TRANSFORMATION NUMÉRIQUE

Politiques communes ou services natifs — Gérer la sécurité en environnement multicloud

CONTENU CONNEXE

Protéger chaque application dans un monde multicloud. ›

Apprenez les meilleures pratiques pour protéger vos applications recommandées par F5 et Shape.

En savoir plus ›

Les services cloud natifs fonctionnent jusqu’à un certain point. Ils accélèrent le développement d’applications qui répondent aux besoins d’une majorité de clients. En revanche, ils sont spécifiques à un fournisseur de services cloud donné et ne proposent pas la souplesse nécessaire pour satisfaire les clients dont les besoins diffèrent de ceux de la majorité. L’intégration de fournisseurs tiers proposant des fonctionnalités et politiques de sécurité communes partagées par les clouds de plusieurs fournisseurs peut vous aider à prendre en charge des applications capables de dépasser les services natifs. Vous pourrez ainsi continuer à maintenir l’utilisation de services natifs divers dans un environnement multicloud, tout en garantissant des postures de sécurité cohérentes et conformes dans l’ensemble de vos applications.

POLITIQUES COMMUNES OU SERVICES NATIFS — GÉRER LA SÉCURITÉ EN ENVIRONNEMENT MULTICLOUD

Les services de sécurité natifs en cloud réduisent l’efficacité opérationnelle dans les environnements multicloud.

La sécurité des applications se décale à gauche : les équipes de DevOps sont de plus en plus responsables de la sécurité. Si l’expertise des DevOps en matière de processus de cycle de vie de développement leur permet d’introduire efficacement les exigences de sécurité dès le début du cycle de vie des logiciels, ces équipes n’ont pas toujours les ressources nécessaires pour anticiper les menaces, ni une expertise suffisamment large pour mettre en œuvre toutes les solutions et politiques de sécurité nécessaires à la protection des applications modernes.

Les services de sécurité natifs en cloud offrent aux développeurs de DevOps et d’unité commerciale des options spécifiques à une plateforme, qui fonctionnent bien pour de nombreuses applications. Toutefois, à mesure que les entreprises adoptent des solutions multicloud, les coûts de ces services natifs commencent à dépasser les bénéfices. Lorsque quelques services de sécurité suffisent sur une plateforme de cloud unique, de nombreux services sont nécessaires pour fournir la même protection sur deux plateformes de cloud ou plus. Chaque plateforme a ses propres caractéristiques en matière d’exigences de gestion d’identité, de politiques de sécurité, d’API, ou de procédures de gestion. L’efficacité globale en est largement réduite. L’amélioration de l’efficacité opérationnelle et de la sécurité est une priorité absolue pour les initiatives de transformation numérique et les objectifs de leadership des entreprises.

Efficacité réduite par la surcharge de gestion

La complexité de mise en œuvre et de gestion associée aux services de sécurité natifs est la première source notable d’inefficacité opérationnelle. Les difficultés liées à la gestion de tous les composants de plusieurs services de sécurité natifs peuvent avoir de graves conséquences négatives pour une entreprise. Des failles de sécurité dues à de mauvaises configurations ont été exploitées dans 66 % des attaques (soit par des attaquants exploitant une faille dans le pare-feu des applications web pour accéder aux informations d’authentification de comptes, soit par des attaquants profitant d’une ressource mal configurée). Les ingénieurs de DevOps sont chargés d’identifier la mise sur le marché la plus rapide possible. La réduction de la charge de travail liée au maintien et à la compréhension des politiques de sécurité de plusieurs fournisseurs de services en cloud peut leur permettre de mieux concentrer leur attention et leurs ressources sur cet objectif.

Difficultés pour les opérations de sécurité : trouver du personnel qualifié (39 %), conformité (38 %), visibilité de l’infrastructure (36 %) et difficultés à mettre en œuvre des politiques de sécurité cohérentes (33 %).

Le passage à un fournisseur tiers capable de mettre en œuvre une politique de sécurité cohérente pour toutes les applications dans un environnement multicloud peut réduire considérablement la surcharge technique de la mise en œuvre de sécurité incombant aux équipes de DevOps. L’utilisation de ce type de service peut réduire la fréquence à laquelle de mauvaises configurations de sécurité sont acceptées en environnement de production, et simplifier l’intégration des politiques et des configurations dans les pipelines de CI/CD en fournissant aux équipes de DevOps un ensemble d’outils d’automatisation qui peuvent être utilisés pour un fonctionnement standardisé. Ceci, à son tour, permet aux services de sécurité d’être intégrés dans les chaînes d’outils d’automatisation existantes de l’entreprise.

