Zpedia 

/ Qu’est-ce que la sécurité des charges de travail du cloud ?

Qu’est-ce que la sécurité des charges de travail du cloud ?

La sécurité des charges de travail du cloud est une solution de sécurité conçue pour protéger les charges de travail dans les bases de données, les conteneurs comme Kubernetes, les machines virtuelles (VM) et les serveurs physiques lorsqu’ils se déplacent dans les environnements cloud.
En savoir plus sur la sécurisation de vos workloads
Sécurité CloudSécurité des données
  1. Pourquoi c'est important
  2. Fonctionnement
  3. Risques de sécurité
  4. Exigences
  5. Avantages
  6. Bonnes pratiques
  7. Comment Zscaler peut vous aider
  8. Ressources suggérées
  9. Autres thèmes similaires

Pourquoi la sécurité des charges de travail du cloud est-elle importante ?

Alors que de plus en plus d’entreprises délaissent les solutions sur site au profit de modèles économiques numériques centrés sur le cloud computing, leurs données et applications migrent vers le cloud par le biais de fournisseurs de cloud tels que AWS, Microsoft Azure et Google Cloud. Cette migration présente des défis pour la protection des données se déplaçant entre les applications, car elles communiquent entre elles dans différents environnements cloud et dans des data centers, tous connectés via Internet.

Plus précisément, une pléthore de vulnérabilités doivent être colmatées pour sécuriser les charges de travail dans le cloud. Une solution de sécurité des charges de travail du cloud permet aux entreprises d’identifier, de gérer et de sécuriser ces charges de travail afin de réduire les risques, de renforcer la conformité, d’assurer une meilleure évolutivité des applications et d’améliorer la posture de sécurité globale.

Comment fonctionne la sécurité des charges de travail du cloud ?

La sécurité des workloads dans le cloud, également appelée protection des workloads dans le cloud, s’articule autour de la segmentation des workloads, qui consiste à diviser les workloads des applications en segments plus petits afin de simplifier et de sécuriser l’inspection du trafic.

Les solutions de sécurité des charges de travail du cloud permettent aux entreprises de repérer, surveiller et sécuriser les comptes cloud, les instances de calcul et de stockage, ainsi que le plan de contrôle. Cela diminue la probabilité de mauvaises configurations lors du déploiement, ce qui permet de développer et de publier davantage d’applications cloud native à grande échelle tout en réduisant le risque de problèmes de cybersécurité.

Risques de sécurité des charges de travail du cloud

Dans un environnement moderne optimisé par une infrastructure cloud, les applications et les services devraient être au centre d’une stratégie de sécurité globale, mais ne le sont pas souvent. La majorité du trafic se déplace d’est en ouest (c’est-à-dire latéralement au sein de l’environnement). Or, les contrôles de sécurité traditionnels protègent généralement le trafic qui se déplace dans le sens nord-sud (entrant et sortant de l’environnement) à travers une passerelle de périmètre ; par conséquent, définir un logiciel par sa voie de circulation ne suffit plus.

Les contrôles de sécurité doivent être centrés sur la charge de travail et dissociés de la plateforme cloud. Il est crucial de dissocier les contrôles d’accès et les autorisations des chemins de réseau empruntés par les applications et de les lier directement à l’identité des applications et services qui communiquent. Faute de quoi, les menaces véhiculées par le réseau pourront plus facilement pénétrer dans vos systèmes cloud.

Citation

Pour se protéger contre les cyberattaques, les entreprises qui ont recours à des clouds privés et publics doivent se protéger contre les préjudices au niveau de la charge de travail, et pas seulement au niveau du endpoint.

VMWare

Pourquoi les stratégies de sécurité obsolètes sont-elles vouées à l’échec

Les outils de sécurité traditionnels fonctionnent sur un modèle de confiance qui n’est plus pertinent dans le paysage moderne des menaces, car de plus en plus résident dans le cloud et communiquent via Internet. Les périmètres de sécurité du réseau disparaissent, et l’inspection du trafic est plus compliquée du fait que presque tout le trafic est chiffré.

