Qu’est-ce qu’une plateforme de protection des applications cloud natives (CNAPP) ?

Pourquoi la CNAPP est-elle importante ?

Les approches et outils de sécurité traditionnels ont été conçus pour protéger les data centers et les terminaux sur site, et non les applications et services cloud natifs. Avec le passage aux technologies cloud natives, aux environnements dynamiques et éphémères fortement automatisés, aux cycles de publication plus rapides et aux pratiques de développement modernes (par exemple, infrastructure as code [IaC], pipelines CI/CD, conteneurs, fonctions sans serveur, Kubernetes), ces outils ne répondent plus aux attentes.

Les changements sont fréquents dans le cloud public, et l’équipe de sécurité doit gérer la sécurité et la conformité, idéalement sans ralentir l’ensemble de l’entreprise. Pour ce faire, elle doit identifier les problèmes de sécurité et les vulnérabilités à un stade précoce du développement, accélérer la remédiation et fournir une sécurité et une assurance continues et cohérentes. Malheureusement, la réalisation de ces objectifs au milieu des nombreuses interdépendances des environnements modernes peut se révéler assez difficile avec une approche traditionnelle.

Pour optimiser la sécurité et la conformité du cloud afin de soutenir les DevOps et de minimiser les frictions, les équipes de sécurité doivent évoluer de la protection de l’infrastructure à la protection des applications qui s’exécutent sur les charges de travail. Cela implique de garantir au minimum la sécurité des configurations des services cloud et de l’environnement de production, la protection des environnements d’exécution constituant une précieuse couche de protection supplémentaire.

Principaux composants de la CNAPP

Une CNAPP efficace aide les équipes de sécurité à corréler les informations provenant d’un large éventail de signaux en une vue unique afin d’identifier et de hiérarchiser les plus grands risques auxquels l’entreprise est exposée, en réunissant les éléments suivants :

• Gestion de la posture de sécurité cloud (CSPM) pour surveiller, identifier, alerter et remédier aux risques de conformité et aux erreurs de configuration au sein des environnements cloud.
  • Sécurité de l’infrastructure en tant que code pour détecter les erreurs de configuration du code au début du cycle de vie du développement logiciel afin d’éviter les vulnérabilités au moment de l’exécution.
  • Conformité et gouvernance pour gérer le statut de conformité tout en remédiant aux écarts de configuration et aux violations de politique dans les environnements multicloud.
• Gestion des droits d’accès à l’infrastructure cloud (CIEM) pour atténuer le risque de violation des données dans les clouds publics en surveillant en permanence les autorisations et les activités.
• Protection des données pour surveiller, classer et inspecter les données afin d’empêcher l’exfiltration de données critiques à la suite d’un phishing, d’initiés malveillants ou d’autres cybermenaces.
• Gestion de l’identité et de l’accès (IAM) pour contrôler l’accès aux ressources internes, en veillant à ce que les autorisations des utilisateurs leur accordent un accès approprié aux systèmes et aux données.
• Plateforme de protection des charges de travail dans le cloud (CWPP) pour fournir une visibilité et un contrôle des machines physiques, des VM, des conteneurs et des charges de travail sans serveur dans des environnements hybrides, multicloud et de data centers.

Défis d’une approche traditionnelle

À mesure que les entreprises se développent, elles se retrouvent confrontées à un mélange de technologies, avec des contrôles de sécurité disparates dans divers environnements cloud. Les équipes de sécurité déploient des outils CSPM, CIEM, CWPP et autres pour sécuriser l’infrastructure cloud et les environnements de production. Cette approche les empêche de se concentrer, de hiérarchiser et de remédier efficacement aux risques, pour les raisons suivantes :

• Manque de visibilité et angles morts au niveau de la sécurité
• Sources multiples de points de données sans source unique fiable
• Trop-plein d’informations et processus de corrélation des données chronophages
• Lassitude face aux alertes sans indication des problèmes critiques nécessitant une attention particulière
• Ressources, expertise technique et formation limitées pour chaque outil
• Forte complexité opérationnelle et augmentation des frais généraux liés à la gestion séparée de chaque outil

La maintenance des contrôles appropriés en utilisant des outils disparates dans des environnements complexes demande beaucoup de temps, de ressources et d’efforts manuels, et souvent, cela ne suffit tout simplement pas.

Avantages de la CNAPP

En tant que solution de sécurité unifiée, une CNAPP offre une couverture de sécurité complète pour vous aider à suivre les environnements éphémères, conteneurisés et sans serveur, en fournissant :

• Une interface unique qui permet d’améliorer la collaboration et l’efficacité des équipes en identifiant et en corrélant les problèmes mineurs, les événements individuels et les vecteurs d’attaque cachés via des flux visuels intuitifs comprenant des alertes, des recommandations et des mesures correctives pour soutenir des décisions éclairées.
• Une réduction de la complexité et des frais généraux remplaçant de nombreux produits ponctuels par une image complète du risque grâce à une visibilité globale des configurations, des actifs, des autorisations, du code et des charges de travail.
• Une couverture complète du cloud et des services fournissant une visibilité et des informations sur l’ensemble de votre empreinte multicloud, y compris IaaS et PaaS, s’étendant aux VM, aux conteneurs et aux charges de travail sans serveur, ainsi qu’aux environnements de développement, afin d’identifier et de remédier rapidement aux risques.
• Une sécurité à la vitesse du DevOps s’intégrant aux plateformes IDE pour identifier les erreurs de configuration ou les problèmes de conformité pendant le développement et le CI/CD, ainsi qu’aux écosystèmes SecOps pour générer des alertes, des tickets et des flux de travail sur les violations de sorte que les équipes puissent agir immédiatement.
• Des garde-fous pour répartir la responsabilité de la sécurité en injectant des contrôles de sécurité à chaque niveau du cycle DevOps, avec des intégrations natives dans les outils de développement et DevOps existants. Le déploiement de garde-fous permet aux développeurs de s’approprier la sécurité dans leur travail, réduisant les frictions entre la sécurité et l’équipe DevOps pour un meilleur soutien DevSecOps.

