Les architectures par application protègent les applications à la maison et dans le cloud

Parce qu’une seule pomme pourrie ne doit pas forcément gâcher le lot.

Image: Une pomme pourrie, BobbyBoggs182

Le centre de données est poussé par la transformation numérique vers le changement. Le cloud, les conteneurs et les violations catastrophiques obligent à se concentrer sur le changement le plus tôt possible. L’accent est principalement mis sur l’impact de la livraison continue et des déploiements par application, qui peuvent perturber les calendriers de déploiement traditionnels. Tenter de coordonner les horaires traditionnels et modernes risque de pousser même les mathématiciens à l'aise avec la résolution de problèmes de comptage du type de ceux de Josèphe à lever les bras au ciel et à jurer de ne pas tenter l'expérience.

Si l' avantage de mettre en œuvre une approche architecturale par application pour les services et l'infrastructure d'application en matière de déploiement continu n'est pas suffisant pour vous faire avancer dans cette direction, sachez qu'il existe également des avantages de sécurité significatifs à le faire.

Si vous pouvez imaginer le centre de données et son périmètre de sécurité comme un tonneau, puis le remplir de pommes (chacune représentant l’une des centaines d’applications que vous avez déployées), vous remarquerez qu’une pomme touche plusieurs autres. Pas tous, mais certains d'entre eux. Et si l’une de ces pommes se gâte, la maladie se propage à ceux qui la touchent. Lesquels touchent les autres, lesquels touchent les autres, et ainsi de suite jusqu'à ce que le tonneau entier soit pourri.

Si seulement le processus était aussi lent dans un centre de données lorsqu'une application tombe en panne. Mais grâce à la vitesse numérique, la détérioration se propage à travers le réseau vers d’autres applications beaucoup plus rapidement que les pommes de l’adage qui nous avertit du risque.

C’est l’une des meilleures raisons de sécurité pour adopter une architecture par application, même si vous n’adoptez pas (ou n’adopterez pas) de calendriers de déploiement par application.

Une architecture par application à moindre risque

Adopter une architecture par application, c’est comme emballer individuellement chaque pomme avant de la jeter dans le tonneau. Même si ça tourne mal, il est isolé des autres avec qui il est en contact et les empêche d’être infectés eux aussi. Même si nous aimerions certainement vivre dans un monde sans risque, la plupart d’entre nous ne vivons pas dans un pays d’arcs-en-ciel et de licornes et reconnaissons qu’il y a toujours des risques dans un monde connecté et que notre objectif est de les minimiser autant que possible.

En utilisant une architecture par application, nous pouvons atteindre cet objectif en limitant le rayon d'explosion d'une application donnée à elle-même pour autant de menaces que possible. 

Une approche par application dans le centre de données permet le déploiement d'une variété de services de sécurité spécifiques aux applications, conçus pour atténuer les risques liés aux robots, au vol d'informations d'identification, au bourrage d'informations d'identification, aux attaques DDoS au niveau de la couche applicative (comme les inondations GET, PUSH et POST) et aux dix principales vulnérabilités de l'OWASP.  

Alert Logic appelle cela la « segmentation au niveau des applications » et note qu’elle devient rapidement une bonne pratique dans le cloud :

« Le modèle significatif que nous voyons émerger à maintes reprises dans les installations de cloud public est la segmentation de l’infrastructure au niveau des applications. Les meilleurs administrateurs cloud que nous connaissons ont tendance à segmenter chaque application dans son propre VPC (Virtual Private Cloud), ce qui réduit considérablement le rayon d’explosion de toute violation unique. Même les plus petites applications WordPress ou Drupal disposent de leur propre VPC, ce qui réduit les possibilités pour les attaquants de se déplacer latéralement ou de lancer des attaques capables de se transformer rapidement en calamités à l'échelle de l'entreprise.

Cette approche fonctionne tout aussi bien dans le centre de données et est tout aussi essentielle (peut-être plus encore) pour sécuriser les applications contre les mouvements latéraux en cas de violation réussie.

Il peut paraître ironique qu’une architecture par application ne vise pas tant à protéger toutes les autres applications que vous avez déployées qu’à protéger chaque application individuelle. Mais cette approche oblige à se concentrer sur la sécurisation de chaque application individuelle, en sachant qu’il s’agit d’un point d’entrée potentiel et en comprenant que toutes les autres applications (à l’intérieur) peuvent être des attaquants.

Une approche par application fonctionne encore mieux avec des services d’application prêts pour le cloud qui peuvent être déployés à la fois dans le cloud (ou plusieurs clouds) et à domicile dans le centre de données. La standardisation d’une solution de services applicatifs signifie une parité des politiques qui garantit la sécurité cohérente souhaitée lorsque les organisations colonisent les clouds publics dans le cadre de leurs efforts de transformation numérique.

Que vous soyez dans le cloud (ou dans plusieurs clouds) ou que vous restiez chez vous dans le centre de données, une architecture par application est une approche gagnant-gagnant en matière de sécurité qui peut réduire les risques pour les applications individuelles tout en protégeant l'ensemble du système et en maintenant la compétitivité de l'entreprise dans l'économie numérique.