/ Qu’est-ce que le cloud enclaving ?
Qu’est-ce que le cloud enclaving ?
Overview
• Cloud enclaving creates secure zones in cloud environments to isolate workloads and protect sensitive resources.
• It cuts the attack surface, blocks lateral movement, and strengthens defenses using identity-based policies and microsegmentation.
• Unlike network segmentation, cloud enclaving offers dynamic, context-aware security for hybrid and multicloud environments.
• Combining cloud enclaves with zero trust and microsegmentation ensures consistent protection, better visibility, and simpler management.
• Zscaler Zero Trust Cloud enhances cloud enclaving by unifying security, eliminating complexity, and accelerating deployment.
En quoi le cloud enclaving diffère-t-il de la cybersécurité traditionnelle ?
Le cloud enclaving est conçu pour répondre aux besoins des entreprises digitales modernes d’une façon qui échappe aux solutions de sécurité traditionnelles. Mettons cela dans un contexte historique pour en comprendre la raison.
Il y a quelques années, lorsque les applications et les données étaient hébergées dans le data center sur site d’une entreprise et que les employés travaillaient essentiellement depuis ces mêmes locaux, la sécurité réseau traditionnelle basée sur le périmètre offrait un niveau de sécurité acceptable. Aujourd’hui, la mondialisation et le travail hybride ont favorisé l’avènement du cloud, où les anciens modèles sont totalement inefficaces.
Dans le cloud, les différents workloads critiques d’une même entreprise peuvent être hébergés par plusieurs fournisseurs de services cloud (par exemple, Amazon Web Service [AWS], Microsoft Azure), auxquels les utilisateurs accèdent via Internet. En termes pratiques, cela signifie qu’il n’y a plus de « périmètre de réseau », ce qui ouvre beaucoup plus de portes à de potentielles attaques. Le cloud enclaving compense cette situation en faisant de la place pour des politiques de sécurité personnalisées qui limitent le trafic vers et depuis des workloads spécifiques uniquement à ce qui est explicitement autorisé.
Qu’est-ce qu’une enclave ?
Une enclave est une partie d’un réseau, séparée du reste du réseau et régie par des politiques de sécurité granulaires. L’objectif d’une enclave sécurisée est de garantir l’accès sur la base du moindre privilège aux ressources critiques dans le cadre d’une stratégie de sécurité de défense en profondeur.
Segmentation du réseau et cloud enclaving
La segmentation du réseau est utilisée de préférence pour le trafic entrant-sortant ou nord-sud (entre votre environnement et des emplacements extérieurs), tandis que le cloud enclaving ajoute une couche de protection pour le trafic interne ou est-ouest (serveur à serveur, application à serveur, Web à serveur, etc. à l’intérieur de votre environnement). Examinons les deux options plus en détail.
Segmentation du réseau
Par rapport à un modèle basé sur le périmètre qui sécurise uniquement un réseau contre l’extérieur, la segmentation du réseau est une approche plus nuancée. En effet, elle divise un réseau en « sous-réseaux » et applique à chacun des protocoles de sécurité et de conformité. Le trafic entre les segments est généralement séparé à l’aide d’un VLAN avant de passer par un pare-feu.
Malheureusement, cette approche étant basée sur les adresses IP, elle ne peut identifier que la manière dont une demande est arrivée (c’est-à-dire son adresse IP, son port ou son protocole d’origine), et non le contexte ou l’identité de l’entité qui effectue la requête. Les communications jugées sûres sont autorisées, même si les équipes informatiques ne savent pas exactement de quoi il s’agit. Ensuite, la confiance est accordée à l’entité une fois qu’elle se trouve à l’intérieur d’un segment — même s’il s’agit d’un acteur malveillant qui cherche à se déplacer latéralement dans l’environnement.
La segmentation du réseau crée un réseau « plat », laissant des voies non protégées qui permettent aux hackers d’effectuer des mouvements latéraux et de compromettre les workloads dans les environnements cloud et de data center. En outre, le coût, la complexité et le temps nécessaires pour gérer la segmentation du réseau à l’aide de pare-feu ou de machines virtuelles (VM) traditionnels éclipsent généralement les avantages en matière de sécurité.