Comment fonctionne la CNAPP ?

Les plateformes CNAPP regroupent plusieurs outils et fonctions de sécurité afin de réduire la complexité et les frais généraux :

• Capacités combinées des outils CSPM, CIEM et CWPP
• Corrélation des vulnérabilités, du contexte et des relations tout au long du cycle de vie du développement
• Identification des risques hautement prioritaires avec un contexte détaillé
• Remédiation guidée et automatisée pour corriger les vulnérabilités et les erreurs de configuration
• Dispositifs de sécurité pour empêcher les changements d’architecture non autorisés
• Intégration simple aux écosystèmes SecOps pour l’envoi d’alertes en temps quasi réel

Composants intégrés dans la CNAPP (Image adaptée de « Comment protéger vos clouds avec CSPM, CWPP, CNAPP et CASB », Gartner, 6 mai 2021)

Capacités principales d’une CNAPP

La convergence de tant d’outils de sécurité et de conformité confère aux CNAPP des dizaines de capacités spécifiques. Examinons les grandes lignes de ce qu’une CNAPP peut apporter à votre entreprise.

Sécuriser l’infrastructure multicloud

Découvrez toutes les applications, API, ressources cloud, identités et données sensibles. Bénéficiez d’une visibilité complète sur les ressources conformes et non conformes dans AWS, Azure et Google Cloud, et donnez la priorité aux mesures correctives en fonction du risque.

Sécuriser l’environnement de production

Déplacez la sécurité plus tôt dans le processus de développement (c’est-à-dire, « shift left »). Donnez à vos professionnels DevOps les moyens de détecter les menaces et les vulnérabilités plus tôt, et de les corriger plus rapidement, pour garantir la conformité des applications et des données.

Sécuriser les charges de travail

Détectez et gérez plus facilement les vulnérabilités et les erreurs de configuration de sécurité, et effectuez une surveillance comportementale basée sur le réseau, une application des politiques et une segmentation des charges de travail dans le cloud basée sur l’identité.

Gouvernance et conformité permanentes

Réduisez la fréquence des audits grâce à des contrôles de sécurité automatisés pour une conformité et une gouvernance permanentes des données, des configurations et des autorisations.

Plateforme de collaboration d’équipe

Incorporez des flux de travail communs, la corrélation des données, des aperçus pertinents et des mesures correctives pour réduire les frictions et favoriser la collaboration entre les équipes DevSecOps, DevOps et les opérations de sécurité du cloud.

Recommandations de Gartner concernant la CNAPP

Dans « Aperçu de l’innovation des plateformes de protection des applications cloud natives », Gartner donne le conseil suivant : « Plutôt que traiter le développement et l’exécution comme des problèmes distincts, sécurisés et scannés avec une batterie d’outils distincts, les entreprises devraient traiter la sécurité et la conformité comme un continuum depuis le développement jusqu’à la production, et chercher à regrouper les outils lorsque cela est possible ».

Les principales recommandations sont les suivantes :

• Mettez en œuvre une approche de sécurité intégrée qui protège l’ensemble du cycle de vie des applications cloud natives, en commençant par le développement et en s’étendant à la production.
• Analysez les artefacts de développement et la configuration du cloud de manière exhaustive ; combinez les résultats en utilisant la visibilité sur l’environnement d’exécution et la connaissance de la configuration afin d’établir des priorités en matière d’élimination des risques.
• Évaluez les offres émergentes de la CNAPP à mesure qu’expirent les contrats pour le CSPM et le CWPP, et profitez de cette occasion pour réduire la complexité et regrouper les fournisseurs.

Zscaler et CNAPP

Le composant Posture Control™ de Zscaler est une CNAPP de haute performance qui adopte une approche radicalement nouvelle de la sécurité des applications cloud natives avec une solution 100 % sans agent qui établit des corrélations entre plusieurs moteurs de sécurité afin de hiérarchiser les risques cachés résultant des erreurs de configuration, des menaces et des vulnérabilités sur l’ensemble de la pile cloud, réduisant ainsi les coûts, la complexité et les frictions entre les équipes.

Nous avons construit notre plateforme unifiée dès le départ pour hiérarchiser les risques de sécurité de l’infrastructure et des applications dans les clouds distribués et tout au long des cycles de développement et DevOps, vous permettant ainsi de :

• Sécuriser les configurations : maintenez des contrôles CSPM complets sur l’infrastructure, les ressources, les données et les identités cloud. En savoir plus.
• Sécuriser les droits : sécurisez les identités humaines et machine tout en appliquant le principe de l’accès sur la base du moindre privilège. En savoir plus.
• Sécuriser l’infrastructure en tant que code : déplacez la sécurité en amont avec les flux de travail des développeurs et du DevOps pour corriger les vulnérabilités et les problèmes de conformité. En savoir plus.
• Sécuriser les données : sécurisez les données confidentielles sur plusieurs référentiels cloud tout en maintenant la visibilité, le contrôle et la conformité. En savoir plus.
• Sécuriser les charges de travail et les applications : tirez parti de Zero Trust pour sécuriser, sans agent, les hôtes, les conteneurs (Kubernetes, par exemple) et les fonctions sans serveur tout au long du cycle de vie des applications. En savoir plus.