Ressources > Glossaire des termes de sécurité > Qu’est-ce que le Cloud enclaving ?

Qu’est-ce que le Cloud enclaving ?

Définition du cloud enclaving

Le cloud enclaving est une méthode de segmentation des charges de travail effectuée dans un environnement cloud pour empêcher un accès trop privilégié aux ressources internes d’une entreprise et pour sécuriser l’infrastructure cloud, les applications et les données sensibles contre les programmes malveillants qui se propagent automatiquement, les violations de données et autres cyberattaques.

Les enclaves cloud reposent sur un périmètre défini par logiciel (SDP) pour créer une infrastructure protégée en tant que service (IaaS) au sein de laquelle les entreprises peuvent déployer un contrôle d’accès basé sur les rôles, une évaluation de la confiance, une gestion des certificats et d’autres fonctions essentielles de sécurité cloud.

Le cloud enclaving est également appelé segmentation des charges de travail cloud ou microsegmentation cloud.

 

Qu’est-ce qu’une enclave ?

Une enclave est une partie d’un réseau, séparée du reste du réseau et régie par des politiques de sécurité granulaires. La finalité d’une enclave sécurisée est d’appliquer l’accès sur la base du moindre privilège aux ressources critiques dans le cadre d’une stratégie de sécurité de défense intensive.

En quoi le cloud enclaving diffère-t-il de la cybersécurité traditionnelle ?

Le cloud enclaving est conçu pour répondre aux besoins des entreprises digitales modernes d’une façon qui échappe aux solutions de sécurité traditionnelles. Mettons cela dans un contexte historique pour en comprendre la raison.

Il y a quelques années, lorsque les applications et les données étaient hébergées dans le data center sur site d’une entreprise et que les employés travaillaient essentiellement depuis ces mêmes locaux, la sécurité réseau traditionnelle basée sur le périmètre offrait un niveau de sécurité acceptable. Aujourd’hui, la mondialisation et le travail hybride ont favorisé l’avènement du cloud, où les anciens modèles sont totalement inefficaces.

Dans le cloud, les différentes charges de travail critiques d’une même entreprise peuvent être hébergées par plusieurs fournisseurs de services cloud (par exemple, Amazon Web Service [AWS], Microsoft Azure), auxquels les utilisateurs accèdent via Internet. En termes pratiques, cela signifie qu’il n’y a plus de « périmètre de réseau », ce qui ouvre beaucoup plus de portes à de potentielles attaques. Le cloud enclaving compense cette situation en faisant de la place pour des politiques de sécurité personnalisées qui limitent le trafic vers et depuis des charges de travail spécifiques uniquement à ce qui est explicitement autorisé.

Segmentation du réseau vs. Cloud enclaving

La segmentation du réseau est utilisée de préférence pour le trafic nord-sud (entre votre environnement et des emplacements extérieurs), tandis que le cloud enclaving ajoute une couche de protection pour le trafic est-ouest (serveur à serveur, application à serveur, web à serveur, etc. à l’intérieur de votre environnement). Examinons les deux options plus en détail.

Segmentation du réseau
En comparaison à un modèle basé sur le périmètre qui sécurise uniquement un réseau de l’extérieur, la segmentation du réseau constitue une approche plus nuancée. En effet, elle divise un réseau en « sous-réseaux » et applique à chacun des protocoles de sécurité et de conformité. Le trafic entre les segments est généralement séparé à l’aide d’un VLAN avant de passer par un pare-feu.

Malheureusement, cette approche étant basée sur les adresses IP, elle ne peut identifier que la manière dont une demande est arrivée (c’est-à-dire son adresse IP, son port ou son protocole d’origine), et non le contexte ou l’identité de l’entité qui effectue la requête. Les communications jugées sûres sont autorisées, même si les équipes informatiques ne savent pas exactement de quoi il s’agit. Ensuite, la confiance est accordée à l’entité une fois qu’elle se trouve à l’intérieur d’un segment — même s’il s’agit d’un acteur malveillant qui cherche à se déplacer latéralement dans l’environnement.

