Sécurité dans le nuage : Transformer les fausses hypothèses en assurances avec Illumio

Dans notre précédent article de blog, j'ai expliqué en gros pourquoi c'était une erreur d'ignorer les risques d'une sécurité inadéquate de l'informatique dématérialisée. Et j'ai présenté deux hypothèses erronées que de nombreuses organisations font lorsqu'elles adoptent des services en nuage pour soutenir leurs activités.

Dans ce billet, nous examinerons trois autres hypothèses et la façon dont vous pouvez facilement exploiter la puissance d'Illumio CloudSecure pour une meilleure visibilité et un meilleur contrôle de l'informatique en nuage.

Hypothèse n° 3 : les services en nuage sont isolés de l'internet.

Pour aider les clients à tirer le meilleur parti de leurs investissements, les fournisseurs de services en nuage leur proposent des ressources d'infrastructure sous forme de service (IaaS) et de plateforme sous forme de service (PaaS). Il peut s'agir de machines virtuelles, de conteneurs, de fonctions sans serveur et de bases de données cloud gérées.

Mais ces services en nuage peuvent être ouverts à l'internet, souvent par défaut. Ils peuvent donc constituer des points d'entrée pour une violation potentielle. Limiter leur accès relève de la responsabilité du client, et non du fournisseur de services en nuage. N'oubliez pas que l'informatique dématérialisée n'est pas un système de "moindre privilège" par défaut. Au contraire, il fonctionne sur la base d'un "excès de privilèges". Cela signifie que vous devez déterminer quelles ressources peuvent communiquer entre elles et bloquer toutes les autres.

Sans visibilité sur les applications qui se trouvent dans le nuage et sur ce qui communique avec elles, vous pourriez héberger des ressources critiques dans le nuage sans contrôles adéquats. Cela est particulièrement dangereux si vous avez des charges de travail et des fonctions de traitement dans le nuage public qui sont exposées aux ressources du centre de données interne.

Pour garantir une bonne sécurité dans le nuage, vous devez comprendre les voies de communication entre vos charges de travail dans le nuage et sur site. Tout comme pour le centre de données, vous devez savoir exactement ce qui est connecté à l'internet. Vous devez ensuite veiller à ce que ces connexions ne deviennent pas des voies d'accès à votre réseau pour les pirates ou les logiciels malveillants.

Hypothèse n° 4 : il n'y a pas de limites à la mise à l'échelle des services en nuage.

Du point de vue de la sécurité, les nuages publics comme AWS et Microsoft Azure limitent le nombre de segments qui peuvent être créés pour gérer la sécurité. Cela vous empêche de contrôler finement vos applications et vos données dans le nuage.

La réponse des fournisseurs de cloud à la segmentation est le segment de réseau virtuel - dans le cas d'Amazon, le nuage privé virtuel (VPC), et dans le cas de Microsoft, le réseau virtuel Azure (VNet). Dans ces environnements, les groupes de sécurité créent le périmètre à l'intérieur et à l'extérieur du segment.

Mais le nombre de groupes de sécurité pouvant exister dans un segment de réseau virtuel est limité. Si vous avez besoin de plus que la limite, vous devez utiliser plusieurs hôtes dans un segment. Mais pour une mise à l'échelle efficace, chaque segment ne devrait avoir qu'un seul hôte.

La présence de plusieurs hôtes sur un même segment rend la gestion plus complexe et accroît les risques de sécurité. Si un hôte est violé, vous ne voulez pas qu'il communique avec un autre hôte (et l'infecte éventuellement). Pour passer à l'échelle supérieure, vous aurez besoin d'une aide supplémentaire, au-delà de ce que vos fournisseurs de services en nuage proposent pour segmenter l'accès. Sinon, vous serez confronté aux mêmes problèmes que ceux rencontrés par les entreprises avec la segmentation traditionnelle des centres de données : manque de visibilité, gestion complexe des politiques et nécessité de "recâbler" manuellement les configurations de réseau et les pare-feux.

Hypothèse n° 5 : une fois que vous avez obtenu une charge de travail, votre travail est terminé.

Lorsque les gens pensent à la sécurité de la charge de travail, beaucoup supposent à tort que leur charge de travail reste en un seul endroit. Mais dans le nuage, vos charges de travail peuvent être déplacées entre plusieurs nuages publics, chacun ayant son propre modèle de politique. Dans ce cas, il est peu probable que les segments de sécurité partagent les mêmes contrôles de sécurité. Et même si c'est le cas, votre équipe de sécurité doit constamment surveiller ces mouvements pour s'assurer que les charges de travail sont protégées par une politique appropriée.

Toutes les ressources de calcul, les ressources sans serveur et les objets dans le cloud sont dynamiques. Au fur et à mesure que ces ressources et objets dans le nuage se déplacent, leurs adresses IP changent également. Ils peuvent changer de lieu de résidence dans un nuage public. Ils peuvent également être déplacés entre plusieurs fournisseurs de services en nuage. Ils peuvent même "mourir", puis revenir à la vie avec une nouvelle adresse IP.

Par conséquent, vous ne pouvez plus rédiger de politique en utilisant une approche traditionnelle. Examinez plutôt vos charges de travail en nuage pour comprendre comment les composants de l'application communiquent entre eux. Une fois que vous avez une vision claire du comportement de votre application, vous pouvez rédiger des politiques d'application appropriées.

Il en ressort que toutes les applications en nuage, quel que soit leur emplacement ou les ressources associées qu'elles utilisent, doivent être protégées avec autant de diligence que n'importe quelle application fonctionnant sur un serveur dans un centre de données traditionnel.

La sécurité est un élément clé de l'essor de l'informatique dématérialisée

Quelles sont les motivations des entreprises, grandes et petites, qui transfèrent ou envisagent de transférer davantage de charges de travail vers l'informatique dématérialisée ? La vitesse, la flexibilité et l'évolutivité qu'offre l'informatique dématérialisée. Néanmoins, la sécurité - "l'enfant orphelin" - ne fait souvent pas partie des discussions sur le passage à l'informatique dématérialisée. Pourquoi ? Parce que la sécurité est considérée comme un "facteur de complication", et non comme un accélérateur.

Mais la planification de la sécurité doit faire partie de tout effort de migration vers le cloud, et non pas être envisagée après coup. CloudSecure surveille et protège en permanence les apps cloud-natives, les machines virtuelles et les conteneurs, ainsi que les infrastructures sans serveur, PaaS et IaaS. Vous pouvez donc adopter l'informatique dématérialisée en toute confiance.

Découvrez comment renforcer la sécurité de vos environnements multi-cloud et hybrides : 

• Regardez la démo pour voir Illumio CloudSecure en action.
• Lisez la fiche produit. 
• Téléchargez le Hype Cycle de Gartner pour le Zero Trust Networking 2023.