Ressources > Glossaire des termes de sécurité > Qu’est-ce que la sécurité des charges de travail du cloud ?

Qu’est-ce que la sécurité des charges de travail du cloud ?

Définition de la sécurité des charges de travail du cloud

La sécurité des charges de travail du cloud est une solution de sécurité conçue pour protéger les charges de travail dans les bases de données, les conteneurs comme Kubernetes, les machines virtuelles (VM) et les serveurs physiques lorsqu’ils se déplacent dans les environnements cloud.

 

Pourquoi la sécurité des charges de travail du cloud est-elle importante ?

Alors que de plus en plus d’entreprises délaissent les solutions sur site au profit de modèles économiques numériques centrés sur le cloud computing, leurs données et applications migrent vers le cloud par le biais de fournisseurs de cloud tels que AWS, Microsoft Azure et Google Cloud. Cette migration présente des défis pour la protection des données se déplaçant entre les applications, car elles communiquent entre elles dans différents environnements cloud et dans des data centers, tous connectés via Internet.

Plus précisément, une pléthore de vulnérabilités doivent être colmatées pour sécuriser les charges de travail dans le cloud. Une solution de sécurité des charges de travail du cloud permet aux entreprises d’identifier, de gérer et de sécuriser ces charges de travail afin de réduire les risques, de renforcer la conformité, d’assurer une meilleure évolutivité des applications et d’améliorer la posture de sécurité globale.

 

Comment fonctionne la sécurité des charges de travail du cloud ?

La sécurité des charges de travail dans le cloud, également connue sous le nom de protection des charges de travail du cloud, s’articule autour du processus de segmentation de la charge de travail, où les charges de travail des applications sont segmentées en plus petits morceaux afin de simplifier et de sécuriser l’inspection du trafic.

Les solutions de sécurité des charges de travail du cloud permettent aux entreprises de repérer, surveiller et sécuriser les comptes cloud, les instances de calcul et de stockage, ainsi que le plan de contrôle. Cela diminue la probabilité de mauvaises configurations lors du déploiement, ce qui permet de développer et de publier davantage d’applications cloud native à grande échelle tout en réduisant le risque de problèmes de cybersécurité.

 

Risques de sécurité des charges de travail du cloud

Dans un environnement moderne optimisé par une infrastructure cloud, les applications et les services devraient être au centre d’une stratégie de sécurité globale, mais ne le sont pas souvent. La majorité du trafic se déplace d’est en ouest (c’est-à-dire latéralement au sein de l’environnement). Or, les contrôles de sécurité traditionnels protègent généralement le trafic qui se déplace dans le sens nord-sud (entrant et sortant de l’environnement) à travers une passerelle de périmètre ; par conséquent, définir un logiciel par sa voie de circulation ne suffit plus.

Les contrôles de sécurité doivent être centrés sur la charge de travail et dissociés de la plateforme cloud. Il est crucial de dissocier les contrôles d’accès et les autorisations des chemins de réseau empruntés par les applications et de les lier directement à l’identité des applications et services qui communiquent. Faute de quoi, les menaces véhiculées par le réseau pourront plus facilement pénétrer dans vos systèmes cloud.

 

Pourquoi les stratégies de sécurité obsolètes sont-elles vouées à l’échec

Les outils de sécurité traditionnels fonctionnent sur un modèle de confiance qui n’est plus pertinent dans le paysage moderne des menaces, car de plus en plus résident dans le cloud et communiquent via Internet. Les périmètres de sécurité du réseau disparaissent, et l’inspection du trafic est plus compliquée du fait que presque tout le trafic est chiffré. Les contrôles de sécurité obsolètes qui ne peuvent pas déchiffrer, inspecter et rechiffrer le trafic pourraient négliger des cyberattaques telles que les ransomwares et autres malwares.

Pour se protéger contre ces attaques, les entreprises qui ont recours à des clouds privés et publics doivent se protéger au niveau de la charge de travail, et pas seulement au niveau du terminal.

 

Pour se protéger contre les cyberattaques, les entreprises qui ont recours à des clouds privés et publics doivent se protéger contre les préjudices au niveau de la charge de travail, et pas seulement au niveau du endpoint.
VMWare

Principales exigences à l’égard d’une plateforme de sécurité des charges de travail du cloud

Examinons les stratégies nécessaires à une solide sécurité des charges de travail du cloud.

