aux développeurs les outils nécessaires pour effectuer les tests de sécurité dans le flux CI/CD, dans les registres de conteneurs publics et privés où sont stockées les images ainsi que dans les conteneurs en exécution. Cela permet d'éviter tous les processus de contrôle de la sécurité - vulnerability management, pen testing, etc. - que l'on avait l'habitude d'effectuer à posteriori, après le déploiement des applications."   


"Enfin, CloudGuard Cloud Workload Protection apporte les moyens de détecter et de bloquer les menaces en temps réel grâce à ses fonctionnalités de profilage automatique et d'arrêter les attaques sur la couche applicative telles que celles recensées par l’OWASP."


LU"L’utilisation des conteneurs et du serverless computing n'est plus réservée au testing. Elle est en train de s’élargir aux environnements de production touchant directement les métiers. Ces environnements très spécifiques doivent être sécurisés avec des solutions ad-hoc."


"Pour en faciliter la gestion au quotidien, il est impératif que ces nouvelles solutions soient facilement gérables par les équipes sécurité. C’est un critère extrêmement important car ces nouveaux environnements diffèrent fortement des charges de travail classiques, durant la phase de déploiement mais aussi tout au long de leur cycle de vie. Les réflexes habituels des équipes sécurité ne sont donc pas toujours applicables."


 "C’est grâce à une bonne visibilité sur les menaces et la compliance que ces équipes peuvent retrouver leur efficacité. Les solutions avancées telles que CloudGuard Cloud Workload Protection répondent à ces besoins spécifiques. Grâce à leur expertise, les ingénieurs certifiés Checkpoint de Telindus sont en mesure d’accompagner nos clients pour la mise en œuvre de ces solutions et ainsi répondre aux évolutions de la sécurité pour les cloud hyper-dynamiques."

 


TS : Les API devenant une composante fondamentale du développement d’applications modernes, la surface d’attaque ne cesse de s’étendre. Le cabinet Gartner estime ainsi que, d’ici 2022, attaquer les APIs constituera le vecteur d’attaque le plus fréquent et entraînera des violations de données au niveau des applications web d’entreprise. Toujours d'après Gartner, 40% des attaques contre les applications web se font déjà via les API en lieu et place des interfaces utilisateur. Au vu de ces éléments alarmants, comment sécuriser les applications web et les APIs ?

EC"CloudGuard for Application Security représente un nouveau paradigme pour la sécurité des applications. En s’appuyant sur le machine learning et un moteur d'IA contextuel, CloudGuard AppSec apprend comment une application est typiquement utilisée, établit un profil de l’utilisateur ainsi que du contenu de l’application et donne en conséquence un score à chaque demande."


"La solution permet ainsi de bloquer de manière très précise des requêtes illégitimes, de protéger les APIs en appliquant des schémas autorisés et d'empêcher les attaques automatisées du type Botnet via des mécanismes d’injections JS en identifiant les interactions humaines et non-humaines."


"Cette approche, basée sur de l’IA contextuelle, permet d’éliminer les faux positifs tout en maintenant des normes élevées en termes de sécurité des applications. Contrairement aux solutions WAF traditionnelles basées sur des signatures, CloudGuard AppSec s’adapte automatiquement lors de mise à jour applicative et autorise le passage du déploiement en mode préventif de manière quasi instantanée." 


LU"Toute solution arrivant aujourd’hui sur le marché se doit de fournir des APIs pour s’interfacer avec le reste de l’environnement, être automatisable et pilotable. Le nombre d’APIs dans les environnements de production est en pleine explosion et leur utilisation est aujourd’hui clé, il n’est donc pas envisageable d’en fermer l’accès sous couvert de sécurité non maîtrisée."


 "Pour les applications web classiques, l’utilisation de solutions WAF fait partie depuis longtemps des meilleures pratiques. Quant aux APIs, leur sécurisation par des outils tiers est encore loin d'être une préoccupation pour nos clients, ils se reposent souvent uniquement sur la sécurité native implémentée par les éditeurs de ces interfaces de communication."

 "Les équipes de Telindus ont donc un important travail d’évangélisation à accomplir afin d'éviter que l’exploitation des avantages offerts par les APIs ne se traduisent par l’ouverture de brèches utilisables par un assaillant potentiel."

 

Une question ? Contactez nous !

* Champs obligatoires
Recevez chaque mois un concentré du Blog