.png)
5 cas d'utilisation pour le déploiement de la microsegmentation dans les environnements de cloud public
Les clouds publics ont créé des environnements élastiques à la demande qui peuvent être facilement adaptés à l'évolution des besoins de l'entreprise. Les applications sont passées de blocs de code monolithiques statiques à des microservices qui peuvent être déployés auprès de différents fournisseurs de cloud public, dans différentes régions et avec différents systèmes d'exploitation s'appuyant sur une automatisation à grande échelle, remettant en question les pratiques de sécurité existantes afin de réduire l'exposition aux risques et d'empêcher le mouvement latéral des acteurs malveillants.
En raison de l'ampleur et de la portée de cyberattaques étant en constante évolution, de plus en plus d'organisations mettent en œuvre la microsegmentation comme élément essentiel d'une stratégie de défense en profondeur. Selon une récente enquête menée auprès de plus de 300 professionnels de l'informatique, 45 % ont actuellement un projet de segmentation ou en planifient un.
Tous les principaux fournisseurs de cloud public disposent de leurs propres solutions de sécurité du cloud, permettant également des niveaux de base d'application des politiques. Au fur et à mesure de l'évolution de votre cloud computing, vous pouvez demander à votre fournisseur de cloud public d'augmenter le nombre de groupes de sécurité, ce qui accroît la complexité opérationnelle et augmente le risque imposé par le gonflement des règles. En outre, ces outils de sécurité du cloud sont cloisonnés dans l'architecture globale. Chaque solution de sécurité ne fonctionne pas bien dans le bac à sable avec les autres et la mise en corrélation d'une faille de sécurité entre toutes ces solutions est une tâche fastidieuse qui entraîne des retards importants dans la résolution. Pour plus d'informations sur ce défi, consultez ce post de la part de mon collègue Christer.
Les contrôles de sécurité ont évolué et offrent désormais la possibilité de voir l'instance de cloud computing dans le contexte de l'application et des processus métier, ce qui permet aux utilisateurs de mieux comprendre les risques et d'élaborer des politiques en tirant parti de la technologie native intégrée pare-feu dynamique disponible dans chaque instance de calcul.
La première étape de la vie d'un paquet, à sa naissance, est politique d'attachement. Au moment où un paquet atteint le plan de transfert réseau, la sécurité est déjà appliquée. Cette approche rapproche la sécurité du cloud de l'endroit où se situent l'action et les contrôles : indépendant du réseau. Le réseau et la sécurité sont découplé pour tirer le meilleur parti des deux mondes.
Dans ce post, je répondrai à cinq questions publiques sécurité du cloud questions qui se posent fréquemment lorsque les organisations envisagent la microsegmentation.
1. La sécurité du cloud peut-elle être renforcée pendant tout le cycle de vie d'une charge de travail ?
Absolument Les contrôles de sécurité du cloud sont automatiquement appliqués à une charge de travail tout au long de son cycle de vie, de sa création à sa résiliation.
En intégrant des outils d'orchestration (tels qu'Ansible, Chef, Puppet) à l'interface de programme d'application (API) d'Illumio, les charges de travail sont associées à Le moteur de calcul des politiques (PCE) d'Illumio. Lors du couplage, les balises associées à une charge de travail sont mappées aux étiquettes du PCE et la charge de travail hérite du bon ensemble de politiques de sécurité créées à l'aide des étiquettes du PCE. Si une charge de travail est mal étiquetée, la modification des libellés déclenche automatiquement les modifications de politique appropriées. Si l'adresse IP d'une charge de travail change, le PCE récupère automatiquement la nouvelle adresse IP. Les politiques de sécurité étant découplées du réseau, aucune autre modification n'est nécessaire. Lorsqu'une charge de travail est arrêtée, PCE déclenche automatiquement les modifications de politique appropriées.
En dissociant le réseau de la segmentation, les changements de politique sont automatiquement déclenchés, ce qui permet d'appliquer le bon ensemble de contrôles de sécurité à une charge de travail tout au long de son cycle de vie. La sécurité a toujours été importante, mais les entreprises étant de plus en plus dépendantes des logiciels pour gérer leurs activités, il devient de plus en plus essentiel de mettre en place une sécurité adéquate afin de minimiser les risques commerciaux.
2. La visibilité en temps réel des applications dans le cloud public est-elle possible ?
Tu paries. Les candidatures ne se trouvent pas sur une île. Ils parlent entre eux, et c'est ainsi que fonctionnent les processus métier.
La visibilité en temps réel des dépendances des applications nous aide à comprendre le comportement des applications, ce qui permet de définir des politiques de segmentation précises. La visibilité centrée sur les applications est la base essentielle d'une bonne sécurité, car les microservices sont déployés auprès de différents fournisseurs de cloud public et dans différentes régions.
Noyau Illumio (anciennement connu sous le nom d'Illumio ASP) fournit une carte des dépendances des applications appelée Illumination qui visualise les communications entre les charges de travail et les applications. Les lignes sur la carte représentent les flux de trafic détectés entre les charges de travail, que ce soit dans le cloud ou sur site. Illumio colore les lignes en rouge et en vert pour indiquer si la connexion est autorisée ou bloquée par microsegmentation politique.
