Ressources > Glossaire des termes de sécurité > Qu’est-ce que Workload Protection ?

Qu’est-ce que la protection de la charge de travail ?

Qu’est-ce que la protection de la charge de travail ?

Les concepts de protection contre les cybermenaces et de protection des données sont bien connus dans le monde de la sécurité. Que ces protections soient fournies à partir d’une plateforme de sécurité cloud ou qu’elles soient gérées par des appliances dans un data center ou une passerelle régionale, elles empêchent principalement les éléments malveillants de pénétrer dans le réseau et la fuite de données sensibles. La protection de la charge de travail constitue un type différent de contrôle de sécurité qui a trait à la sécurisation des communications entre les applications, comme un logiciel ERP dans un cloud qui communique avec une base de données située dans un autre cloud, une application d’un secteur d’activité qui communique avec un logiciel financier et des outils de collaboration, une application de gestion de projet qui échange des données avec un logiciel de CAO : les possibilités sont infinies.

Les applications cloud sont devenues fondamentales pour les opérations de l’entreprise, et les employés seraient bien en peine de faire leur travail sans y avoir accès. Alors que les entreprises évoluent rapidement d’un environnement principalement sur site vers un environnement cloud, la protection de la charge de travail cloud devient une priorité absolue pour les équipes de sécurité.

Les fournisseurs de services cloud (en particulier les plus grands) disposent d’une sécurité solide et intégrée et font souvent valoir leurs infrastructures sécurisées comme un avantage concurrentiel. Toutefois, alors que les fournisseurs de services cloud sont responsables de la sécurité du cloud, les clients du cloud (selon le modèle de responsabilité partagée) sont responsables de ce qui réside dans le cloud et de ce qui communique, à savoir vos applications, charges de travail et données.

Pourquoi les contrôles traditionnels ne fonctionnent pas pour les applications cloud

Les technologies réseau traditionnelles se prêtent mal aux environnements cloud, qui sont élastiques, ne sont que faiblement couplés à l’infrastructure et ne disposent pas d’un périmètre statique sur lequel placer des contrôles de sécurité. En outre, la plupart des entreprises utilisent une combinaison de plusieurs fournisseurs de services cloud et du data center pour héberger leurs applications, ce qui complique leur capacité à obtenir une visibilité cohérente sur les charges de travail. Elles doivent placer les applications et les services, elles-mêmes, au centre du plan de sécurité. 

Au lieu d’être liés aux chemins de réseau que les applications traversent, les contrôles devraient être liés directement à l’identité des applications et des services qui communiquent. Définir un logiciel par son adresse ou son chemin de trafic ne suffit désormais plus. En effet, les contrôles basés sur l’adresse sont susceptibles de changer, surtout dans un environnement cloud, ce qui implique que les équipes de sécurité doivent élaborer un nombre croissant de règles pour compenser les perpétuels changements.

La nature éphémère du cloud pose de nombreux défis aux équipes de sécurité. Les anciennes technologies de sécurité sont basées sur un modèle de confiance qui n’est plus valable dans le paysage des menaces actuel. Les périmètres ont pratiquement disparu, le chiffrement rend l’inspection du trafic difficile et la classification des données distribuées est gourmande en ressources. Tous ces défis confèrent au cloud un attrait particulier pour les hackers.

Les entreprises qui utilisent des plateformes de protection des terminaux (EPP), conçues uniquement pour protéger les appareils des utilisateurs finaux (par exemple, ordinateurs de bureau, ordinateurs portables), afin d’assurer la protection de la charge de travail des serveurs, mettent en danger les données et les applications de l’entreprise.

Gartner, Guide du marché des plateformes de protection des charges de travail dans le cloud

La protection au niveau des applications offre de multiples avantages

En ajoutant des contrôles au niveau d’applications spécifiques, plutôt qu’au niveau de chaque appareil ou utilisateur, la protection de la charge de travail vous aide à répondre à des questions telles que : Quelles sont les applications qui communiquent ? Lesquelles devraient communiquer ? Les bons systèmes communiquent-ils entre eux sans permettre au trafic malveillant de persister ? 

En répondant à ces questions, vous pouvez autoriser uniquement les charges de travail vérifiées à communiquer dans votre environnement de cloud public, privé ou hybride, en atténuant les risques et en offrant le plus haut niveau de protection contre les violations de données.

 

Complexité réduite

Suivre les ressources et les inventaires de politiques est une tâche ardue, et les dépendances sont affectées chaque fois qu’une instance de cloud change, ce qui peut entraîner des problèmes de gestion et de disponibilité. De plus, le mappage des flux de données dans un cloud est complexe car les services peuvent changer d’emplacement, ce qui augmente le nombre de points de données à surveiller et à gérer. 