Les contrôles de sécurité obsolètes qui ne peuvent pas déchiffrer, inspecter et rechiffrer le trafic pourraient négliger des cyberattaques telles que les ransomwares et autres malwares. Pour se protéger contre ces attaques, les entreprises qui ont recours à des clouds privés et publics doivent se protéger au niveau de la charge de travail, et pas seulement au niveau du terminal.

Principales exigences à l’égard d’une plateforme de sécurité des charges de travail du cloud

Examinons les stratégies nécessaires à une solide sécurité des charges de travail du cloud.

La microsegmentation est une méthode qui consiste à créer des zones sécurisées et isolées au sein d’un data center, d’un réseau ou d’un environnement cloud afin d’isoler et de sécuriser individuellement les workloads. Elle est conçue pour permettre un partitionnement granulaire du trafic afin d’offrir une meilleure protection contre les attaques.

Avec la microsegmentation, les équipes de sécurité informatique peuvent adapter les paramètres de sécurité aux différents types de trafic, en créant des politiques qui limitent les flux entre les charges de travail à ceux qui sont explicitement autorisés. Appliquer des règles de segmentation et des politiques granulaires jusqu’à la charge de travail ou l’application peut réduire le risque qu’un hacker passe, sans être détecté, d’une charge de travail ou d’une application compromise à une autre.

Il ne faut pas confondre cela avec la segmentation du réseau, qui consiste à utiliser des pare-feu d’inspection d’état ou des pare-feu de nouvelle génération pour diviser le réseau en morceaux plus petits et plus faciles à surveiller. Cette stratégie s’est avérée efficace dans le passé, mais elle présente des limites particulières pour les environnements cloud et multicloud.

Une autre stratégie clé est l’accès au réseau Zero trust (ZTNA), également connu sous le nom de périmètre défini par logiciel (software-defined perimeter, SDP). Le ZTNA est réalisé grâce à un ensemble de technologies qui fonctionne selon un modèle de confiance adaptatif, où cette dernière n’est jamais implicite, où les utilisateurs doivent être vérifiés et où l’accès est accordé selon le principe du « besoin de savoir » et du moindre privilège, défini par des politiques granulaires.

Gartner prévoit que d’ici 2023, 60 % des entreprises délaisseront progressivement leurs réseaux privés virtuels (VPN) d’accès à distance au profit du ZTNA. Ceci est vrai pour un certain nombre de raisons, notamment pour améliorer la protection et la sécurité des charges de travail du cloud.

La microsegmentation et le ZTNA peuvent tous deux contribuer à sécuriser le trafic et les applications d’une entreprise au moment de l’exécution, mais une plateforme de protection des charges de travail du cloud assurera une couverture complète de la sécurité des charges de travail du cloud.

Citation

Les solutions de sécurité des charges de travail du cloud permettent aux entreprises de repérer, surveiller et sécuriser les comptes cloud, les instances de calcul et de stockage, ainsi que le plan de contrôle. Cela permet de développer et de déployer davantage d’applications à grande échelle, tout en réduisant le risque d’introduire des failles de sécurité et en améliorant la posture globale de sécurité et de conformité.

AWS

Principaux avantages de la sécurité des charges de travail du cloud

Voici quelques-unes des façons dont la sécurité des charges de travail du cloud vous aide à réduire les risques et à simplifier la sécurité de votre entreprise :

Complexité réduite

Dans une architecture orientée services, suivre les ressources et les inventaires de politiques est une tâche ardue, et chaque changement d’instance de cloud affecte les dépendances, créant des problèmes de gestion et de disponibilité. De plus, le mappage des flux de données dans un cloud est complexe car les services peuvent changer d’emplacement, ce qui augmente le nombre de points de données à surveiller et à gérer. La sécurité des workloads du cloud simplifie le suivi et la protection, et anticipe l’impact du changement en se concentrant sur les applications plutôt que sur leur environnement.

