Sécurité de niveau entreprise pour vos applications cloud

Si vous avez des applications HTTP dans le cloud (n’importe quel cloud), il y a de fortes chances qu’elles soient vulnérables. Les applications et les protocoles qu’elles exécutent restent des cibles privilégiées pour les attaques application telles que l’injection SQL ou les exploits du protocole TLS. En fait, dans un rapport récent de WhiteHat Security , les applications dans un large éventail de secteurs d’activité étaient « régulièrement vulnérables 151 à 270 jours par an » dans plus de 50 % des cas. Cela signifie que pour la majorité des organisations, plus de la moitié de vos applications sont régulièrement vulnérables la moitié du temps.

Les fournisseurs de cloud l’ont bien compris. Ils ont investi beaucoup de temps et d’argent pour sécuriser leur infrastructure et leurs réseaux. Ils reconnaissent la nécessité d’une sécurité robuste et, en général, ils ont respecté leur part du marché, en travaillant dur pour sécuriser les hyperviseurs, les réseaux, le plan de contrôle et la sécurité physique.  

Cependant, sécuriser l’ application est un problème plus difficile. Le pare-feu application Web, ou WAF , est devenu la solution de choix pour protéger les applications contre les attaques de la couche applicative. Les fournisseurs de cloud, engagés dans leur mission permanente d’offrir une meilleure sécurité à leurs clients, ont commencé à proposer des services WAF. La sécurité de la couche applicative doit toutefois trouver un équilibre délicat entre protection efficace et simplicité opérationnelle, ce qui rend difficile pour un service cloud généralisé d’offrir autre chose qu’une protection simple et, franchement, facilement contournable.

Le problème est que l’exécution d’un WAF (quel que soit son type) est une opération complexe et à forte valeur ajoutée. Cela nécessite des personnes, des connaissances et un entretien continu. Si vous n’utilisez pas la bonne technologie, tous ces efforts sont vains. Les outils de protection de base de la couche 7 reposent généralement sur une simple correspondance de modèles. Bien que cela puisse constituer une défense précieuse contre certaines attaques de routine, cela ne constitue pas une protection complète pour vos applications.

L’utilisation d’un WAF complet, qui vous emmène au-delà de la recherche de modèles de base dans les domaines de l’identification des clients, de l’apprentissage automatique et de l’inspection des réponses, est votre meilleur choix. Vous pouvez choisir le niveau de protection requis par chacune de vos applications ou services, puis mettre en œuvre les contrôles appropriés. Et même si une protection plus complète exige davantage d’administration, les solutions WAF riches en fonctionnalités sont dotées de meilleurs outils pour la gestion et la distribution centralisées des politiques.

Si votre application a besoin de protection, autant la protéger efficacement. Assurez-vous de disposer de la bonne technologie pour non seulement répondre à une exigence d’entreprise ou réglementaire, mais également pour défendre de manière proactive votre application et l’activité qu’elle prend en charge.