La microsegmentation est une méthode qui permet de créer des zones sécurisées et isolées au sein d’un data center, d’un réseau ou d’un environnement cloud, afin d’isoler et de sécuriser individuellement les charges de travail. Elle est conçue pour permettre un partitionnement granulaire du trafic pour une meilleure protection contre les attaques.

Avec la microsegmentation, les équipes de sécurité informatique peuvent adapter les paramètres de sécurité aux différents types de trafic, en créant des politiques qui limitent les flux entre les charges de travail à ceux qui sont explicitement autorisés. Appliquer des règles de segmentation et des politiques granulaires jusqu’à la charge de travail ou l’application peut réduire le risque qu’un hacker passe, sans être détecté, d’une charge de travail ou d’une application compromise à une autre.

Il ne faut toutefois pas confondre cette stratégie avec la segmentation du réseau, qui consiste à utiliser des pare-feu d’inspection à état ou des pare-feu de nouvelle génération pour diviser le réseau en morceaux plus petits et plus faciles à surveiller. Cette stratégie s’est avérée efficace dans le passé, mais elle présente des limites particulières pour les environnements cloud et multicloud.

Une autre stratégie essentielle est l’accès au réseau Zero Trust (ZTNA), également connu sous le nom de périmètre défini par logiciel (SDP). Le ZTNA est réalisé grâce à un ensemble de technologies qui fonctionne sur un modèle de confiance adaptatif, où cette dernière n’est jamais implicite, où les utilisateurs doivent être vérifiés et où l’accès est accordé selon le principe du « besoin de savoir » et du moindre privilège défini par des politiques granulaires.

Gartner prévoit que d’ici 2023, 60 % des entreprises délaisseront progressivement leurs réseaux privés virtuels (VPN) d’accès à distance au profit du ZTNA. Ceci est vrai pour un certain nombre de raisons, notamment pour améliorer la protection et la sécurité des charges de travail du cloud.

La microsegmentation et le ZTNA peuvent tous deux contribuer à sécuriser le trafic et les applications d’une entreprise au moment de l’exécution, mais une plateforme de protection des charges de travail du cloud assurera une couverture complète de la sécurité des charges de travail du cloud.

 

Les solutions de sécurité des charges de travail du cloud permettent aux entreprises de repérer, surveiller et sécuriser les comptes cloud, les instances de calcul et de stockage, ainsi que le plan de contrôle. Cela permet de développer et de déployer davantage d’applications à grande échelle, tout en réduisant le risque d’introduire des failles de sécurité et en améliorant la posture globale de sécurité et de conformité.
AWS

Principaux avantages de la sécurité des charges de travail du cloud

Voici quelques-unes des façons dont la sécurité des charges de travail du cloud vous aide à réduire les risques et à simplifier la sécurité de votre entreprise :
 

Complexité réduite

Dans une architecture orientée services, suivre les ressources et les inventaires de politiques est une tâche ardue, et chaque changement d’instance de cloud affecte les dépendances, créant des problèmes de gestion et de disponibilité. De plus, le mappage des flux de données dans un cloud est complexe car les services peuvent changer d’emplacement, ce qui augmente le nombre de points de données à surveiller et à gérer. La sécurité des charges de travail du cloud simplifie le suivi et la protection, et anticipe l’impact du changement en se concentrant sur les applications plutôt que sur leur environnement.
 

Protection sans faille

Les outils de sécurité traditionnels qui se basent sur les adresses IP, les ports et les protocoles comme plan de contrôle ne sont pas idéaux pour les cas d’utilisation du cloud. La nature dynamique des services cloud rend ces contrôles de sécurité statiques peu fiables, dans la mesure où ils peuvent changer à tout moment. Pour pallier le problème des contrôles basés sur les adresses, les plateformes de sécurité des charges de travail du cloud assurent une protection cohérente des charges de travail et ne requièrent aucun changement architectural contraignant.
 

Évaluation continue des risques

La plupart des experts en sécurité savent que leurs réseaux d’entreprise sont vulnérables, mais la majorité ne peut quantifier le risque, notamment en ce qui concerne l’exposition des applications. Les solutions de sécurité des charges de travail du cloud peuvent mesurer automatiquement la surface d’attaque visible de votre réseau afin de déterminer le nombre de voies de communication possibles entre les applications, de quantifier l’exposition au risque en fonction de la criticité des logiciels communicants et recommander le plus petit nombre possible de politiques de sécurité permettant de réduire le risque de violation de vos données.

