Sécurisation des applications et des API partout : Pourquoi et comment
F5 aide les entreprises à numériser tous les aspects de leurs opérations en utilisant des applications adaptatives pour mieux servir les clients et atteindre une plus grande productivité grâce à des produits et services innovants. Mais ces applications (la manière dont elles sont construites, les infrastructures sur lesquelles elles fonctionnent et les données qui les alimentent) sont en constante évolution, s’adaptent et changent. Par conséquent, ils ouvrent une gamme de nouvelles vulnérabilités potentielles, élargissent votre surface d’attaque et présentent de nouvelles exigences de sécurité que vos équipes doivent aider à résoudre.
Ainsi, alors que chez F5, nous permettons des applications adaptatives pour le succès de nos clients, nous devons sécuriser les applications et les API partout . Ceci est fondamental pour la stratégie de sécurité des applications de F5 (et l’objet de ce blog).
Plus d'applications = une sécurité plus complexe
D'ici la fin de la décennie, le marché des applications mobiles à lui seul connaîtra une croissance de près de 175 %, passant de 206,7 milliards de dollars en 2022 à 565,4 milliards de dollars (USD ).
Avec la croissance des applications et l’investissement numérique continu dans tous les domaines d’activité, il existe de nombreuses opportunités d’améliorer l’efficacité, de développer une plus grande différenciation et de renforcer les relations avec les clients.
Mais il y a aussi des inconvénients : c’est une chose de créer une application, c’en est une autre de la faire évoluer pour répondre aux besoins croissants d’une entreprise numérisée prospère et de son écosystème.
Voici un exemple simple : Vous souvenez-vous de l’époque où les applications des compagnies d’assurance automobile vous permettaient simplement de consulter les détails de votre compte et de payer votre facture ? Aujourd’hui, de nombreux systèmes vous permettent de prendre des photos, de soumettre des réclamations et de gérer le début du processus de réclamation, y compris les interactions avec des tiers tels que les ateliers de réparation.
Lorsque vous commencez à considérer l’ampleur et la complexité de ce type d’environnement numérique (le volume d’API et de microservices nécessaires pour que cet environnement fonctionne de manière transparente et ravisse les clients), l’ampleur et la complexité du défi de la sécurité des applications commencent à émerger. Alors que les entreprises se modernisent et redoublent d’efforts en matière de nouveaux investissements numériques, les responsables de la sécurité se demandent comment rester en sécurité et en conformité.
Tant de choses ont changé… et il est bien plus difficile de les sécuriser.
Ces dernières années, nous avons constaté un changement dans la manière dont les applications sont créées, déployées et gérées.
Les applications professionnelles étaient autrefois monolithiques : une base de code unique, unique et bien protégée. Aujourd’hui, les applications sont des puzzles, constitués de composants modulaires tels que des microservices et des conteneurs. Certaines applications n'existent que sous forme de composants éphémères et à la demande.
Autrefois, le calcul d’entreprise se faisait dans des centres de données et peut-être avec un seul fournisseur de cloud. Aujourd’hui, la plupart des organisations disposent de plusieurs applications exécutées dans plusieurs clouds. Les organisations modernes ont le luxe de pouvoir tirer parti de plusieurs fournisseurs de cloud, en appliquant des charges de travail spécifiques à des plates-formes spécifiques qui excellent dans cette fonction.
Les protocoles de communication étaient autrefois prévisibles et simples. Les équipes informatiques et de sécurité pourraient se concentrer sur l’IP, en s’assurant que le routage, la segmentation et les ports étaient tous en ordre et alignés. Les communications contemporaines se produisent au niveau de l’API (entre et même au sein des applications), un phénomène que la plupart des stratégies de sécurité des organisations n’ont pas encore abordé.
Pendant ce temps, les applications et infrastructures héritées existent toujours. Dans de nombreux cas, ils restent essentiels à la mission et doivent toujours être soigneusement entretenus et sécurisés. En fait, la plupart des entreprises exploitent actuellement des applications héritées et modernes dans des environnements hybrides et multicloud, mais chaque entreprise souhaite que ses politiques de sécurité soient appliquées de manière universelle .
Un exemple concret : Log4j
Lorsque la vulnérabilité Apache Log4j/Log4Shell a commencé à faire la une des journaux pendant la saison des vacances d'hiver 2021, beaucoup ont supposé que les équipes informatiques et SecOps commenceraient une course folle pour corriger et répondre. L'exercice devait durer quelques semaines, voire quelques mois (comme cela s'est produit à maintes reprises auparavant), et l'histoire finirait par disparaître.