La capture d'écran ci-dessous montre la carte des dépendances entre les applications Gestion d'actifs application dans le Production environnement. Ici, les lignes de la carte représentent les flux de trafic détectés entre les charges de travail. Illumio colore les lignes en rouge et en vert pour indiquer si la connexion est autorisée ou bloquée par la politique de microsegmentation. Une ligne verte signifie qu'une politique a été écrite pour autoriser la connexion. Une ligne rouge signifie qu'aucune politique n'existe et que la connexion sera bloquée lors du passage en mode d'application. Les lignes rouges et vertes permettent de visualiser très facilement votre politique de segmentation et ses violations. Vous souffrez de daltonisme ? Illumio ASP fournit aux utilisateurs un déficience de la vision des couleurs option.
Lorsque l'agent d'Illumio, Nœud d'application virtuel (VEN), est installé sur une charge de travail et couplé au PCE, la visibilité et l'application sont disponibles. Le couplage d'un VEN à un PCE est automatisé à l'aide d'outils tels qu'Ansible et Terraform.
Lorsque le VEN n'est pas installé sur une charge de travail, à l'aide de solutions partagées par Laboratoires Illumio, les clients peuvent visualiser la dépendance des charges de travail exécutées sur Microsoft Azure et Amazon AWS sur le PCE.
3. Puis-je valider les contrôles de sécurité de mon cloud sur plusieurs clouds ?
Vous pouvez certainement le faire, sans compromettre votre candidature. L'un des plus grands défis d'un déploiement multicloud est l'absence de sécurité cohérente, car chaque fournisseur propose un ensemble de contrôles qui peuvent être similaires sur le plan conceptuel mais qui diffèrent considérablement au niveau de la mise en œuvre. Illumio extrait le cloud sous-jacent de l'application sans s'appuyer sur la connaissance ou le contrôle de l'infrastructure pour développer des politiques de sécurité.
Illumio propose deux solutions pour valider vos contrôles de sécurité :
- Passez Illumination en mode Brouillon pour visualiser le projet de politique et voir ce qui se passera lorsque vous apporterez des modifications.
- Basculer l'état de la politique des charges de travail sur Testez pour appliquer toutes les règles de votre ensemble de règles et visualiser l'ensemble du trafic qui serait bloqué lorsque vous placeriez les charges de travail dans l'état de stratégie appliqué. Aucun trafic n'est bloqué Testez état.
4. La microsegmentation est-elle possible sur la plateforme en tant que service (PaaS) ?
Oui Illumio Labs propose des solutions partagées qui offrent visibilité et application pour la base de données Microsoft Azure SQL et Amazon AWS RDS.
Illumio Labs décrit trois étapes en matière de visibilité et d'application. Ici, le pare-feu au niveau du serveur protégeant le serveur de base de données Azure SQL est programmé à l'aide des politiques de sécurité définies sur le PCE.
Laboratoires Illumio décrit également six étapes pour la visibilité et l'application de la loi. Les compartiments S3 sont utilisés pour stocker les journaux de flux qui déclenchent une fonction Lambda qui reprogramme les groupes de sécurité VPC en fonction des politiques de sécurité définies sur le PCE.
5. Illumio peut-il vous aider à résoudre une faille majeure de sécurité dans le cloud ?
Sans aucun doute. Une erreur de sécurité peut entraîner une perte de données, violation de données, l'exposition à des données sensibles, l'impact sur les revenus, l'effet durable sur la marque et même les sanctions liées à la conformité. La sécurité n'a pas suivi l'évolution que nous avons observée en matière d'infrastructure et d'applications. Vous devez aborder la sécurité d'une nouvelle manière et penser différemment les environnements applicatifs et la manière dont vous les protégez.
L'un des plus grands défis liés à une faille de sécurité est le mouvement latéral. Illumio a été conçu pour arrêter les mouvements latéraux et réduire le rayon d'explosion. Illumio suit, de par sa conception, une »liste d'autorisation», de sorte que lorsqu'une charge de travail est compromise, les politiques de sécurité de toutes les autres charges de travail sont automatiquement mises à jour pour bloquer le trafic provenant de la charge de travail compromise.
Les initiatives de contrôles de sécurité du Center for Internet Security (CIS) sont largement adoptées et existent depuis plus de 10 ans. Les contrôles sont dérivés des plus courants modèles d'attaque mis en évidence dans les principaux rapports sur les menaces et approuvé par une très large communauté de professionnels du gouvernement et de l'industrie. Ils reflètent les connaissances combinées des experts commerciaux et gouvernementaux en matière de criminalistique et de réponse aux incidents. Les capacités d'Illumio vous aident directement rencontrez ou soutenez CIS basic, contrôles fondamentaux et organisationnels.
Récapitulatif rapide
La microsegmentation est une approche très efficace pour prévenir mouvement latéral non autorisé au sein de votre organisation, et ce n'est pas un hasard si c'est devenu un principe clé si un Cadre Zero Trust.
Au fur et à mesure que votre organisation évolue pour répondre aux besoins de l'entreprise, la création de contrôles de sécurité cohérents qui fonctionnent avec tous les fournisseurs de cloud public devient essentielle pour réduire votre exposition aux risques et réduire la complexité. Êtes-vous prêt à franchir la première étape de votre parcours de microsegmentation ? Inscrivez-vous pour un essai gratuit de 30 jours.
