Dès 2009, alors que le cloud commençait tout juste à s’imposer comme la technologie la plus susceptible de tout bouleverser, beaucoup d’entre nous ont commencé à s’intéresser au problème de la cohérence au niveau de l’infrastructure. Sous le nom d’« infrastructure 2.0 », nous avons examiné le rôle de la programmabilité (API, modèles, modèles de configuration) et la question de la mise en place et de l’application cohérentes de politiques dans ce que nous appelions alors un monde « intercloud » .
Aujourd’hui, nous appelons cela hybride ou multi-cloud, et la question demeure : comment parvenir à une cohérence des politiques dans un environnement qui intègre des modèles d’infrastructure traditionnels avec le cloud computing ?
Et c’est toujours un problème. CloudPassage, un fournisseur de sécurité cloud géré, a commandé une enquête qui a recueilli plus de 1 000 réponses sur le thème du cloud et de la sécurité, constatant que « la cohérence au sein de l'infrastructure informatique » et la « protection continue » étaient les facteurs les plus importants pour la protection de l'infrastructure cloud, avec respectivement 60 % et 58 % des répondants d'accord. Lorsqu’on leur a demandé quelles méthodes pouvaient être utilisées pour combler le fossé de sécurité dans le cloud qui continue de nuire aux organisations, la méthode la plus citée était la « capacité à appliquer des politiques de sécurité cohérentes et continues ».
Ce désir de parité des politiques entre le cloud et les services sur site s'est à nouveau manifesté lorsque nous (c'est-à-dire le « nous » de l'entreprise) avons mené cette année notre enquête annuelle sur l'état de la distribution des application , dans laquelle 48 % des plus de 3 000 répondants ont cité « la parité de sécurité et d'audit avec les services sur site » comme l'une des trois principales exigences de sécurité pour l'adoption du cloud.
Le problème que nous avons cherché à résoudre en 2009 demeure le même : comment parvenir à une parité des politiques entre les infrastructures sur site et dans le cloud sans réduire la sécurité à son strict minimum afin de prendre en charge le plus large ensemble d’options possible ? Après tout, les modèles de configuration varient déjà considérablement d’un fournisseur à l’autre. L’ajout du cloud computing à l’ensemble ne fait qu’accroître la variété des modèles et des méthodes utilisés pour gérer et contrôler la sécurité. Une politique de sécurité d’application standard utilisée pour implémenter une politique de pare-feu application Web (WAF) sur site, par exemple, ne peut pas simplement être réutilisée par un fournisseur de cloud. Une politique distincte doit être créée, qui doit ensuite être maintenue, gérée et auditée. Pour parvenir à la parité dans de telles situations, il faut veiller à ce que les deux politiques garantissent la même sécurité dans les deux environnements.
C’est intenable. C’est une opération difficile sur le plan opérationnel, coûteuse sur le plan administratif et source d’erreurs potentielles. Des erreurs coûteuses.
L’une des façons d’atteindre la cohérence souhaitée est en fait de se tourner vers le cloud lui-même, vers les services de sécurité qui peuvent être proposés en tant que service , dans le cloud. Ces services peuvent généralement être identifiés comme étant en amont de l' application et responsables de l'inspection et du nettoyage avant que les demandes application ne soient autorisées à atteindre l' application. La prévention DDoS, les services WAF, l'atténuation du SPAM et la détection des logiciels malveillants font tous partie de la catégorie des services application en amont qui peuvent être efficacement déchargés vers un service basé sur le cloud pour garantir la cohérence de la politique sur toutes les applications, qu'elles soient dans le cloud ou sur site. De la même manière qu’un CDN décharge les services de mise en cache, ces options de sécurité en tant que service offrent une cohérence pour les environnements multicloud, car elles peuvent utiliser les mêmes politiques ou politiques de base dans plusieurs applications et environnements.
La nécessité d’une application cohérente des politiques, en particulier celles liées à la sécurité, ne fera que croître à mesure que l’Internet des objets deviendra plus répandu et que les organisations continueront d’étendre leur présence non seulement dans le cloud, mais dans de nombreux clouds. La variété peut être le piment de la vie, mais pour des raisons de sécurité, trop de cuisiniers gâchent la soupe. Et si je pouvais trouver un autre idiome à mélanger à mes métaphores, je le ferais car il illustre de manière existentielle le défi à relever.
La sécurité est déjà assez difficile comme ça. Ajouter davantage d’environnements, de systèmes et de politiques plus nombreuses et différentes ne fait que rendre la tâche plus difficile. Et dans un monde où il y a une pénurie de talents en matière de sécurité, il est logique de rechercher et de tirer parti de toute solution qui facilite non seulement le déploiement et la gestion, mais aussi l’application des politiques de sécurité dans un monde de plus en plus multi-tout sous le soleil.