.png)
Recentrez-vous sur la sécurité du cloud : comment la segmentation Zero Trust sécurise le cloud
Nous poursuivons notre Mois de la sensibilisation à la cybersécurité série en attirant notre attention sur le cloud public.
À première vue, sécurisation des actifs cloud n'est pas différent du point de vue conceptuel de leur sécurisation dans le centre de données. Identité, contrôle d'accès, connexions sécurisées, tout cela revient au même.
Mais lorsque vous n'êtes pas propriétaire de la couche d'infrastructure (et que de nombreux services ne sont qu'un appel d'API à une adresse DNS), ce n'est pas du tout la même chose.
Il est difficile de savoir exactement quelles connexions sont nécessaires pour quelles adresses IP. Les pare-feux natifs du cloud disposent d'interfaces de base pilotées par texte qui s'appuient entièrement sur les adresses IP et les processus manuels.
Ils peuvent être automatisés, bien sûr, mais qui écrit ce code ? L'équipe DevOps déjà bien remplie ? N'est-ce pas juste un autre effort manuel ? Et cet effort finit par être découplé des politiques d'accès du centre de données, ce qui nécessite une couche supplémentaire de traduction et d'efforts manuels.
Heureusement, il existe un meilleur moyen de sécuriser le cloud : Segmentation Zero Trust.
Zero Trust Segmentation protège le cloud contre la propagation des cyberattaques de 4 manières principales.
Retrouvez les moments forts de Nathanael Iversen, l'évangéliste en chef d'Illumio, dans sa vidéo :
Et poursuivez votre lecture pour en savoir plus.
1. Visibilité totale sur les flux de communication réseau
Lorsque de nombreux services, applications et magasins de données utilisés dans le cloud sont eux-mêmes accessibles par un simple appel d'API, l'analyse traditionnelle des flux réseau ne permet souvent pas de comprendre de manière exploitable la connectivité au cloud.
La segmentation Zero Trust commence par une connexion directe à l'inventaire du système cloud et aux tables de connexion. Cela signifie que tout élément doté d'une interface réseau élastique (ENI) est automatiquement découvert, ses métadonnées sont ingérées et utilisées pour la dénomination, et il est placé sur une carte de dépendance des applications.
En conséquence, le carte des dépendances des applications n'est pas basé sur des adresses IP en constante évolution, mais plutôt sur les conventions de dénomination et d'objet que votre organisation a déjà investi du temps et des efforts dans la création.
Cette carte fournit une couverture complète, des instances EC2 à Kubernetes et aux objets conteneurisés, en passant par les services SaaS, les applications cloud et les courtiers de services, soit la quasi-totalité des flux de communication.
Les informations sont soigneusement organisées par application et par service et nommées de manière à ce que tous les membres du cloud, de l'infrastructure et des équipes de sécurité puissent lire la carte. Cette vue montre la véritable topologie de connexion, indépendamment des VPC, des sous-réseaux et des zones.
2. Politique de segmentation automatisée et optimisée
Une fois que nous comprenons clairement comment les choses sont liées à la carte de dépendance des applications, il est naturel de se demander dans quelle mesure les connexions sont protégées. Quel est le risque que l'un de ces services soit mal accédé ou interrompu ?
La segmentation Zero Trust inclut l'automatisation et l'optimisation des politiques afin qu'un véritable solution Zero Trust, avec le moindre privilège est facile à réaliser et à entretenir.
La même carte de dépendance des applications qui informe l'équipe de sécurité des flux de communication peut également informer le code d'automatisation des politiques qui :
- Analyse les connexions nécessaires
- Compare ces connexions à la politique VPC actuelle
- Il formule ensuite des recommandations sur la manière d'optimiser et de renforcer la politique de sécurité afin que les connexions nécessaires soient autorisées et que tout le reste soit refusé.
La recommandation de politique qui en résulte peut ensuite être mise en œuvre directement dans les pare-feux natifs du cloud, sans aucun agent.
Comme Zero Trust Segmentation écrit sur le pare-feu natif, il peut contrôler le trafic, quelle que soit sa destination. EC2 vers EC2 ? Oui. Cluster EC2 vers Kubernetes ? Bien sûr. Service SaaS pour fonctionner Lamba ? Bien sûr.