La segmentation du réseau crée un réseau « plat », laissant des voies non protégées qui permettent aux hackers d’effectuer des mouvements latéraux et de compromettre les charges de travail dans les environnements cloud et de data center. En outre, le coût, la complexité et le temps nécessaires pour gérer la segmentation du réseau à l’aide de pare-feu ou de machines virtuelles (VM) traditionnels éclipsent généralement les avantages en matière de sécurité.

Cloud Enclaving
Il s’agit d’une microsegmentation basée sur le cloud, qui permet un contrôle plus granulaire du trafic tout en réduisant la surface d’attaque d’une entreprise, en procédant à une segmentation plus simple et plus sûre sur le plan opérationnel que la segmentation du réseau. Pour ce faire, le cloud enclaving va au-delà des adresses IP, des ports et des protocoles pour authentifier les demandes par identité et par contexte. De plus, il offre une protection granulaire au niveau des charges de travail individuelles afin de contrôler plus efficacement les communications entre celles-ci.

Le cloud enclaving réduit non seulement les menaces internes en fournissant une protection beaucoup plus proche des charges de travail elles-mêmes, mais empêche également la propagation des menaces externes lorsque le périmètre a été violé.

Différence entre la microsegmentation et la segmentation du réseau

Lire le blog
Différence entre la microsegmentation et la segmentation du réseau

Le zero trust en un seul clic

Lire la fiche technique
Le zero trust en un seul clic

Guide du marché Gartner pour Zero Trust Network Access 2020

Lire le guide
Guide du marché Gartner pour Zero Trust Network Access 2020

Guide du ZTNA (Zero Trust Network Access) pour l'architecte réseau

Lire le livre blanc
Guide du ZTNA (Zero Trust Network Access) pour l'architecte réseau

Mise en œuvre de la segmentation par phases

Lire l’article
Lumière sur les technologies ZTNA, et comment les choisir

Quels sont les avantages du cloud enclaving ?

Tout comme la segmentation du réseau, le cloud enclaving permet de renforcer la sécurité du réseau et des données dans un contexte de cybermenaces en constante évolution. Les entreprises sont menacées de toutes parts, dans tous les secteurs, car les cybercriminels développent des techniques de plus en plus sophistiquées pour échapper aux mesures de sécurité. Pour suivre le rythme, les entreprises et leur sécurité doivent s’adapter.

Une approche efficace de microsegmentation basée sur le cloud propose :

  • Une sécurité réseau et informatique proactive : le cloud enclaving crée des politiques adaptées aux applications, qui se déplacent avec toutes les applications et tous les services, limitant les potentielles violations de données aux ressources concernées, et non à l’ensemble de votre environnement. Certains services d’enclaving exploitent l’automatisation pour identifier toutes les communications, recommander des politiques Zero Trust et vous permettre d’appliquer ces politiques en un clic.
  • Une réduction de la vulnérabilité : au lieu des contrôles statiques qui reposent sur les adresses IP, les ports et les protocoles, votre équipe de sécurité peut prendre l’empreinte de chaque charge de travail pour apporter une protection cohérente lorsqu’elle opère dans un data center interne ou dans le cloud. L’empreinte digitale dissocie la sécurité des charges de travail des constructions d’adresses IP, ce qui vous permet d’éviter les problèmes liés aux contrôles basés sur l’IP.
  • Une évaluation continue des risques : les enclaves cloud vous permettent de mesurer automatiquement votre surface d’attaque visible afin de quantifier le risque. Les services d’enclaving les plus efficaces vérifient l’identité d’une entité chaque fois qu’elle effectue une requête, ce qui atténue davantage le risque, soutient les mandats de conformité réglementaire et fournit des informations pour les rapports sur les risques visibles.
  • Une gestion simplifiée des politiques : dans la mesure où les politiques de cloud enclaving s’appliquent aux charges de travail plutôt qu’aux adresses IP, aux ports, aux protocoles ou au matériel, elles restent immuables même si votre infrastructure change. Cela signifie que votre équipe de sécurité peut étendre un ensemble de contrôles n’importe où et protéger un segment avec seulement quelques politiques basées sur l’identité au lieu de centaines de règles basées sur l’adresse.

Le cloud enclaving est-il une bonne pratique ?

