Dissiper les mythes sur la sécurité des hôtes dans la région Asie-Pacifique

L'élan dans toute l'Asie-Pacifique en matière de DevOps, d'infrastructure définie par logiciel et de conteneurs témoigne de la transformation de l'informatique née du besoin d'une agilité accrue et de l'augmentation de l'adoption d'environnements hybrides ou multiclouds. D'après une étude Forrester de 2019, plus de 70% des entreprises de l'APAC ont, mettent en œuvre ou développent leur utilisation du cloud privé et public et plus de 60% décrivent leurs environnements comme hybrides, y compris multi-cloud. 

M-Trends 2020 signale toutefois que l'ampleur et la complexité des cyberattaques ont également augmenté et que, malgré une amélioration de la durée des compromissions (56 jours en 2019), les entreprises de la région Asie-Pacifique restent les mieux placées pour être reciblées par les attaquants. Le rapport Forrester confirme que la sécurité est essentielle au succès de l'informatique dématérialisée hybride et qu'il s'agit de la considération la plus importante pour les environnements informatiques modernes. S'il est un moment où les solutions de sécurité doivent prendre en charge les centres de données privés, les nuages publics et les différentes générations de technologies, c'est bien aujourd'hui.

Les contrôles de sécurité basés sur l'hôte sont traditionnellement considérés comme ayant un impact inhérent et comme fragiles en termes d'échelle et de sécurité. Historiquement, les agents basés sur l'hôte sont connus pour consommer des ressources, avoir un impact sur les performances du système, et sont souvent considérés comme vulnérables aux attaques.

Les entreprises de la région APAC se sont le plus souvent tournées en premier lieu vers leur réseau ou leur infrastructure pour trouver des solutions permettant de segmenter et de protéger les données sensibles gérant les applications au sein de leurs centres de données, et trop souvent les équipes de sécurité rejettent les technologies de sécurité basées sur l'hôte sur la base de ces préjugés préconçus.

Ce malentendu conduit généralement à des projets qui ne sont pas en mesure de répondre aux besoins des entreprises modernes, hybrides et à technologie hétérogène, ce qui entraîne des lacunes ou des faux espoirs dans la couverture de sécurité, un risque accru de disponibilité du réseau et/ou des applications, un impact négatif sur l'agilité et empêche d'adopter des solutions informatiques novatrices. 

Les outils de micro-segmentation basés sur l'hôte et axés sur la confiance zéro, qui découplent la sécurité de l'infrastructure et du réseau sous-jacents, ne posent pas ces problèmes. Grâce à l'application distribuée, à l'optimisation du fonctionnement allégé et à l'inviolabilité, ils s'alignent beaucoup plus efficacement sur les exigences des entreprises de notre région en matière d'environnements cloud hybrides distribués et de pratiques de développement DevOps.

Voici quelques raisons pour lesquelles rejoindre ceux qui sont devenus ouverts d'esprit sur la micro-segmentation basée sur l'hôte vous permettra d'obtenir une sécurité plus efficace sans réduire l'agilité :