Cependant, il est rapidement devenu évident que de nombreuses organisations avaient du mal à déterminer où et si l’utilitaire était présent dans leur pile technologique (ou dans celle de leurs fournisseurs et partenaires de données). Aujourd’hui, les exploits de Log4j persistent et les attaques continuent. En fait, les États-Unis Le Cyber Safety Review Board (CSRB) du Département de la sécurité intérieure a récemment conclu que la vulnérabilité d'Apache Log4j pourrait rester un risque important pour les organisations pendant la prochaine décennie ou plus .
Cela amène à se demander si Log4j n’est qu’une valeur aberrante, un événement qui ne se produit qu’une fois par génération ? Ou est-ce le signe que d’autres incidents de type Log4j vont se produire ? Si tel est le cas, quelles leçons les organisations et les fournisseurs devraient-ils appliquer à l’avenir ?
La complexité reste l’ennemi
Si l’adage selon lequel « la complexité est l’ennemi de la sécurité » est toujours vrai, alors aujourd’hui, l’ennemi se porte plutôt bien. Alors que les entreprises tentent de sécuriser davantage d'applications et d'API dans des environnements et des plateformes de plus en plus disparates, de plus en plus d'outils et d'interfaces sont nécessaires pour les suivre, ce qui laisse les professionnels de la sécurité du mal à suivre. Le même travail prend désormais plus de temps et mobilise davantage de ressources, avec un risque potentiellement plus élevé d’erreur humaine.
Et comme si le simple fait de répondre aux besoins de sécurité interne ne suffisait pas, il faut également tenir compte des exigences croissantes des régulateurs, des audits et de la surveillance des partenaires commerciaux, qui créent un paysage de confidentialité et de conformité des données en constante évolution et de plus en plus difficile.
Comment F5 peut vous aider
La stratégie de sécurité principale de F5 , Sécuriser les applications et les API partout, vise à aider les organisations numérisées à sécuriser les applications et les API contre l'ensemble des cybermenaces et de la fraude numérique.
Notre attention se résume à trois piliers :
1. Sécurisez de manière cohérente les applications héritées et modernes… où qu’elles se trouvent. Dans le cloud, le centre de données ou la périphérie, vous avez besoin d'une politique et d'un contrôle cohérents. F5 propose une structure pour la sécurité des applications qui élimine les silos et relie les architectures d'applications héritées et modernes.
Vous bénéficiez de la flexibilité nécessaire pour déployer des applications où vous en avez besoin (sans les restrictions ou les incohérences qui accompagnent normalement les environnements distribués) avec une politique et une application cohérentes.
2. Protégez les applications modernes et leurs API à la vitesse de l’entreprise numérique. Alors que les applications et les API sont développées et déployées dans des environnements DevOps dynamiques et agiles, F5 peut contribuer à garantir que les contrôles appropriés sont automatiquement déployés, surveillés et adaptés, quel que soit le moment où le personnel pourrait penser à « ajouter » la sécurité.
Vos équipes peuvent bénéficier de cycles de développement plus rapides, d'une protection renforcée et d'une conformité simplifiée pour les nouvelles applications et les projets de numérisation, ainsi que d'une détection et d'une correction des menaces en temps réel pour les charges de travail et l'infrastructure natives du cloud.
Les équipes de sécurité ont l'esprit tranquille en sachant qu'à mesure que les équipes DevOps optimisent et mettent à niveau les applications de plus en plus rapidement, leur politique de sécurité évaluée en fonction des risques reste toujours en vigueur.
3. Augmentez continuellement vos défenses grâce à l'IA/aux données et aux renseignements connectés. La visibilité de F5 est unique car nous pouvons voir les transactions et les interactions des clients avec les applications, les fonctions des applications elles-mêmes et l'infrastructure sur laquelle elles résident et communiquent.
La collecte massive de données de F5 avec l’IA, le contexte humain et la supervision aident ensemble à déterminer la meilleure marche à suivre chaque fois que des anomalies, des vulnérabilités et des exploits sont découverts. Vous pouvez renforcer vos défenses tout en augmentant votre productivité grâce à moins de faux positifs.
En pratique, les produits et services de F5 aident les organisations du monde entier à prévenir les exploitations actives de leurs applications. Nous atténuons les bots, le Top 10 de l'OWASP et de nombreux autres types d'attaques. Nous découvrons et contrôlons les API. Nous protégeons l’infrastructure applicative sous-jacente. Et nous aidons à mettre fin à la fraude et à la prise de contrôle malveillante des comptes des clients finaux. En bref, nous disposons d’un large éventail de cas d’utilisation que nous pouvons vous aider à traiter et à protéger.
Au cours des prochaines semaines, nous communiquerons et partagerons davantage sur la manière dont nous répondons à ces cas d’utilisation, les avantages dont bénéficient nos clients et les raisons pour lesquelles nous pensons que la sécurisation de vos applications et API sera obligatoire à mesure que le monde numérique axé sur les applications évolue continuellement.