En revanche, la protection de la charge de travail simplifie le suivi et la protection et anticipe l’impact du changement en se concentrant sur les applications plutôt que sur l’environnement au sein duquel elles communiquent. 

 

Une protection cohérente indépendante de l’emplacement

Les outils de sécurité traditionnels qui se basent sur les adresses IP, les ports et les protocoles comme plan de contrôle ne sont pas adaptés aux environnements cloud. La nature dynamique du cloud rend ces contrôles de sécurité statiques peu fiables, car ils peuvent changer à tout moment, plusieurs fois, au cours d’une même journée. Pour pallier le problème des contrôles basés sur les adresses, la protection de la charge de travail prend l’empreinte cryptographique des logiciels sur la base de propriétés immuables que les hackers ne peuvent pas exploiter. 

Les politiques Zero Trust de Zscaler, centrées sur l’identité, vous permettent d’assurer une protection cohérente de la charge de travail sans modification fastidieuse de l’architecture. Vous pouvez également appliquer en un clic les politiques recommandées de segmentation des applications, et toutes vos charges de travail basées sur le cloud sont protégées de manière uniforme et indépendamment de l’emplacement du réseau.

 

Évaluation continue des risques

La plupart des experts en sécurité savent que leurs réseaux d’entreprise sont vulnérables, mais la majorité ne peut pas quantifier le niveau de risque que ces réseaux font courir à l’entreprise, notamment en ce qui concerne l’exposition des applications. Zscaler mesure automatiquement la surface d’attaque visible de votre réseau pour appréhender le nombre de voies de communication possibles entre les applications. Il quantifie également l’exposition au risque en fonction de la criticité des logiciels communicants, et fait appel à l’apprentissage automatique pour recommander le plus petit nombre possible de politiques de sécurité Zero Trust, ce qui réduit considérablement la probabilité d’une violation de vos données tout en restant facile à gérer.

Dans tous les cas, la solution doit prendre en charge le besoin croissant de microsegmentation basée sur l’identité (segmentation plus granulaire, définie par logiciel, également appelée segmentation réseau Zero trust).

Gartner, Guide du marché des plateformes de protection des charges de travail dans le cloud

Grâce au mapping topologique de Zscaler Workload Segmentation, je dispose d’une représentation précise de notre environnement en constante évolution et je peux éliminer les chemins d’attaque potentiels qui mettent en danger les données des clients.

John Arsneault, DSI, Goulston & Storrs

Le rôle de la segmentation dans la protection de la charge de travail

La segmentation de la charge de travail est une stratégie de protection essentielle pour les charges de travail, car elle élimine l’accès excessif autorisé par les réseaux plats. De tels réseaux permettent aux hackers de se déplacer latéralement et de compromettre les charges de travail dans les environnements cloud et de data center. En segmentant ou en isolant les applications et en éliminant les voies d’accès inutiles, toute compromission potentielle sera limitée à la ressource concernée, ce qui réduit considérablement le rayon d’action.

La segmentation des applications et des charges de travail, également appelée microsegmentation, vous permet de créer des groupes intelligents de charges de travail en fonction des caractéristiques des charges de travail qui communiquent entre elles. En tant que telle, la microsegmentation ne dépend pas de l’évolution dynamique des réseaux ni des exigences commerciales ou techniques qui leur sont imposées, de sorte qu’elle constitue une sécurité à la fois plus solide et plus fiable.

Zscaler Workload Segmentation (ZWS) est une nouvelle façon, beaucoup plus simple, de segmenter les charges de travail des applications en un seul clic. ZWS applique une protection basée sur l’identité à vos charges de travail, sans aucune modification du réseau. Zscaler Workload Segmentation fournit :

  • Une solution qui empêche les mouvements latéraux des logiciels malveillants et des ransomwares sur les serveurs, les charges de travail cloud et les ordinateurs de bureau, et bloque les menaces avec une sécurité Zero Trust.
  • Une microsegmentation d’une simplicité unique, optimisée par l’apprentissage automatique, qui automatise la création de politiques et la gestion continue.
  • Une visibilité unifiée sur la communication des applications sur site et dans les clouds publics.

Zscaler Workload Segmentation

En savoir plus
Zscaler Workload Segmentation

Le zero trust en un seul clic

Lire la fiche technique
Le zero trust en un seul clic

Goulston & Storrs renforce la sécurité des données de ses clients avec Zscaler Workload Segmentation

Lire l'étude de cas
Goulston & Storrs renforce la sécurité des données de ses clients avec Zscaler Workload Segmentation