Traitement en cloud : une sécurité à ne pas négliger
Introduction
Les déploiements en mode cloud ne présentent pas tous les mêmes défis en matière de sécurité. Et cela ne serait-ce qu’en raison des différences de niveau de responsabilité – et donc de contrôle – sur les couches basses de la pile d’infrastructure qu’il peut y avoir entre un IaaS, permettant de commander des machines virtuelles (VM), un environnement d’exécution de conteneurs, ou un autre d’exécution de fonctions serverless.
Pour autant, comme le souligne Neil MacDonald, analyste de Gartner, il est nécessaire de maintenir une visibilité et un contrôle consistants, sur l’ensemble des traitements réalisés en mode cloud, quelle qu’en soit la taille ou la localisation. Pour lui, même l’approche consistant à s’appuyer uniquement sur des solutions de protection des hôtes (EPP) afin de protéger les traitements sur serveur – et donc VM – ne suffit pas. Pour lui, d’ici à 2022, 60 % de ces traitements utiliseront le contrôle applicatif au lieu de l’antivirus. Et c’est tout l’enjeu des plateformes de protection des traitements cloud (CWPP, ou Cloud Workload Protection Platform).
Neil MacDonald explique ainsi que les CWPP « protègent les traitements contre les attaques, où qu’ils s’exécutent et quel que soit leur niveau de granularité ». Ils apportent aussi un niveau de contrôle et de visibilité cohérent, pour les déploiements multiclouds et hybrides.
Des tendances convergentes
Le besoin auquel visent à répondre ces plateformes a de multiples origines. Il faut ainsi compter avec l’adoption croissante des IaaS pour le déploiement de traitements. Et là, les solutions de CWPP s’avèrent finalement plus faciles à intégrer que des solutions traditionnelles combinant réseau et hôtes.
En outre, les flux réseau sont massivement chiffrés. Pour y détecter et intercepter les menaces, il est possible de jouer sur des stratégies de déchiffrement en cours de route, de type « man-in-the-middle ». Mais l’approche présente des risques certains. En définitive, le meilleur endroit pour analyser le trafic réseau est peut-être encore là où il est traité en clair. Et cela vaut tout particulièrement pour le trafic dit « est-ouest, de service à service, dans les architectures basées sur les microservices », relève Neil MacDonald.
Et c’est sans compter avec le besoin de contrôle de la sécurité et de l’intégrité des traitements durant leur exécution : « les applications nativement cloud nécessitent des solutions conçues pour répondre aux besoins de protection des systèmes basés sur le cloud », résume l’analyste.
Les éditeurs de solutions de protection des hôtes ont bien compris cette situation. Des acteurs tels que Check Point, McAfee, Sophos, Trend Micro, ou même FireEye et Palo Alto Networks ont pris le virage, avec force rachats, de la protection des traitements cloud. Et cela vaut aussi pour VMware, entre autres.
Plusieurs niveaux de contrôle
Neil MacDonald identifie huit couches de contrôle relevant des CWPP. La première, la plus basse, est aussi la plus critique : elle touche au durcissement, à la gestion des configurations et des vulnérabilités, notamment en supprimant des images les services qui ne sont pas nécessaires à la production du traitement voulu.
La seconde relève des capacités de communication et de l’exposition sur le réseau, avec notamment le recours à la microsegmentation : le but consiste là à limiter l’étendue des tiers avec lesquels un traitement est susceptible de communiquer, afin de limiter les possibilités d’attaque.
Viennent ensuite le contrôle d’intégrité – au démarrage et durant l’exécution – et le contrôle applicatif, avec des mécanismes de liste blanche, ou encore la prévention d’exploitation de vulnérabilités et la protection de la mémoire vive. À cela s’ajoutent l’EDR (Endpoint detection and response) et la surveillance comportementale, ainsi que la prévention d’intrusion au niveau de l’hôte (HIPS) et enfin la recherche de maliciels sur les fichiers.
Étudier les offres méticuleusement
Neil MacDonald relève que certains éditeurs essaient de couvrir l’ensemble de ces couches de contrôle quand d’autres préfèrent se concentrer sur quelques-unes uniquement. Mais les critères de choix ne s’arrêtent pas là. Il faut également compter avec la diversité des traitements supportés, les capacités analytiques proposées, les possibilités d’intégration – en termes de consoles et d’administration, mais également dans les processus de développement –, les politiques de licences et leur flexibilité et enfin les recouvrements potentiels avec d’autres domaines comme le pare-feu applicatif (WAF), l’équilibrage de charge, mais aussi la gestion de la posture de sécurité cloud (CSPM, Cloud Secure Posture Management).
