Ressources > Glossaire des termes de sécurité > Qu’est-ce qu’une CWPP ?

Qu’est-ce qu’une plateforme de protection des charges de travail dans le cloud (CWPP) ?

Définition d’une plateforme de protection des charges de travail dans le cloud

Une plateforme de protection des charges de travail dans le cloud (CWPP) est une solution de sécurité conçue pour répondre aux besoins de sécurité des charges de travail dans les environnements hybrides, multiclouds et de data centers modernes. Une CWPP performant peut offrir un contrôle et une visibilité cohérents pour les machines physiques, les machines virtuelles, les conteneurs et les charges de travail sans serveur, où qu’ils se trouvent.

Une CWPP doit rechercher les vulnérabilités connues dès le déploiement d’une charge de travail, tout en protégeant celles-ci contre les attaques à l’exécution à l’aide d’une combinaison de protection de l’intégrité du système, de microsegmentation basée sur l’identité, de contrôle de l’application, de protection de la mémoire, de surveillance comportementale, de prévention des intrusions basée sur l’hôte et de protection anti-malware optionnelle.

 

Pourquoi une CWPP est-elle importante ?

Les technologies réseau traditionnelles se prêtent généralement mal aux environnements cloud. La plupart des entreprises ont recours à une combinaison de plusieurs fournisseurs de services cloud (FSC) et du data center pour héberger leurs applications, ce qui ne permet que difficilement aux technologies réseau traditionnelles de fournir la visibilité cohérente et complète nécessaire aux entreprises pour leurs charges de travail. Les entreprises modernes doivent placer leurs applications, charges de travail et services au centre de leurs plans de sécurité.

Parce que les plateformes de protection des endpoints ont été développées à l’origine principalement pour protéger les ordinateurs portables, les ordinateurs de bureau et les appareils mobiles, et non les charges de travail dans le cloud, elles peuvent mettre les données de l’entreprise en danger. Une véritable CWPP a été construite dès le départ pour sécuriser les charges de travail dans le cloud, et non pas une technologie existante conçue pour un autre usage qui aurait simplement été réadaptée.

En outre, la sécurité de la charge de travail doit être proactive, et non réactive. Ainsi, il est préférable d’analyser les charges de travail dans le cloud au moment du déploiement afin de détecter les vulnérabilités et les erreurs de configuration, étant donné que ces dernières présentent souvent un risque plus important pour les entreprises que la compromission de la charge de travail.

 

Ce qu’il faut attendre d’une CWPP

Le besoin d’une CWPP (plateforme de protection des charges de travail dans le cloud) ne cesse de croître, à mesure que les entreprises évoluent. De nombreuses options existent sur le marché, mais toutes ne sont pas des plateformes complètes. Voici donc quelques éléments à garder à l’esprit lorsque vous comparez différentes solutions de CWPP :

  • Dans un avenir proche, la plupart des infrastructures d’entreprise seront des architectures hybrides et multiclouds. Une CWPP efficace doit donc protéger les machines physiques, les VM, les conteneurs et les charges de travail sans serveur.
  • Vous devriez pouvoir gérer une CWPP à partir d’une seule console, gérée par un seul ensemble d’API.
  • Une offre CWPP complète doit présenter toutes ses fonctionnalités via des API pour faciliter l’automatisation dans les environnements cloud.
  • Les fournisseurs de CWPP doivent être en mesure de proposer une feuille de route et une conception d’architecture pour une protection sans serveur.

 

Points essentiels en matière de CWPP dont les responsables de la sécurité doivent tenir compte

Les caractéristiques des produits mises à part, il est important de réfléchir à la manière d’intégrer les fonctionnalités de la CWPP afin d’assurer la pérennité de la protection de la charge de travail du cloud. Quelques recommandations :

  • Visibilité et contrôle : assurez-vous que votre architecture vous offre une visibilité et un contrôle cohérents de toutes les charges de travail, quels que soient leur emplacement, leur taille ou leur architecture.
  • Protection des conteneurs : privilégiez les fournisseurs de CWPP qui proposent une sécurité des conteneurs ou qui ont clairement établi une feuille de route pour la protection sans serveur, et qui offrent une gestion intégrée de la posture de sécurité du cloud (CSPM) afin d’identifier les configurations à risque.
  • Analyse et conformité : l’analyse et la conformité de la charge de travail devraient être étendues aux DevOps dans le cadre d’une approche DevSecOps (en particulier avec le développement et le déploiement basés sur les conteneurs et la fonction sans serveur basée sur le PaaS).
  • Principes Zero Trust : adoptez une approche de refus par défaut pour la protection de la charges de travail lorsque cela est possible au moment de l’exécution, même si ce n’est qu’en mode détection, au lieu d’une stratégie basée sur un antivirus.
  • Flexibilité : concevez des scénarios CWPP dans lesquels vous ne pouvez pas utiliser d’agents d’exécution, ou dans lesquels ils n’ont pas de sens.

 

Zscaler et CWPP

Composante clé de la plateforme Zscaler, Zscaler Cloud Protection offre des services essentiels à la protection des charges de travail, notamment :

  • Gestion de la posture de sécurité cloud : la mauvaise configuration des applications cloud est l’une des sources les plus courantes de perte de données dans le cloud. Zscaler CSPM identifie et corrige rapidement les erreurs de configuration des applications dans les environnements IaaS, PaaS et SaaS.
  • Accès réseau Zero Trust (ZTNA) : tout ce qui expose les utilisateurs et les applications à Internet (par exemple, les VPN) peut augmenter le risque de découverte et d’attaque de votre réseau, chaque pare-feu ou outil tourné vers Internet étend votre surface d’attaque. Zscaler Private Access™, un service ZTNA, procure à votre personnel, à vos partenaires et à des tiers un accès sécurisé aux applications cloud sans les placer sur votre réseau ni exposer vos applications à Internet. 
  • Connectivité sécurisée any-to-any : l’extension de votre réseau à des clouds publics avec des VPN site à site pour la connectivité est un processus coûteux, risqué et compliqué. En revanche, Zscaler Cloud Connector fournit une connectivité Zero Trust d’application à application et d’application à Internet à travers de environnements hybrides et multiclouds, éliminant la complexité et le coût des concentrateurs, des pare-feu virtuels, des VPN et des politiques statiques basées sur le réseau.
  • Segmentation de la charge de travail : la segmentation du réseau basée sur l’IP augmente le risque d’exposition et de déplacement latéral car elle est mal équipée pour gérer les charges de travail cloud qui évoluent de manière dynamique. Zscaler Workload Segmentation assure une microsegmentation rapide des charges de travail des applications, ce qui vous permet d’identifier rapidement les risques, de procéder à la segmentation et de mettre automatiquement à jour les politiques, sans modification du réseau et avec 90 % de politiques de microsegmentation en moins.

Zscaler for Workloads regroupe les services Zscaler Cloud Protection, notamment Zscaler Private Access, Zscaler Cloud Connector et Zscaler Workload Segmentation, qui constituent une plateforme de protection des charges de travail dans le cloud complète et tournée vers l’avenir.

 

Ressources supplémentaires