BLOG

Creusets de sécurité du cloud : Australie et Nouvelle-Zélande

Miniature F5
F5
Publié le 09 mai 2016

 

Je reviens tout juste d’une longue tournée en Australie et en Nouvelle-Zélande (ANZ), où certains développements passionnants méritent d’être immortalisés. Les deux pays sont des nations insulaires, et Darwin a souligné dans « De l’origine des espèces » que les îles peuvent devenir des creusets d’évolution. L’Australie développe une nouvelle façon d’exploiter le cloud, et la Nouvelle-Zélande développe un nouveau modèle d’efficacité pour les services de sécurité gouvernementaux. Les deux pays partagent un aspect avec le reste du monde : les défis liés au cryptage.

L'Australie évolue vers le multi-cloud

Au cours des cinq dernières années, personne n’a adopté le cloud plus pleinement que les Australiens. Dans la plupart des régions, le secteur des services financiers est généralement le dernier à se lancer dans la fête du Cloud, mais pas en Australie. Aux antipodes, le secteur des services financiers a ouvert la voie en adoptant des politiques privilégiant le cloud. Désormais, les Australiens poursuivent également activement la stratégie multi-cloud. Le multi-cloud utilise plusieurs clouds publics ; AWS, Google et Azure sont parmi les trois plus grands. Cela présente des avantages par rapport à une simple politique « cloud first », mais la sécurité n’en fait pas partie. 

Les Australiens voient deux avantages principaux à l’adoption d’une architecture multi-cloud. Le coût des services publics adaptatifs est le premier. Les différents fournisseurs de cloud facturent des tarifs différents, qui peuvent varier d’un jour à l’autre, voire d’une heure à l’autre. Une architecture agile peut tirer parti de ces différences de prix en déplaçant les charges de calcul et de stockage vers les fournisseurs de calcul et de stockage les moins chers du moment.

Deuxièmement, les Australiens tiennent à éviter tout point de défaillance unique ; ce n’est pas parce que le cloud est « l’ordinateur de quelqu’un d’autre » qu’il est en quelque sorte immunisé contre les erreurs opérationnelles. Par exemple, le cloud public Azure de Microsoft a subi une panne mondiale lorsque l’un de ses certificats SSL a expiré sans que personne ne s’en aperçoive. Les clients utilisant uniquement Azure pendant la panne auraient été laissés pour compte. Mais ceux qui ont une stratégie multi-cloud verraient, en théorie, leurs processus métier augmenter leur production dans les deux autres clouds publics pour compenser.

Un client australien souhaite créer une application composée de cinq composants, chacun pouvant se trouver à tout moment dans un cloud public différent. Les composants peuvent passer d’un cloud public à un autre pour profiter des tarifs des services publics ou pour éviter les pannes.

La difficulté ici réside dans la sécurisation des composants de application lorsqu’ils passent d’un cloud à un autre. Tout trafic transitant d’un cloud public à un autre traverse par définition Internet et ne doit donc pas être approuvé. Chaque composant doit traiter chacun des autres comme non fiable.

L’industrie naissante des courtiers en sécurité d’accès au cloud (CASB) tente de résoudre ce problème en enveloppant chaque composant dans son propre tunnel et en fournissant des tunnels de couche 2 à chacun. Il s’agit d’une approche intéressante, mais le fait que le fournisseur CASB doive construire un cloud virtuel parmi le cloud public réintroduit le point de défaillance unique : le fournisseur CASB lui-même. 

La sécurité multi-cloud est un problème difficile à résoudre, un problème que les Australiens s'attaquent gracieusement avant que le reste du monde ne soit obligé de le faire. 

La Nouvelle-Zélande fait évoluer les télécommunications en tant que service (TaaS)

Les fournisseurs de services gérés et les revendeurs en Nouvelle-Zélande s'associent pour former un consortium TaaS. TaaS est un nouveau concept de vente de kits et de maintenance spécifiquement destiné aux agences gouvernementales souveraines. Avec TaaS, l’acheteur choisit les composants (et les fournisseurs) d’une solution technique, mais les loue au lieu de les posséder. Le fournisseur de services gérés gère également la gestion et les opérations de la solution. 

Le moteur du TaaS est un changement dans la manière dont le gouvernement néo-zélandais alloue les fonds : les dépenses d’investissement sont presque impossibles à faire approuver, alors que les dépenses d’exploitation sont approuvées assez facilement. C’est pourquoi les agences gouvernementales évoluent vers le modèle TaaS, où elles ne possèdent pas le kit ni ne gèrent les services, mais peuvent toujours choisir les solutions. Cela n’a été essayé nulle part ailleurs dans le monde (à ma connaissance), nous serons donc impatients de voir comment cela fonctionne. Le modèle de facturation semble compliqué. Le consortium se prépare également à lancer le modèle TaaS en Australie.

Cryptage en Australie

Même si les deux pays sont pionniers dans ces nouvelles frontières, ils ont quelque chose en commun avec le reste du monde : les défis liés au cryptage et à la sécurité. Presque toutes les organisations que j’ai visitées étaient enthousiasmées par les nouvelles pratiques recommandées SSL (SSL RP) de F5. Publié à la fin de l’année dernière, le SSL RP fournit un guide détaillé et exhaustif pour faire face aux défis de chiffrement auxquels de nombreuses organisations sont confrontées alors qu’elles s’efforcent de « tout chiffrer ».

Les sujets des pratiques recommandées SSL incluent :

  • Comment obtenir un A+ auprès de Qualys SSL Labs.
  • Quatre façons de procéder à la révocation d’un certificat.
  • Trois façons de mettre en miroir les données SSL pour une haute disponibilité.
  • Configuration de F5 comme proxy direct pour prendre en charge l'inspection SSL.
  • Quand une organisation doit-elle utiliser la confidentialité persistante ?
  • Renforcer la posture de sécurité grâce à Strict Transport Security.

Le PDF des pratiques recommandées SSL peut être téléchargé à partir du site F5.com.

Grâce aux creusets cruciaux

Les nations insulaires d’Australie et de Nouvelle-Zélande peuvent être des creusets d’évolution pour les nouvelles technologies. Si TaaS réussit en Nouvelle-Zélande et migre vers l’Australie, il pourrait se développer suffisamment pour se propager au reste du monde. L’élimination des imperfections de la structure multicloud peut prendre plus de temps que le développement du TaaS. Mais si les Australiens parviennent à mettre en place un multi-cloud, il est facile de voir l’ensemble du monde développé s’orienter vers cette solution pour l’amélioration des services partout dans le monde. Cela prendra cependant un certain temps.