Dans ce dernier domaine, les mouvements se sont récemment multipliés. Aqua Security s’est ainsi engagé sur ce segment de marché, de même que Zscaler, notamment. Il faut dire que la simplicité et la rapidité avec laquelle peuvent être déployées des ressources cloud augmentent le risque de défauts de configuration dangereux. Et l’histoire a eu l’occasion de faire la démonstration de la réalité de ce risque.
1Savoir-
Les bases de sécurité des traitements en cloud
Partage des responsabilités dans le cloud : Microsoft joue la pédagogie
L’éditeur semble avoir décidé d’aider les moins matures des clients de services cloud à bien comprendre comme il appréhende le partage des responsabilités en matière de sécurité. Lire la suite
Les bonnes pratiques de la protection des traitements cloud
Découvrez les pratiques de référence pour protéger les traitements cloud, qu’il s’agisse de machines virtuelles, d’hôtes ou de conteneurs. Sans oublier la boucle d’amélioration continue que cela implique. Lire la suite
Traitements cloud : quels outils et contrôles de sécurité fonctionnent le mieux ?
L’objectif consiste à construire un modèle de sécurité dans le cloud qui permette d’intégrer des contrôles et de surveiller le déploiement sans entraver les processus métiers. Lire la suite
Cloud : cinq étapes pour sécuriser la console d’administration
Le verrouillage de la console d’administration est essentiel pour maintenir la sécurité de ses déploiements cloud, et encore plus dans les environnements multicloud. Et cela ne nécessite pas des efforts insurmontables. Lire la suite
2Appliquer-
Les outils de sécurisation des traitements cloud
Avec Carbon Black, VMware se donne les moyens d’être un acteur majeur de la sécurité
Le mastodonte de la virtualisation et de l’administration des terminaux vient d’annoncer l’acquisition d’un spécialiste de la sécurité de ces derniers. Une opération hautement stratégique et des ramifications multiples. Lire la suite
Palo Alto consolide son offre de sécurité cloud
L’équipementier rassemble sous la même marque Prisma ses offres Aperture, GlobalProtect et Redlock. D’autres viendront les rejoindre, à commencer par Twistlock et PureSec, ses deux toutes nouvelles acquisitions. Lire la suite
Palo Alto poursuit l’extension de son offre de sécurité des infrastructures cloud
L’équipementier s’apprêter à racheter Aporeto, un spécialiste de la micro-segmentation basée sur l’identité des machines. De quoi compléter les précédentes acquisitions de Twistlock, de PureSec ou encore de Redlock et d’Evidenti.io. Lire la suite
Sophos s’attaque à la sécurité des déploiements cloud
L’éditeur vient de procéder à l’acquisition de la jeune pousse Avid Secure, un spécialiste de la sécurité et de la conformité des environnements de cloud public, misant sur l’automatisation dopée à l’analyse comportementale. Lire la suite
Check Point renforce son offre de sécurité IaaS avec Dome9
L’équipementier vient d’annoncer le rachat de cette jeune pousse qui a développé une plateforme SaaS de sécurisation des environnements de cloud public hétérogènes aux capacités étendues. Lire la suite
FireEye poursuit l’extension de son offre, cette fois-ci vers le cloud
Le groupe va s’appuyer sur la technologie de Cloudvisory pour superviser les environnements multi-cloud, mais également micro-services. Avec en prime des capacités de micro-segmentation. Lire la suite
GuardiCore veut donner plus de visibilité sur le centre de calcul, y compris hybride
La jeune pousse se propose de surveiller en profondeur le trafic réseau, en intégrant sa dimension applicative, pour détecter les violations de règles et les brèches éventuelles. Lire la suite
3Surveiller-
Contrôler sa posture de sécurité cloud
Zscaler s’intéresse à son tour à la gestion de la posture de sécurité dans le cloud
L’éditeur va racheter Cloudneeti pour aider ses clients à détecter et corriger les éventuels défauts de configuration de leurs déploiements IaaS et PaaS. Il suit ainsi les récents exemples de Trend Micro et d’Aqua Security. Lire la suite
Trend Micro s’offre un spécialiste de la posture de sécurité cloud
L’éditeur vient d’annoncer l’acquisition de Cloud Conformity, une jeune pousse qui propose une solution d’identification et de correction des défauts de configuration des environnements cloud. Lire la suite
Aqua Security étend son offre à la posture de sécurité dans le cloud
Ce spécialiste de la sécurité des conteneurs étend son offre aux machines virtuelles hébergées en IaaS, et s'offre un spécialiste du contrôle de la posture de sécurité cloud, CloudSploit. Lire la suite
Avec Nanosec, McAfee renforce son offre de protection des traitements en mode cloud
La technologie de la jeune pousse va venir compléter l’offre Mvision Cloud avec, à la clé, une visibilité et un contrôle renforcés sur les applications et services produits en environnement cloud. Lire la suite