Zero Trust Segmentation fournit une segmentation automatisée et sans agent, entièrement pilotée par API et accessible par API. Comme il utilise les métadonnées du cloud, cela signifie que la segmentation en tant que service est désormais disponible.
CloudOps et les équipes d'automatisation peuvent accéder à une couche d'abstraction fiable, pilotée par des métadonnées, qui gère toutes les traductions vers les adresses IP et la politique de pare-feu, et suit même automatiquement les modifications de topologie des applications.
3. Visibilité et contrôle tout-en-un pour les environnements cloud, de data centers et de terminaux
Nous venons d'explorer certaines des fonctionnalités natives du cloud proposées par Zero Trust Segmentation, mais la meilleure nouvelle est que ces fonctionnalités incluent toujours une visibilité et un contrôle complets pour les environnements de centres de données et de terminaux.
Aucun nuage n'est une île.
Les utilisateurs et les administrateurs accèdent au cloud, qui communique avec les systèmes des centres de données et des installations de colocation. Souvent, la communication entre les fournisseurs de cloud est constante.
Zero Trust Segmentation fournit un modèle de politique, une visualisation et une couche de distribution des politiques uniques pour relier tous ces différents environnements au sein d'un flux de travail collaboratif et fluide. Les systèmes visualisés à partir des API cloud apparaissent sur le même écran que les systèmes découverts dans le centre de données, les instances VDI ou les points de terminaison des utilisateurs.
Lorsqu'elle est déployée avec des terminaux, Zero Trust Segmentation fournit une segmentation basée sur l'identité et un contrôle d'accès pour les charges de travail dans le cloud.
4. Améliorez la résilience opérationnelle
Disposer d'un hub universel pour la politique de segmentation signifie qu'il est facile d'inclure tous les systèmes dans une politique commune.
De nombreuses entreprises souhaitent renforcer la réponse aux incidents en préconfigurant des politiques de segmentation proactives et réactives. L'idée est simple et repose sur ce que chacun sait devoir faire dès qu'il découvre une brèche : resserrer contrôles de segmentation.
Quelles politiques d'urgence souhaiteriez-vous mettre en œuvre immédiatement en cas de cyberattaque pour protéger les systèmes les plus critiques ?
La segmentation Zero Trust vous permet de créer et de mettre en œuvre ces politiques à l'avance, afin qu'elles soient prêtes à être activées à tout moment. Mieux encore, ces politiques s'étendront aux environnements cloud, aux centres de données et aux terminaux.
La segmentation Zero Trust permet de définir facilement une politique de base à laquelle tous les systèmes doivent adhérer, puis de l'appliquer partout, qu'il s'agisse de déploiements de conteneurs basés sur le cloud ou de machines virtuelles dans le centre de données.
Renforcez votre niveau de sécurité dans le cloud grâce à la segmentation Zero Trust
Les entreprises optent pour le cloud pour gagner en disponibilité et en agilité, automatiser les déploiements mondiaux, etc.
La segmentation Zero Trust fournit la visibilité, l'automatisation et la couverture nécessaires à la segmentation en tant que service. Cela commence par une visibilité automatisée et un mappage des connexions, avec des informations diffusées directement depuis les API des fournisseurs de cloud. Ces données alimentent ensuite un puissant code d'automatisation et d'optimisation qui suggère comment optimiser et renforcer la politique de segmentation.
Lorsque ces politiques sont déployées, elles peuvent être transférées vers le cloud, le centre de données et les systèmes de terminaux, selon les besoins. Bien que le cloud présente des différences par rapport au centre de données, il s'avère que tirer parti des métadonnées, des informations de connexion et des API du cloud permet aux entreprises de mettre en place une politique de segmentation automatisée dans leurs déploiements cloud.
Enfin, il existe une segmentation du cloud entièrement automatisée qui optimise pour Principes Zero Trust.
Le Mois de la sensibilisation à la cybersécurité est une excellente occasion de prendre du recul et d'envisager des fonctionnalités telles que la segmentation Zero Trust qui auraient le plus d'impact sur votre posture de sécurité dans le cloud.
La semaine prochaine, nous poursuivrons notre série sur des sujets sur lesquels nous devons nous recentrer pendant le Mois de la sensibilisation à la cybersécurité.
Vous souhaitez en savoir plus sur la sécurité du cloud ? Lisez notre livre électronique : 5 choses que vous ne saviez peut-être pas à propos de la sécurité du cloud