Cloud enclaving
Le cloud enclaving, c’est-à-dire la microsegmentation basée sur le cloud, permet un contrôle du trafic plus granulaire tout en minimisant la surface d’attaque d’une entreprise, pour une segmentation plus simple et plus sécurisée sur le plan opérationnel que la segmentation du réseau. Pour ce faire, le cloud enclaving va au-delà des adresses IP, des ports et des protocoles pour authentifier les demandes en fonction de l’identité et du contexte. De plus, il offre une protection granulaire au niveau des workloads individuels afin de contrôler plus efficacement les communications entre ceux-ci.
Le cloud enclaving réduit non seulement les menaces internes en fournissant une protection beaucoup plus proche des workloads eux-mêmes, mais empêche également la propagation des menaces externes lorsque le périmètre a été violé.
Quels sont les avantages du cloud enclaving ?
Tout comme la segmentation du réseau, le cloud enclaving permet de renforcer la sécurité du réseau et des données dans un contexte de cybermenaces en constante évolution. Les entreprises sont menacées de toutes parts, dans tous les secteurs, car les cybercriminels développent des techniques de plus en plus sophistiquées pour échapper aux mesures de sécurité. Pour suivre le rythme, les entreprises et leur sécurité doivent s’adapter.
Une approche efficace de microsegmentation basée sur le cloud propose les avantages suivants :
- Sécurité réseau et informatique proactive : le cloud enclaving crée des politiques adaptées aux applications, qui se déplacent avec toutes les applications et tous les services, limitant les potentielles violations de données aux ressources concernées, et non à l’ensemble de votre environnement. Certains services d’enclaving exploitent l’automatisation pour identifier toutes les communications, recommander des politiques Zero Trust et vous permettre d’appliquer ces politiques en un clic.
- Réduction de la vulnérabilité : au lieu des contrôles statiques qui reposent sur les adresses IP, les ports et les protocoles, votre équipe de sécurité peut prendre l’empreinte de chaque workload pour apporter une protection cohérente lorsqu’elle opère dans un data center interne ou dans le cloud. L’empreinte digitale dissocie la sécurité des workloads des constructions d’adresses IP, ce qui vous permet d’éviter les problèmes liés aux contrôles basés sur l’IP.
- Évaluation continue des risques : les enclaves cloud vous permettent de mesurer automatiquement votre surface d’attaque visible afin de quantifier les risques. Les services d’enclaving les plus efficaces vérifient l’identité d’une entité chaque fois qu’elle effectue une requête, ce qui atténue davantage le risque, facilite la conformité réglementaire et fournit des informations pour la création de rapports de risques visualisés.
- Gestion simplifiée des politiques : dans la mesure où les politiques de cloud enclaving s’appliquent aux workloads plutôt qu’aux adresses IP, aux ports, aux protocoles ou au matériel, elles restent immuables même si votre infrastructure change. Cela signifie que votre équipe de sécurité peut étendre un ensemble de contrôles n’importe où et protéger un segment avec seulement quelques politiques basées sur l’identité au lieu de centaines de règles basées sur l’adresse.
Zscaler et cloud enclaving
Zscaler Workload Communications constitue une nouvelle manière de créer des enclaves sécurisées dans le cloud. En un clic, vous pouvez renforcer la sécurité en permettant à ZWS d’identifier les risques et d’appliquer une protection basée sur l’identité à vos workloads, sans aucune modification du réseau.
Workload Communications fournit une protection sans faille avec des politiques qui s’adaptent automatiquement aux changements de l’environnement, éliminant la surface d’attaque de votre réseau. Qui plus est, la solution Zscaler Workload Communications est basée sur les API, ce qui signifie qu’elle peut s’intégrer aux outils de sécurité et aux processus DevOps existants, permettant une segmentation automatique en un seul clic.
Basé sur le principe de Zero Trust, Zscaler permet uniquement aux workloads vérifiés de communiquer dans votre environnement de cloud public, privé ou hybride, atténuant les risques et offrant le plus haut niveau de protection contre les violations de données.
