BLOG

Sécurité dans le Cloud : Le périmètre commercial

Miniature de Lori MacVittie
Lori MacVittie
Publié le 11 juillet 2016

Lorsque Léonidas de Sparte se trouva confronté à la perspective de défendre Sparte contre l'armée perse, beaucoup plus nombreuse et plus méchante, il choisit spécifiquement le passage étroit des Thermopyles pour le faire. Lors de la bataille du pont de Stirling , William Wallace et ses forces écossaises ont utilisé à leur avantage le passage étroit du pont pour vaincre les Anglais. Lorsque vous êtes coincé dans un donjon, vous vous tenez à la porte, réduisant les capacités effectives de ces centaines de zombies à seulement deux ou trois à la fois.     

La stratégie consistant à forcer un attaquant à traverser un seul point de contrôle restrictif est ancienne. Cela réduit essentiellement l’avantage d’avoir un nombre significativement plus élevé d’attaquants que de défenseurs.

Nous utilisons cette stratégie depuis des années dans le domaine technologique. Cela s'appelle le pare-feu. C'est un point de contrôle stratégique et c'est généralement « la porte d'entrée » vers l'objectif (applications et données). Et cela fonctionnait très bien, tant que tout était derrière le pare-feu et que c’était le seul point par lequel un attaquant pouvait accéder à son objectif.

approche-de-la-securite-du-cloud-1

Cependant, avec la prévalence actuelle du cloud, les attaquants disposent de beaucoup plus de points par lesquels ils peuvent accéder à leurs objectifs. Chaque application nécessite son propre périmètre de protection. Ils ont besoin de leur propre protection DDoS et de leurs propres politiques de sécurité des application Web personnelles et privées. Ils ont besoin fondamentalement des mêmes protections qu’ils ont toujours eues, mais maintenant ils en ont besoin ailleurs. C'est l'architecture, et non les appareils, qui est aussi importante pour protéger les forces de votre entreprise (ce sont vos applications) déployées sur le vaste champ de bataille qu'est Internet.

Plusieurs options sont disponibles. Par exemple, vous pouvez déployer une protection par application dans le cadre du « package d'architecture application » plus vaste, quel que soit l'endroit où elle est déployée. Cela peut être sur site, dans un environnement inspiré du cloud, ou dans le cloud public. Où que vous soyez, vous y allez – et c'est là que vous déployez vos protections, avec l' application pour former un périmètre par application qui est spécifique à l'application et fournit le même contrôle stratégique que celui fourni par le laissez-passer des Thermopyles.  L’avantage ici est que la sécurité de l’application est nécessairement intégrée à l’application. Il s’agit d’amener le Zero Trust vers le cloud. 

approche-de-la-securite-du-cloud-2

Une autre stratégie s'appuie sur les principes des architectures sans serveur : une approche cloud-first pour centraliser la sécurité (toujours très demandée sur la liste de souhaits de nombreux professionnels de la sécurité) sans sacrifier les avantages d'une solution simplifiée basée sur le cloud. Il s’agit d’adapter le contrôle stratégique traditionnel offert par un pare-feu et de le déplacer dans le cloud, dans un modèle « en tant que service ». Une telle approche offre aux organisations la possibilité de centraliser la sécurité des applications tout en évitant un modèle probablement coûteux dans lequel le centre de données continue d’héberger les services de sécurité « principaux » et tout le trafic doit y circuler. La meilleure façon de remédier à cette inefficacité est de migrer la sécurité, comme la protection DDoS et les pare-feu d’applications, vers le cloud, où la bande passante, la capacité et l’accès sont largement disponibles. L’avantage de la centralisation et de l’élimination de la gestion des appareils est significatif. 

Quelle que soit l’approche que vous avez choisie (ou que vous envisagez de choisir), une réalité flagrante s’impose : le périmètre de l’entreprise n’est plus le périmètre de l’entreprise. Avec un nombre croissant d’applications dans différents clouds et la croissance constante mais certaine de l’Internet des objets, les stratégies de sécurité doivent non seulement commencer à réfléchir à la manière de protéger les applications dans le cloud, mais également à la manière d’ utiliser le cloud pour protéger les applications partout .