Protection sans faille

Les outils de sécurité traditionnels qui se basent sur les adresses IP, les ports et les protocoles comme plan de contrôle ne sont pas idéaux pour les cas d’utilisation du cloud. La nature dynamique des services cloud rend ces contrôles de sécurité statiques peu fiables, dans la mesure où ils peuvent changer à tout moment. Pour pallier le problème des contrôles basés sur les adresses, les plateformes de sécurité des workloads du cloud assurent une protection cohérente des workloads et ne requièrent aucune modification architecturale contraignante.

Évaluation continue des risques

La plupart des experts en sécurité savent que leurs réseaux d’entreprise sont vulnérables, mais la majorité ne peut quantifier le risque, notamment en ce qui concerne l’exposition des applications. Les solutions de sécurité des charges de travail du cloud peuvent mesurer automatiquement la surface d’attaque visible de votre réseau afin de déterminer le nombre de voies de communication possibles entre les applications, de quantifier l’exposition au risque en fonction de la criticité des logiciels communicants et recommander le plus petit nombre possible de politiques de sécurité permettant de réduire le risque de violation de vos données.

Bonnes pratiques en matière de sécurité des charges de travail du cloud

Lorsque vous choisissez une plateforme de sécurité des charges de travail du cloud, assurez-vous qu’elle peut :

  • Sécuriser les charges de travail de la construction à l’exécution tout en restant en phase avec le DevOps.
  • Sécuriser la connectivité pour les workloads cloud vers Internet, le data center et d’autres applications
  • Exécuter une architecture Zero Trust pour tous les utilisateurs et charges de travail de manière cohérente.

Enfin, vous devez vous assurer que votre plateforme de sécurité des charges de travail du cloud est capable d’aider votre équipe de sécurité à répondre à ces questions :

  • Quelles applications communiquent ?
  • Lesquelles devraient communiquer ?
  • Les systèmes appropriés communiquent-ils entre eux sans permettre au trafic malveillant de persister ?

Les charges de travail du cloud actuelles exigent une sécurité qui offre une couverture Zero Trust complète tout en simplifiant la gestion pour le DevOps et le SecOps. Vous avez besoin d’une plateforme éprouvée construite dans le cloud, pour le cloud : une plateforme que seul Zscaler peut fournir.

Citation

La segmentation des charges de travail Zscaler a le potentiel de devenir le produit de facto de toutes les entreprises du monde. Avec tous les outils de sécurité spécialisés existant aujourd’hui, je dirais que la segmentation des charges de travail Zscaler surpasse très largement leurs protections. Et ce qui est encore mieux, c’est qu’il le fait avec une incroyable facilité d’utilisation.

John Arsneault, CIO Goulston & Storrs

Comment Zscaler sécurise les charges de travail du cloud

Zscaler Workload Communications sécurise le trafic du workload vers Internet, le trafic multicloud et le trafic multirégional pour vos workloads cloud stratégiques. Grâce à la puissance de Zscaler Zero Trust Exchange™, il inspecte l’ensemble du trafic inline pour assurer la protection contre les cybermenaces et la perte de données, établit l’identité et le contexte des demandes d’accès, et applique les politiques appropriées avant d’établir la connectivité à Internet, aux applications SaaS ou aux workloads privés.

Communications de la charge de travail vers Internet

Les charges de travail cloud peuvent accéder à n’importe quelle destination Internet ou SaaS (par exemple, API tierces, mises à jour logicielles) avec une solution de sécurité évolutive et fiable qui inspecte toutes les transactions.

Workload-to-workload communications

Les charges de travail d’un cloud public peuvent communiquer en toute sécurité avec n’importe quel cloud public ou privé, ainsi qu’entre des VPC, zones et régions sur le même cloud. Nul besoin de VPN ni d’un routage cloud sur mesure risqué et complexe.

Ressources suggérées

Zscaler Workload Communications
Lire la fiche technique
Goulston & Storrs renforce la sécurité des données de ses clients avec Zscaler Workload Segmentation
Lire l'étude de cas
Différence entre la microsegmentation et la segmentation du réseau
Découvrir la différence