Le cloud enclaving répond à de nombreux cas d’utilisation de la sécurité du cloud pour lesquels les approches traditionnelles n’ont tout simplement pas été conçues. Alors que la segmentation du réseau s’appuie sur des contrôles grossiers et exigeants en termes de gestion, la microsegmentation applique des contrôles aux charges de travail individuelles, qui suivent ensuite les charges de travail dans tout votre environnement cloud. Dans un contexte mondial actuel caractérisé par un personnel hybride, des données décentralisées et des attaques de plus en plus ingénieuses, le cloud enclaving représente un moyen essentiel de garantir les fonctionnalités suivantes :

Visibilité sur l’ensemble de votre environnement
Les enclaves cloud procurent un contexte plus large autour duquel votre équipe de sécurité peut élaborer des politiques basées sur l’application, l’environnement, la conformité et plus encore en se concentrant sur l’identité au lieu du seul point d’origine. Cela permet à votre équipe de créer des politiques plus granulaires, renforçant ainsi votre posture de sécurité.

Protection auprès de tous les fournisseurs et déploiements
Une approche de microsegmentation efficace sécurise vos charges de travail de manière cohérente sur tous les fournisseurs de cloud, vous laissant libre de créer des environnements hybrides et multiclouds qui correspondent le mieux à votre budget et à vos besoins de déploiement. Une plus grande flexibilité vous permet d’adopter plus facilement les conteneurs, l’informatique sans serveur, etc.

Réduction des coûts d’investissement et d’exploitation
Sur le long terme, le cloud enclaving permettra d’économiser à la fois du personnel et des ressources. Le déploiement, la gestion et la maintenance de la microsegmentation basée sur le cloud sont bien moins coûteux, moins exigeants en main-d’œuvre et en temps que ceux relatifs aux pare-feu et autres matériels.

Zscaler et Cloud enclaving

Zscaler Workload Segmentation™ (ZWS™) constitue une nouvelle manière de créer des enclaves sécurisées dans le cloud. En un clic, vous pouvez renforcer la sécurité en permettant à ZWS d’identifier les risques et d’appliquer à vos charges de travail une protection basée sur l’identité, sans la moindre modification du réseau.

ZWS fournit une protection sans faille avec des politiques qui s’adaptent automatiquement aux changements de l’environnement, éliminant la surface d’attaque de votre réseau. Qui plus est, Zscaler Workload Segmentation est piloté par API, ce qui signifie qu’il peut s’intégrer aux outils de sécurité et aux processus DevOps existants, permettant une segmentation automatique en un seul clic.

Basé sur le principe de Zero Trust, Zscaler permet uniquement aux charges de travail vérifiées de communiquer dans votre environnement de cloud public, privé ou hybride, atténuant les risques et offrant le plus haut niveau de protection contre les violations de données.

Zscaler Workload Segmentation comprend les fonctionnalités suivantes :

Protection basée sur l’identité logicielle

ZWS va au-delà des adresses réseau pour vérifier l’identité sécurisée des logiciels et charges de travail des applications communicantes, dans les clouds publics ou privés, les clouds hybrides, les data centers sur site ou les environnements de conteneurs. 

Moteur d’automatisation des politiques

ZWS recourt à l’apprentissage automatique pour automatiser l’ensemble du cycle de vie des politiques de microsegmentation et de protection des charges de travail. Nul besoin d’élaborer manuellement une politique pendant le déploiement ou les opérations en cours. ZWS recommandera de nouvelles politiques ou des politiques mises à jour en cas d’ajout ou de modification des applications.

Visibilité et mesure de la surface d’attaque
ZWS construit automatiquement une topologie des applications en temps réel et une carte des dépendances jusqu’au niveau du processus. Il met ensuite en évidence les chemins d’accès requis aux applications puis les compare à l’ensemble des chemins réseau disponibles, recommandant des politiques permettant de minimiser la surface d’attaque et protéger ce qui doit l’être.

 

Constatez par vous-même

Demandez une démonstration et constatez par vous-même comment Zscaler Workload Segmentation vous permet de créer des enclaves cloud qui renforcent votre sécurité.