Vous souhaitez une sécurité « à domicile » ou « en tant que service » ?

Jusqu’à récemment, le monde du cloud computing s’était concentré sur ses principaux piliers : SaaS, PaaS et IaaS. Mais à mesure que les consommateurs de cloud continuent de mûrir dans leur compréhension et leur utilisation du cloud, nous commençons à constater un intérêt accru pour ce qui est en partie cloud, en partie service géré, en particulier dans le domaine de la sécurité. Pour les besoins de ce blog, appelons-le « à votre service »*. 

Dans un environnement traditionnel « en tant que », nous pourrions simplement prendre BIG-IP ASM (notre pare-feu application ) et mettre en place une belle structure de services de synthèse F5 quelque part, sous forme de cloud, et la proposer « en tant que service ». D'un point de vue architectural, il est logique de rapprocher la sécurité des application qui en ont besoin, dans le cloud où il existe encore aujourd'hui une pénurie de bonnes alternatives. Les applications hébergées dans le cloud ont autant (sinon plus) besoin de application que celles hébergées dans le centre de données, en raison de leur nature plus publique par conception. Ce qui n’a pas forcément de sens, c’est de forcer les requêtes adressées au centre de données à être analysées, nettoyées et évaluées avant de les renvoyer vers le cloud. C'est un trombone géant (ou une épingle à cheveux, si vous préférez) étant donné que la plupart des centres de données ne sont pas suspendus directement à la dorsale Internet à côté du centre de données du fournisseur de cloud.

La préférence croissante pour un tel modèle est apparue clairement dans notre rapport sur l’état de la fourniture application 2015 , en particulier pour les services de sécurité.

Mais une solution de sécurité des application basée sur le cloud est tout à fait judicieuse. Il est probablement physiquement et topologiquement plus proche de l’application qu’il protège que le centre de données de l’entreprise, et il offre un modèle de facturation plus complémentaire aux applications basées sur le cloud qu’une solution traditionnelle sur site.

Le problème, cependant, est qu'il faut encore avoir le temps et les connaissances pour le configurer et le tester et, c'est important, le maintenir à jour.

C’est à ce moment-là que « en tant que » se transforme réellement en « douleur dans le ». Parce que pour accomplir cette tâche, vous avez besoin des connaissances et des compétences de quelqu'un qui comprend la sécurité et qui comprend également l' application. Ce qui peut s’avérer difficile en ces temps de bulle sécuritaire.

Les différences entre « en tant que » et « à votre » concernent principalement la responsabilité et l’implication dans la gestion. Dans un service « à votre service », vous ne vous abonnez pas simplement au logiciel ou à la solution, vous vous abonnez à la gestion active de cette solution par des personnes expertes en la matière. Dans le domaine de la sécurité, compte tenu des pressions macro-environnementales telles que la pénurie de compétences dans le domaine informatique qui frappe particulièrement durement la sécurité de l'information, l'abonnement à une expertise en sécurité est certainement une aubaine, sans parler du fait qu'il est potentiellement judicieux sur le plan économique :

La pénurie de compétences informatiques est devenue épidémique. Il n’y a tout simplement pas de personnel de sécurité disponible à embaucher. Depuis cinq ans , le taux de chômage des professionnels de l’InfoSec est inférieur à 2% (et souvent à 0%). Le marché du travail tendu pour les personnes possédant des compétences en sécurité a eu un impact prévisible sur les salaires : Selon Payscale, en 2014, la moitié des architectes de sécurité gagnaient plus de 120 000 dollars : c'est 50 % de plus que l'ingénieur logiciel moyen et 300 % de ce que gagne un infirmier praticien agréé. Les personnes possédant des compétences en sécurité sont mieux payées, partent dans des startups ou sont débauchées pour des emplois plus confortables avec de meilleurs titres (ahem). Jon Oltsik, d'ESG, a écrit que sa prédiction numéro un pour 2015 est « un impact généralisé dû à la pénurie de compétences en cybersécurité ». – David Holmes, évangéliste en sécurité F5, Dark Reading

En combinant le modèle commercial et opérationnel du cloud (multi-location, abstraction, facturation par abonnement/utilitaire) avec les avantages traditionnels d'un service géré, les organisations obtiennent l'agilité et les économies de coûts souhaitées. En fournissant l’expertise nécessaire à la fois pour configurer et maintenir le service tout en encourageant la collaboration et la participation active du consommateur, le modèle « chez vous » offre aux organisations les moyens de sécuriser leurs applications critiques** n’importe où et d’être assurées que la sécurité est couverte. 

* Oui, je sais que c'est l'abréviation de SayS. Non, je ne suis pas sûr que ce soit une bonne chose. Ou mauvais. Peut-être les deux.

** Dans un monde application , c'est à peu près le cas de toutes les application, n'est-ce pas ? Il semble presque redondant de le modifier, maintenant.