Workload Communications offre les avantages suivants :
Protection basée sur l’identité du logiciel
La solution va au-delà des adresses réseau pour vérifier l’identité sécurisée des applications et des workloads qui communiquent, dans les clouds publics ou privés, les clouds hybrides, les data centers sur site ou les environnements de conteneurs.
Moteur d'automatisation des politiques
L’apprentissage automatique permet d’automatiser l’ensemble du cycle de vie des politiques pour la microsegmentation et la protection des workloads. Nul besoin d’élaborer manuellement une politique pendant le déploiement ou les opérations en cours. Workload Communications recommandera de nouvelles politiques ou des politiques mises à jour en cas d’ajout ou de modification des applications.
Visibilité et mesure de la surface d'attaque
La solution crée automatiquement une topologie d’application en temps réel, ainsi qu’une carte des dépendances jusqu’au niveau du processus. Elle met ensuite en évidence les chemins d’accès requis aux applications, puis les compare à l’ensemble des chemins réseau disponibles, recommandant des politiques permettant de minimiser la surface d’attaque et protéger ce qui doit l’être.
Constatez par vous-même
Demandez une démo pour constater par vous-même comment Zscaler Workload Communications vous permet de créer des enclaves cloud pour améliorer votre sécurité.
How Zscaler Secures Cloud Workloads
Zscaler Zero Trust Cloud delivers simplified, consistent security for modern workloads across multicloud environments. Built on zero trust principles, it secures all workload traffic—whether ingress, egress, or east-west flows—with a unified approach that eliminates lateral movement and reduces the attack surface.
With granular microsegmentation and AI-powered policy recommendations, Zscaler protects mission-critical applications, simplifies management, and speeds up deployment. Flexible deployment options let you manage the infrastructure yourself or use the solution as a gateway service.
Zero Trust Cloud unifies multicloud security in one solution, providing:
- Comprehensive traffic security: Protect east-west, ingress, egress, and micro-flows with consistent controls.
- Peerless risk reduction: Stop lateral movement of threats and isolate high-risk workloads with segmentation.
- Reduced admin complexity: Simplify management with automated policy creation and AI-powered recommendations.
Redefine cloud workload security with Zero Trust Cloud.
FAQ
Cloud enclaving improves security by dividing cloud environments into secure zones. It limits access, stops lateral movement, and reduces the risk of breaches. Enclaving also makes managing security easier with flexible, identity-based protections that adapt to changes in your setup. This ensures strong and simple security across all your cloud environments.
Cloud enclaving protects east-west traffic by strictly controlling communication between workloads. It uses identity-based policies to block unauthorized traffic and limit damage from threats, keeping attacks from spreading between zones. This stops hackers from moving laterally across your systems and reduces risk.
In hybrid cloud setups, workloads often run on multiple cloud platforms, which creates more ways for attackers to get in. Cloud enclaving fixes this by making secure zones with rules that follow your workloads across providers. It keeps resources safe, improves visibility, and helps protect against modern threats.
Cloud enclaving reduces the attack surface by isolating workloads in secure zones. Only approved traffic is allowed, which blocks unauthorized access. Using tools like microsegmentation, enclaving adds more control to ensure that no unnecessary pathways are open for attackers.
Insider threats happen when bad actors take advantage of too much access. Cloud enclaving reduces this risk by limiting movement within secure zones and enforcing only the access someone needs to do their job. If one zone is breached, the damage is contained and can’t spread further.
Cloud enclaving uses flexible, identity-based policies that are faster and easier to manage than firewalls. It doesn’t rely on static IP rules, which are time-consuming and costly to maintain. Automated tools simplify policy setup and help your security scale as your environment grows.
Cloud enclaving helps meet compliance rules by separating sensitive resources into secure zones. It limits access, applies detailed security policies, and automates consistent policy enforcement. These controls make it easier to follow complex regulations across public, private, and hybrid cloud environments.
Cloud enclaving follows zero trust by protecting access based on identity and need. It limits access to approved traffic only and verifies all communications within and between secure zones. This stops unnecessary access and prevents threats from moving deeper into your systems.
Explorez les articles Zpedia
Qu’est-ce que la protection des workloads ?
Qu’est-ce que la sécurité des charges de travail du cloud ?
Qu’est-ce qu’une plateforme de protection des workloads dans le cloud (CWPP) ?