BLOG

Une sécurité cohérente dans le cloud nécessite de la cohérence

Miniature de Lori MacVittie
Lori MacVittie
Publié le 11 avril 2019

Au cours des quatre dernières années, nous avons interrogé des répondants du monde entier sur les défis rencontrés dans leur parcours vers un modèle d'exploitation moderne et multi-cloud.

Au cours des trois dernières années, on nous a constamment dit que le principal défi était « une sécurité cohérente dans toutes les applications ». Une partie de ce défi est certainement due à la manière dont les organisations ont commencé à fonctionner dans une réalité multi-cloud – par accident. La plupart d'entre eux sont tombés dans ce piège par l'intermédiaire de développeurs et d'unités commerciales qui ont adopté le cloud pour « contourner les inefficacités de l'informatique traditionnelle ». Aujourd’hui, le multicloud est une décision consciente, principalement motivée par le type d’application déployée.

Mais le défi d’une sécurité cohérente dans toutes ces applications demeure. L’un des coupables semble être que les services d’application ne se déplacent pas toujours avec les applications qu’ils protègent. Tenez compte des points suivants de notre rapport sur l’état des services d’application 2019 :

La disparité entre les déploiements de services d’applications sur site et dans le cloud public entraîne des problèmes de sécurité. Alors que le nombre moyen de services d’application utilisés dans l’ensemble est de 14, ce chiffre diminue de moitié pour les déploiements de cloud public. Cela signifie que les organisations déploient des applications dans le cloud public, mais elles n’adaptent pas les déploiements de services applicatifs au même rythme.

Alors que 66 % des répondants déploient un WAF, seulement 33 % indiquent qu'ils utilisent un WAF pour les applications de production déployées dans un cloud public. D’autres services d’application liés à la sécurité souffrent du même déclin d’utilisation dans le cloud public, ce qui est inquiétant, car il est presque impossible d’atteindre la parité des politiques de sécurité sans les services d’application qui la font respecter.

Près de la moitié des organisations (48 %) ayant lancé une initiative de transformation numérique sont préoccupées par la difficulté d'assurer une sécurité cohérente pour les applications distribuées sur plusieurs plates-formes cloud, tandis que 45 % déclarent que la protection de leurs applications contre les menaces existantes et émergentes est leur plus grand défi.

Il y a trois choses à noter ici. Premièrement, il existe un manque de déploiement des services d’application liés à la sécurité avec les applications qu’ils sont conçus pour protéger dans le cloud public. Cela rend la réponse aux 45 % de répondants qui se demandent s'ils peuvent protéger leurs applications contre les menaces existantes et émergentes assez simple : commencer par déployer des services d'application de sécurité pour protéger ces applications. Bien qu'ils ne soient pas infaillibles, les services d'application modernes tels que les pare-feu d'applications Web avancés, la protection DDoS comportementale et les défenses contre les robots peuvent réduire considérablement le risque d'être pris au dépourvu par une menace émergente. Compte tenu de la vitesse à laquelle ces services sont déployés aujourd'hui, il semble qu'une bonne approche pour relever le défi de la sécurité cohérente consiste à être cohérent dans les services d'application que vous déployez pour protéger les applications dans chaque environnement.

Taux de déploiement des services d'application de sécurité

Deuxièmement, et peut-être moins évident, la cohérence va au-delà du service d’application. Il existe de nombreux pare-feu d’applications Web, mais leurs capacités ne sont pas nécessairement égales. Même en supposant la cohérence des capacités, c'est une tâche assez monumentale que d'essayer de prendre les politiques du WAF A sur site et de les convertir en quelque chose d'utilisable par le WAF B hors site. C'est comme remettre à quelqu'un un document « comment faire » écrit dans une langue qu'il ne comprend pas. Il faut donc d’abord le traduire, ce qui prend du temps et demande une expertise dans les deux langues. Donc oui, il sera plus facile d’appliquer la politique de sécurité de manière cohérente sur toutes les applications si vous standardisez un fournisseur unique pour ce service d’application. Un service, une langue, une politique.

Il est quelque peu ironique que le service d'application numéro un sans lequel les répondants ne déploieront pas d'application soit la sécurité , et pourtant, en examinant les détails du déploiement, on constate que ce n'est peut-être pas entièrement vrai. Dans le cloud, du moins, il semble que la sécurité soit reléguée au second plan plus souvent qu’elle ne devrait l’être.

Enfin, et c’est le moins évident, n’ignorons pas la charge opérationnelle que représente la gestion manuelle des services d’application sur plusieurs clouds et centres de données. Il est beaucoup plus difficile de gérer quoi que ce soit manuellement – même les mêmes choses – lorsqu’elles sont dispersées dans plusieurs endroits. Traiter les politiques comme des artefacts de code et aborder le déploiement des services et des politiques associées dans une optique d’automatisation peut réduire les erreurs, les fautes et les omissions qui pourraient autrement se produire. L’automatisation et l’orchestration assurent la cohérence par la nature même des scripts et du code qui sont capables de reproduire le même résultat encore et encore. Comme l'a noté le philosophe grec Aristote : « Nous sommes ce que nous faisons à plusieurs reprises. L'excellence n'est donc pas un acte, mais une habitude. L’automatisation et l’orchestration doivent donc être considérées comme une habitude (pratique) importante à acquérir dans la quête de cohérence multi-cloud.

Pour obtenir une sécurité cohérente sur toutes les applications dans un monde multi-cloud, il faut de la cohérence :

  1. Cohérence dans le déploiement des services applicatifs qui protègent et défendent les applications
  2. Cohérence des capacités du service d'application dans tous les environnements
  3. L'utilisation de l'automatisation et de l'orchestration pour faciliter le déploiement rapide, fréquent et cohérent des services d'application et des politiques de sécurité

Une sécurité cohérente nécessite un comportement, des pratiques et des outils cohérents . En combinant ces trois éléments, les organisations peuvent parvenir à une cohérence dans leurs pratiques de sécurité en prenant l’habitude de protéger les applications ainsi que les entreprises et les consommateurs qui en dépendent.