.png)
Recentrage sur la sécurité de l'informatique dématérialisée : comment la segmentation sans confiance sécurise l'informatique dématérialisée
Nous poursuivons notre série sur le mois de la sensibilisation à la cybersécurité en nous intéressant à l'informatique dématérialisée.
À première vue, lasécurisation des actifs en nuage ne diffère pas, sur le plan conceptuel, de la sécurisation des actifs dans le centre de données. Identité, contrôle d'accès, connexions sécurisées - tout cela est identique.
Mais lorsque vous ne possédez pas la couche d'infrastructure - et que de nombreux services ne sont qu'un appel API à une adresse DNS - cela finit par ne plus être du tout la même chose.
Il est difficile de savoir exactement quelles connexions sont nécessaires à quelles adresses IP. Les pare-feux natifs de l'informatique en nuage ont des interfaces basiques et textuelles qui s'appuient entièrement sur les adresses IP et les processus manuels.
Ils peuvent être automatisés, certes, mais qui écrit le code ? L'équipe DevOps déjà très occupée ? Ne s'agit-il pas d'un effort manuel supplémentaire ? Et cet effort finit par être découplé des politiques d'accès dans le centre de données, ce qui nécessite une autre couche de traduction et d'efforts manuels.
Heureusement, il existe une meilleure façon de sécuriser le nuage : la segmentation zéro confiance.
La segmentation zéro confiance permet de sécuriser l'informatique en nuage contre la propagation des cyberattaques de quatre manières principales.
Nathanael Iversen, évangéliste en chef d'Illumio, vous en présente les grandes lignes dans sa vidéo :
Et continuez à lire pour en savoir plus.
1. Visibilité totale des flux de communication du réseau
Lorsqu'un grand nombre de services, d'applications et de magasins de données utilisés dans le nuage ne sont eux-mêmes qu'à un appel d'API, l'analyse traditionnelle des flux de réseau ne permet souvent pas d'obtenir une compréhension utilisable de la connectivité du nuage.
La segmentation sans confiance commence par une connexion directe à l'inventaire du système en nuage et aux tables de connexion. Cela signifie que tout ce qui possède une interface réseau élastique (ENI) est automatiquement découvert, que ses métadonnées sont ingérées et utilisées pour le nommage, et qu'il est placé sur une carte des dépendances de l'application.
Par conséquent, la carte des dépendances applicatives n'est pas basée sur des adresses IP en constante évolution, mais sur les conventions de dénomination et d'objet que votre organisation a déjà investi du temps et des efforts dans la création.
Cette carte offre une couverture complète, des instances EC2 à Kubernetes et aux objets conteneurisés, en passant par les services SaaS, les applications cloud et les courtiers de services, soit la quasi-totalité des flux de communication.
Les informations sont soigneusement organisées par application et service, et nommées de manière à ce que tous les membres des équipes chargées de l'informatique en nuage, de l'infrastructure et de la sécurité puissent lire la carte. Cette vue montre la véritable topologie de la connexion, indépendamment des VPC, des sous-réseaux et des zones.
2. Politique de segmentation automatisée et optimisée
Une fois que nous avons bien compris comment les choses sont reliées grâce à la carte des dépendances de l'application, il est naturel de se demander si les connexions sont bien protégées. Quel est le risque que l'un de ces services soit mal utilisé ou interrompu ?
La segmentation zéro confiance comprend l'automatisation et l'optimisation des politiques de sorte qu'il est facile d'obtenir et de maintenir un véritable résultat zéro confiance, avec le moins de privilèges possible.
La même carte des dépendances de l'application qui informe l'équipe de sécurité des flux de communication peut également informer le code d'automatisation de la politique :
- Analyse les connexions nécessaires
- Compare ces connexions à la politique actuelle du VPC
- Il formule ensuite des recommandations sur la manière d'optimiser et de renforcer la politique de sécurité afin que les connexions nécessaires soient autorisées et que toutes les autres soient refusées.
La recommandation de politique qui en résulte peut alors être mise en œuvre directement dans les pare-feux natifs de l'informatique en nuage - sans aucun agent.
Comme la segmentation zéro confiance écrit dans le pare-feu natif, elle peut contrôler le trafic, quelle que soit sa destination. EC2 à EC2 ? Oui. EC2 vers un cluster Kubernetes ? Bien sûr. Un service SaaS pour la fonction Lamba ? Bien sûr.