1. Les questions de performance ne s'appliquent pas. Contrairement à d'autres produits de sécurité basés sur l'hôte, tels que les antivirus et les HIPS, les outils de microsegmentation basés sur l'hôte reposent sur des agents légers qui ne sont pas en ligne et ne transfèrent pas le trafic du noyau vers l'espace utilisateur à des fins de filtrage et d'inspection. Ces agents examinent les tables de connexion, collectent des données télémétriques, établissent des rapports sur le comportement de la charge de travail et appliquent des règles aux contrôles natifs testés et éprouvés. Ils restent la plupart du temps en arrière-plan, travaillent rapidement et périodiquement, et n'exécutent pas de fonctions qui existent déjà dans le système d'exploitation.
2. Les problèmes de sécurité sont pris en compte. En théorie, un utilisateur malveillant peut plus facilement compromettre un hôte, passer outre le contrôle de sécurité et obtenir l'accès à toutes les autres charges de travail dans l'infrastructure hybride que si le contrôle était extérieur à l'hôte lui-même. Les outils modernes de micro-segmentation basés sur l'hôte permettent de surmonter ce problème grâce à un pare-feu distribué et à une résistance à l'altération. Même si un hôte est compromis et que les privilèges sont escaladés pour affecter son agent ou sa politique de pare-feu, le pirate ne pourra se connecter qu'aux charges de travail avec lesquelles il a l'autorisation de communiquer. La résistance à l'altération intégrée dans les agents garantit que la charge de travail compromise reviendra sur ces changements et alertera le gestionnaire central de la politique ainsi que le centre des opérations de sécurité (SOC), et l'hôte peut être retiré du modèle de politique des autres charges de travail pour l'isoler encore davantage du réseau.
3. Des écosystèmes technologiques diversifiés sont soutenus. Bien que certaines ne souffrent pas de la dette technique liée à l'expansion (et non au remplacement) des systèmes informatiques, les solutions de sécurité doivent être cohérentes et prendre en charge la diversité des environnements d'hébergement et des générations technologiques que les entreprises asiatiques possèdent aujourd'hui et posséderont à l'avenir. Les outils de micro-segmentation basés sur l'hôte y parviennent en appliquant le contrôle au sein de l'ordinateur, en prenant en charge les applications physiques, virtuelles et exécutées en conteneur dans n'importe quel nuage privé, public ou hybride à partir d'un seul panneau de verre et d'un seul modèle de politique.
4. C'est le risque commercial qui détermine le niveau de sécurité, et non l'emplacement des points de contrôle du réseau. Les agents de micro-segmentation basés sur l'hôte qui adoptent des stratégies d'étiquetage découplent la visibilité et la politique des contraintes du réseau. Il n'est pas fréquent que les applications se situent parfaitement le long des frontières du réseau, et il n'est pas rentable de placer des contrôles centrés sur le réseau dans toutes les zones du centre de données étendu qui requièrent des niveaux variables de segmentation. Les étiquettes combinées à une approche basée sur l'hôte détachent la segmentation du réseau, ce qui rend très facile la segmentation le long des frontières logiques des étiquettes - et la mise en œuvre de restrictions grossières ou fines en fonction des risques et des besoins de l'entreprise.
5. Avantages en termes de coûts. En tirant parti des capacités des hôtes natifs, les entreprises éviteront de déployer du matériel et des logiciels coûteux, de compromettre le réseau et l'infrastructure, de mettre en place des processus de gestion du changement en temps voulu, d'être confrontées aux points d'étranglement qui se produisent inévitablement si les contrôles sont adoptés au sein de la structure du réseau, et de devoir gérer de multiples contrôles de micro-segmentation pour chaque environnement et chaque technologie qu'elles exploitent. 

Je comprends que la plupart des gens ne se réveillent pas en se disant : "Quel logiciel supplémentaire puis-je installer sur mes serveurs de production aujourd'hui ?" Cela dit, il ne faut pas peindre les solutions de micro-segmentation basées sur l'hôte avec une brosse archaïque. Les organisations de l'APAC (et du monde entier) doivent penser à l'agilité et à la sécurité que vous gagnerez aujourd'hui et dans le futur en faisant un premier pas vers la réalisation de vos objectifs de micro-segmentation avec Illumio.

Vous êtes curieux de connaître l'efficacité réelle de cette approche ? Des entreprises telles que Cathay Pacific, QBE, BEA, le ministère de l'Éducation de la Nouvelle-Galles du Sud et CLP ont réalisé les avantages de la micro-segmentation basée sur l'hôte après avoir essayé des approches traditionnelles centrées sur le réseau ou SDN.

Pour en savoir plus, lisez comment Ixom, leader du marché de l'industrie chimique en Australie et en Nouvelle-Zélande, a mis en place une micro-segmentation basée sur l'hôte pour empêcher l'accès non autorisé aux systèmes critiques et limiter les vulnérabilités et l'exposition aux risques.