Zscaler Cloud Platform

CNAPP et SASE : deux plateformes pour tout gérer

Une serrure numérique

Lorsqu’un nouveau marché voit le jour dans le domaine des technologies de l’information B2B, les fournisseurs proposent le plus souvent des dizaines de produits, chacun avec ses propres arguments de différenciation au sein de sa niche. Ce phénomène est particulièrement flagrant dans le domaine de la sécurité du cloud public, où il existe des valises d’acronymes quasi-incompréhensibles de solutions, chacune résolvant sa propre partie du grand problème de la protection du cloud. CSPM, CIEM, DLP, IAM, mise en réseau multicloud, microsegmentation, analyse IaC, sécurité d’exécution des conteneurs et évaluation de la vulnérabilité, pour n’en citer que quelques-unes. 

Même si vous disposiez du budget nécessaire pour acheter tous ces outils séparément, la complexité opérationnelle liée à la formation du personnel, à l’intégration des produits et aux relations avec une dizaine de fournisseurs différents serait un cauchemar. Heureusement, à mesure que le cloud public gagne en maturité, les entreprises convergent vers deux plateformes principales qui répondent à leurs besoins de protection de la charge de travail via une stratégie basée sur une sécurité Zero Trust : Cloud Native Application Protection Platforms (CNAPP) et Secure Access Service Edge (SASE).

Fondamentalement, la sécurité Zero Trust est un cadre construit autour du concept d’accès sur la base du moindre privilège, selon lequel aucun utilisateur ou application ne doit être intrinsèquement considéré comme fiable. Ce qui est révolutionnaire dans cette approche, c’est qu’elle est exactement à l’opposé de celle adoptée par la plupart des entreprises au cours des deux dernières décennies. Depuis le début des années 1990, la sécurité de l’information s’articule autour du concept d’un périmètre de sécurité qui tente d’empêcher les mauvais éléments d’entrer et les bons de sortir. 

Dans une stratégie Zero Trust, tout et tout le monde est considéré comme hostile. Mais, bien entendu, si vous interdisez tout, les utilisateurs et les applications auront du mal à communiquer. L’accès n’est donc accordé qu’à ce qui est nécessaire, et seulement une fois que l’identité et le contexte de risque ont été établis. Si Zero Trust a été largement adopté pour l’accès des utilisateurs aux applications au cours des dernières années, de nombreuses entreprises l’étendent désormais aux cas d’utilisation d’application à application. 

C’est là qu’interviennent CNAPP et SASE…

 

CNAPP et Zero Trust

Le rôle d’une CNAPP consiste à identifier, hiérarchiser et aider à atténuer les risques liés aux charges de travail dans le cloud. Ces plateformes apportent une visibilité à la fois sur l’infrastructure du cloud public et sur les charges de travail exécutées sur cette infrastructure. Une CNAPP aide également à identifier et à corriger les risques avant le déploiement dans le cloud en s’intégrant aux outils DevOps et aux environnements de développement intégrés (IDE). 

Les CNAPP fournissent des informations sur un large éventail de risques liés au cloud, se substituant à plusieurs catégories de produits auparavant distinctes. Les risques concernent notamment les erreurs de configuration, les privilèges et autorisations excessifs, les données sensibles au repos, les vulnérabilités logicielles non corrigées, etc. Ces plateformes établissent des corrélations entre les fonctions pour aider à hiérarchiser les problèmes réels et exploitables, et fournir une image précise de la manière dont une entreprise pourrait être menacée.

Une CNAPP ne se contente pas d’identifier et de hiérarchiser les risques liés au cloud ; elle aide également à y remédier, soit par une résolution automatisée, soit par une résolution manuelle guidée. Le processus CNAPP d’identification, de hiérarchisation et d’atténuation des risques liés au cloud est permanent. Dans les environnements cloud dynamiques, la posture de risque change constamment. 

Dans une architecture Zero Trust, la CNAPP fournit l’élément essentiel du contexte de risque qui permet de prendre des décisions plus éclairées sur le niveau d’accès dont une charge de travail devrait disposer dans et à travers l’empreinte cloud de l’entreprise. Comme pour les utilisateurs, une charge de travail à risque dans le cloud doit disposer d’un niveau d’accès limité jusqu’à ce que ces facteurs de risque soient atténués de manière adéquate. 

 

SASE et Zero Trust

Une fois le contexte de risque établi, l’étape suivante consiste à autoriser l’accès uniquement à ce qui est nécessaire. C’est là que SASE entre en jeu. SASE se sert de l’identité de la charge de travail et du contexte de risque pour vérifier les droits d’accès, en appliquant des politiques d’entreprise basées sur ce contexte et sur la transaction en cours. Les privilèges d’accès sont continuellement réévalués à mesure que le contexte change. L’architecture SASE a traditionnellement été associée à la protection des communications des utilisateurs, et ce n’est que récemment qu’elle a commencé à gagner du terrain en tant que plateforme de protection des communications des charges de travail. 

Les plateformes SASE connectent les charges de travail du cloud directement à d’autres charges de travail, sans les connecter aux réseaux, ce qui constitue une mise en œuvre des communications Zero Trust pour les charges de travail. En fournissant cette connectivité et cette segmentation d’application à application, SASE réduit la capacité de déplacements latéraux de programmes ou d’acteurs malveillants sur le réseau. SASE permet les communications de charges de travail dans le cloud pour différents cas d’utilisation, notamment :

  • Cloud à cloud
  • Cloud à data center
  • Cloud à Internet
  • Au sein du cloud

Les technologies de périmètre traditionnelles, telles que les pare-feu, utilisent une approche de sécurité « passthrough », un mauvais compromis de protection en faveur de la performance. Lorsqu’elles découvrent un trafic malveillant, il est souvent trop tard pour l’arrêter. Une solution basée sur SASE effectue une inspection complète de chaque transaction, en mettant fin à chaque connexion pour retenir et inspecter même le trafic chiffré avant de le transmettre à sa destination. L’inspection inclut souvent la protection contre la perte de données et la prévention des menaces, en plus du contrôle d’accès. 

 

Deux parties d’un tout

Ensemble, le CNAPP et le SASE fournissent une approche complète de la sécurité des charges de travail dans le cloud en sécurisant les charges de travail et l’accès aux charges de travail tout en garantissant une performance des applications et une expérience utilisateur optimales. Les prochaines années verront une concentration croissante des fonctionnalités actuellement fournies par des produits ponctuels dans l’une de ces deux plateformes. Il en résultera une adoption généralisée de la sécurité Zero Trust pour les charges de travail du cloud public, ainsi qu’une simplification résultant d’un considérable regroupement des outils. 

Mais pourquoi attendre ? Contactez Zscaler. Nous serons ravis de discuter avec vous de la meilleure façon d’exploiter le CNAPP et le SASE dans vos environnements. 

Restez au courant des dernières astuces et informations concernant la transformation digitale.

En envoyant le formulaire, vous acceptez notre politique de confidentialité.