Nuage: Centralisation de la sécurité pour les environnements décentralisés

Il existe une sorte de cycle répétitif pour tout (du moins, c’est ce qu’il semble avec le recul) dans lequel les changements dans les architectures et l’utilisation des applications stimulent le besoin de nouvelles technologies dans le réseau. Technologies conçues pour répondre aux défis qui entravent le succès des applications, qu'ils soient mesurés par des indicateurs de consommation ou d'entreprise (profit et productivité).

La disponibilité et les performances sont généralement les premiers défis à relever. Et toujours (ou du moins c'est ce qu'il semble) vient en dernier la sécurité. Ces trois préoccupations, qui correspondent presque parfaitement aux composantes du risque opérationnel, ont tendance à trouver une réponse par des solutions individuelles et ciblées (nous les appelons « ponctuelles »).

À un moment donné du cycle, les organisations se rendent compte qu’elles ont déployé beaucoup trop de solutions et qu’elles contribuent à l’encombrement qui engloutit les budgets opérationnels. C’est ce qu’on appelle « l’étalement des solutions ». Ils cherchent donc naturellement à consolider, ou à centraliser, pour réduire la charge opérationnelle qui pèse sur leurs budgets et, de plus en plus, sur leurs collaborateurs.

Le cloud est l’un de ces changements d’architecture d’application, dans la mesure où il a fourni un autre environnement qui était une option intéressante sur le plan opérationnel et financier. Les organisations en ont certainement profité et continuent de le faire aujourd’hui. Alors que le SaaS consomme la plus grande partie du paysage applicatif « cloud », les offres IaaS et PaaS publiques commencent à connaître au moins un certain succès pour attirer les organisations.

Ce mouvement a non seulement conduit à des environnements opérationnels disjoints, mais a également provoqué un changement radical dans ce que nous considérions traditionnellement comme le « périmètre » devant être sécurisé. Le périmètre ne se situe plus à la limite du réseau, là où les routeurs et les pare-feu des entreprises transfèrent la responsabilité du trafic aux fournisseurs et à Internet. Il s’agit plutôt de plusieurs périmètres, chacun centré (à juste titre, dirais-je) sur une application.

La protection de chaque application est primordiale. C'est incontestable. Les applications sont la porte d’entrée vers le coffre-fort de données de l’entreprise, qu’elle soit professionnelle ou grand public. Les applications ne peuvent tout simplement pas être déployées sans une sécurité adéquate, de peur qu’elles ne soient exploitées et que les données qu’elles sont censées fournir, traiter et manipuler soient exposées.

Il y a peu de différence entre la notion de prolifération de solutions survenant sur site, dans le centre de données, et la prolifération de solutions lorsqu'elle se produit dans des environnements cloud.

Sauf que la « centralisation » n’est pas aussi simple que la consolidation de solutions en une seule solution.

Ou peut-être que c'est le cas.

La cause de la prolifération des solutions – le cloud – s’avère être la solution parfaite pour répondre au besoin de centraliser au moins les solutions de sécurité d’une manière cohérente avec la notion de chaque application étant son propre périmètre.

La centralisation de la protection des applications critiques (sécurité des couches réseau et applicative) dans le cloud offre aux entreprises la possibilité de réduire la prolifération des solutions. Cela permet non seulement d’assurer une sécurité plus cohérente entre les applications, quel que soit leur emplacement de déploiement, mais réduit également la charge pesant sur les praticiens de la sécurité et les processus, car la prolifération des journaux est également réduite et la corrélation des événements devient plus simple.

Le choix d’une solution centralisée qui répond au besoin de détecter et de prévenir les attaques volumétriques au niveau du réseau et de la couche applicative réduit encore davantage la charge qui pèse sur les professionnels du réseau et de la sécurité, et répond au besoin des organisations de visibilité sur les menaces applicatives.

Une étude Forrester commandée par Fortinet a révélé que la visibilité sur les caractéristiques des applications et du réseau est importante pour les professionnels des réseaux et de la sécurité. Être capable de fournir une couverture des deux dans une solution unique basée sur le cloud qui peut servir de sentinelle de sécurité pour de nombreuses applications sur divers sites est impératif dans le paysage distribué dans le cloud d'aujourd'hui.

Les attaques DDoS et la sécurité des applications Web sont toutes deux importantes dans le jeu actuel à enjeux élevés et à volume élevé consistant à « protéger l’application ». Le fait de réunir ces deux éléments dans une solution unique basée sur le cloud répond au besoin de centraliser la sécurité tout en établissant des périmètres centrés sur les applications appropriés, quel que soit l'endroit où cette application peut être déployée.

Il est impossible d’établir ces périmètres centrés sur les applications sur site. Les inconvénients architecturaux d’une telle démarche l’emportent sur les avantages opérationnels. Mais déplacer ce même concept vers le cloud, en tant que service basé sur le cloud, offre non seulement les mêmes avantages opérationnels inhérents à la centralisation, mais constitue également un principe architectural solide. Une solution basée sur le cloud a accès à une bande passante plus importante, ce qui signifie qu’elle peut résister à un déluge d’attaques réseau et applicatives. Une solution basée sur le cloud a accès à des canaux plus rapides, ce qui signifie que le « saut » supplémentaire requis pour activer la sécurité de la couche applicative pour chaque application n'a relativement aucun impact. À l’inverse, essayer d’acheminer toutes les demandes d’applications basées sur le cloud via un service de sécurité d’applications Web sur site peut entraîner une latence excessive, sans parler d’un besoin accru d’évolutivité en interne et d’une augmentation potentielle de la bande passante de liaison montante disponible.

La centralisation de la protection DDoS avec la sécurité des applications Web est une bonne idée sur le plan opérationnel et architectural.

Pour plus d'informations sur une solution cloud convergée de protection DDoS et de sécurité des applications Web, consultez F5 Silverline . Et pour une plongée plus approfondie ce 25 mai, rejoignez-nous et Equinix pour un webinaire en direct sur la protection DDoS hybride .