 

Bonnes pratiques en matière de sécurité des charges de travail du cloud

Lorsque vous choisissez une plateforme de sécurité des charges de travail du cloud, assurez-vous qu’elle peut :

  • Sécuriser les charges de travail de la construction à l’exécution tout en restant en phase avec le DevOps.
  • Sécuriser la connectivité des charges de travail du cloud à Internet, au data center et à d’autres applications.
  • Exécuter une architecture Zero Trust pour tous les utilisateurs et charges de travail de manière cohérente.

Enfin, vous devez vous assurer que votre plateforme de sécurité des charges de travail du cloud est capable d’aider votre équipe de sécurité à répondre à ces questions :

  • Quelles applications communiquent ?
  • Lesquelles devraient communiquer ?
  • Les systèmes appropriés communiquent-ils entre eux sans permettre au trafic malveillant de persister ?

Les charges de travail du cloud actuelles exigent une sécurité qui offre une couverture Zero Trust complète tout en simplifiant la gestion pour le DevOps et le SecOps. Vous avez besoin d’une plateforme éprouvée construite dans le cloud, pour le cloud : une plateforme que seul Zscaler peut fournir.

 

La segmentation des charges de travail Zscaler a le potentiel de devenir le produit de facto de toutes les entreprises du monde. Avec tous les outils de sécurité spécialisés existant aujourd’hui, je dirais que la segmentation des charges de travail Zscaler surpasse très largement leurs protections. Et ce qui est encore mieux, c’est qu’il le fait avec une incroyable facilité d’utilisation.
John Arsneault DSI Goulston & Storrs

Comment Zscaler sécurise les charges de travail du cloud

Zscaler Workload Segmentation™ (ZWS™) est un nouveau moyen de segmenter les charges de travail des applications. En un clic, vous pouvez renforcer la sécurité en permettant à ZWS d’identifier les risques et d’appliquer à vos charges de travail une protection basée sur l’identité, sans la moindre modification du réseau.

ZWS fournit une protection sans faille avec des politiques qui s’adaptent automatiquement aux changements de l’environnement, éliminant ainsi la surface d’attaque de votre réseau. Qui plus est, Zscaler Workload Segmentation est piloté par API, ce qui signifie qu’il peut s’intégrer aux outils de sécurité et aux processus DevOps existants, permettant une segmentation automatique en un seul clic.

Basé sur le principe de Zero Trust, Zscaler permet uniquement aux charges de travail vérifiées de communiquer dans votre environnement de cloud public, privé ou hybride, atténuant les risques et offrant le plus haut niveau de protection contre les violations de données.

Zscaler Workload Segmentation comprend les fonctionnalités suivantes :

Protection basée sur l'identité du logiciel

ZWS va au-delà des adresses réseau pour vérifier l’identité sécurisée des logiciels et charges de travail des applications de communication, dans les clouds publics ou privés, les clouds hybrides, les data centers sur site ou les environnements de conteneurs. 

Un moteur d’automatisation des politiques

ZWS utilise l’apprentissage artificiel pour automatiser l’ensemble du cycle de vie des politiques pour la microsegmentation et la protection des charges de travail. Il n’est pas nécessaire d’élaborer manuellement une politique pendant le déploiement ou les opérations en cours. La segmentation de la charge de travail préconise des politiques nouvelles ou mises à jour en cas de changement ou d’ajout d’applications.

Visibilité et mesure de la surface d’attaque

ZWS construit automatiquement une topologie d’application en temps réel ainsi qu’une carte des dépendances jusqu’au niveau du processus. Il met ensuite en évidence les chemins d’accès requis aux applications puis les compare au nombre total de chemins réseau disponibles, en recommandant des politiques pour minimiser la surface d’attaque et protéger ce qui est nécessaire.

Vous souhaitez en savoir plus sur la façon dont Zscaler Workload Segmentation peut protéger votre entreprise ? Demandez une démonstration.

Empêchez la compromission des applications et les violations de données grâce à la segmentation de la charge de travail

Regardez comment ça marche
Zscaler Workload Segmentation

Goulston & Storrs renforce la sécurité des données de ses clients avec Zscaler Workload Segmentation

Lire l'étude de cas
Goulston & Storrs renforce la sécurité des données de ses clients avec Zscaler™ Workload Segmentation

Différence entre la microsegmentation et la segmentation du réseau

Découvrir la différence
Différence entre la microsegmentation et la segmentation du réseau