Zero Trust Segmentation fournit une segmentation automatisée, sans agent, entièrement pilotée par l'API et accessible par l'API. Comme elle utilise des métadonnées provenant du nuage, la segmentation en tant que service est désormais disponible.
Les équipes CloudOps et d'automatisation peuvent accéder à une couche d'abstraction fiable, basée sur des métadonnées, qui gère toute la traduction vers les adresses IP et la politique de pare-feu, et qui suit même automatiquement les changements de topologie des applications.
3. Visibilité et contrôle tout-en-un pour les environnements en nuage, les centres de données et les points d'extrémité
Nous venons d'explorer quelques-unes des possibilités offertes par Zero Trust Segmentation, mais la meilleure nouvelle est que ces possibilités incluent toujours une visibilité et un contrôle complets des environnements du centre de données et des points d'extrémité.
Aucun nuage n'est une île.
Les utilisateurs et les administrateurs accèdent au nuage, et le nuage communique avec les systèmes des centres de données et des installations de colocalisation. Souvent, la communication entre les fournisseurs de services en nuage est constante.
La segmentation zéro confiance fournit un modèle de politique unique, une visualisation et une couche de distribution de politique pour relier tous ces environnements différents dans un flux de travail collaboratif et fluide. Les systèmes visualisés à partir d'API en nuage apparaissent sur le même écran que les systèmes découverts dans le centre de données, les instances VDI ou les points d'extrémité des utilisateurs.
Lorsqu'elle est déployée avec des terminaux, Zero Trust Segmentation fournit une segmentation et un contrôle d'accès basés sur l'identité pour les charges de travail en nuage.
4. Améliorer la résilience opérationnelle
Le fait de disposer d'un centre universel pour la politique de segmentation signifie qu'il est facile d'inclure tous les systèmes dans une politique commune.
De nombreuses organisations souhaitent renforcer la réponse aux incidents en prévoyant des politiques de segmentation proactives et réactives. L'idée est simple et repose sur ce que tout le monde sait qu'il faut faire dès que l'on découvre une brèche : renforcer les contrôles de segmentation.
Quelles politiques d'urgence souhaiteriez-vous mettre en œuvre immédiatement en cas de cyberattaque pour protéger les systèmes les plus critiques ?
La segmentation zéro confiance vous permet de créer et de mettre en œuvre ces politiques à l'avance, afin qu'elles soient prêtes à être activées à tout moment. Mieux encore, ces politiques s'appliqueront aux environnements en nuage, aux centres de données et aux points d'extrémité.
La segmentation zéro confiance facilite la mise en place d'une politique de base à laquelle tous les systèmes doivent adhérer, puis l'application de cette politique partout, qu'il s'agisse de déploiements de conteneurs dans le nuage ou de machines virtuelles dans le centre de données.
Renforcez votre posture de sécurité dans l'informatique dématérialisée avec la segmentation zéro confiance
Les entreprises se tournent vers l'informatique dématérialisée pour gagner en disponibilité, en agilité, pour automatiser les déploiements globaux, etc.
Zero Trust Segmentation offre la visibilité, l'automatisation et la couverture nécessaires pour fournir la segmentation en tant que service. Cela commence par une visibilité automatisée et une cartographie des connexions, avec des informations provenant directement des API des fournisseurs de cloud. Ces données alimentent ensuite un puissant code d'automatisation et d'optimisation qui suggère comment optimiser et renforcer la politique de segmentation.
Lorsque ces politiques sont déployées, elles peuvent être transférées vers le nuage, le centre de données et les systèmes d'extrémité, selon les besoins. Bien que le nuage soit différent du centre de données, il s'avère que l'exploitation des métadonnées, des informations de connexion et des API du nuage permet aux entreprises de mettre en place une politique de segmentation automatisée dans leurs déploiements en nuage.
Enfin, il existe une segmentation entièrement automatisée du nuage qui optimise les principes de la confiance zéro.
Le mois de la sensibilisation à la cybersécurité est une excellente occasion de prendre du recul et d'examiner les capacités telles que la segmentation zéro confiance qui auraient le plus d'impact sur votre posture de sécurité dans l'informatique dématérialisée.
La semaine prochaine, nous poursuivrons notre série sur les sujets à aborder pendant le Mois de la sensibilisation à la cybersécurité.
Vous voulez en savoir plus sur la sécurité des nuages ? Lisez notre ebook : 5 choses que vous ne savez peut-être pas sur la sécurité du Cloud