Efficacité réduite en raison de la diminution de la visibilité sur la sécurité de l’infrastructure cloud

La faible visibilité de la sécurité des infrastructures en cloud est une autre source de réduction de l’efficacité opérationnelle accompagnant l’utilisation de services de sécurité natifs. Les organisations bénéficient certes d’un déploiement plus rapide lorsqu’elles utilisent des services natifs, mais, selon 36 % des personnes interrogées, ces services natifs ne fournissent pas une visibilité adéquate sur l’infrastructure de sécurité en cloud. Bien que les équipes DevOps prennent de plus en plus en charge le déploiement et la gestion de la sécurité des applications, la supervision de la sécurité de l’entreprise et le reporting restent des responsabilités SecOps. Des services de sécurité en cloud distribués et natifs impliquent par défaut des rapports et analyses de sécurité également distribués et spécifiques à un cloud. La nature distribuée des analyses obscurcit le paysage de la sécurité du système dans son ensemble. En conséquence, les équipes SecOps risquent de n’être en mesure de fournir que des recommandations isolées et spécifiques à un fournisseur. L’utilisation de services de sécurité communs mis en œuvre par un fournisseur de sécurité multicloud standardisé garantit que les mêmes politiques de sécurité sont partagées par toutes les applications, et permet aux SecOps d’émettre des recommandations basées sur des analyses de sécurité partagées, et exploitables sur l’ensemble du système.

Efficacité réduite par l’augmentation de la surcharge de conformité

La nécessité d’adopter une stratégie de sécurité multicloud capable de garantir la conformité à travers différents fournisseurs de cloud est une autre source d’inefficacité opérationnelle des services de sécurité natifs. Les équipes de DevOps sont astreintes à la conformité aux exigences de sécurité tant internes que légales ou professionnelles. Historiquement, des équipes InfoSec centralisées ont aidé à établir et à auditer les contrôles de sécurité des applications, en particulier dans les organisations comme les services de santé ou financiers ayant à traiter des informations personnelles sensibles ou protégées. Avec le décalage vers la gauche de la sécurité des applications, les DevOps sont maintenant tout autant responsables que les SecOps du maintien de l’alignement avec les exigences de sécurité de l’entreprise. Ceci est difficile lorsque les politiques de sécurité natives sont propres à un fournisseur de cloud spécifique, qu’il s’agisse d’AWS, d’Azure ou de Google Cloud. Les audits sont également rendus moins efficaces. Le déploiement de politiques de sécurité communes et multicloud réduit le temps consacré à l’audit des configurations de sécurité. L’inclusion de solutions de visibilité peut permettre à une organisation de créer un guichet unique qui réduit la complexité des tests de conformité et améliore la collaboration entre les équipes.

96 % des organisations sont préoccupées par leur niveau actuel de sécurité en cloud. La perte de données, la détection et la réponse, ainsi que la gestion du multicloud figurent en tête de liste des principales préoccupations des entreprises.

L’adoption de politiques de sécurité communes améliore l’efficacité des DevSecOps

Les évolutions des conventions de développement d’applications ont accru les responsabilités en matière de sécurité qui relèvent des compétences de DevOps. Il est par conséquent plus exact de désigner ces équipes sous le nom de DevSecOps et de reconnaître que cela fait partie du modèle opérationnel de sécurité SecOps. Le maintien de politiques de sécurité natives spécifiques à chaque fournisseur ajoute une surcharge de gestion significative, éliminant ainsi une grande partie des avantages du modèle DevOps. La standardisation autour d’une solution de sécurité d’entreprise multicloud augmente l’efficacité opérationnelle et crée des opportunités de connexion avec de nouveaux partenaires stratégiques de sécurité, réduisant le potentiel de perte d’efficacité opérationnelle lors du passage à un environnement multicloud.



EN SAVOIR PLUS

SOAS 2020 | ÉDITION DEVOPS

État des Services applicatifs 2020 : édition DevOps

Découvrez comment les adeptes du DevOps s’adaptent au monde axé sur les applications.

SERVICES APPLICATIFS MULTICLOUD | SOLUTIONS

Services applicatifs multicloud

En savoir plus sur les services d’application et les outils de gestion susceptibles d’améliorer l’efficacité de votre environnement multicloud.

LABORATOIRE DES SERVICES CLOUD | DEVCENTRAL

Le laboratoire de services cloud F5 Cloud Services maintenant sur GitHub

Explorez un laboratoire interactif et pratique de services en ligne sur GitHub.