Sécurité des centres de données et du cloud : pourquoi nous avons besoin d'une révolution

Présentation d'une série de blogs rédigée par le directeur technique d'Illumio, PJ Kirner, qui abordera les concepts clés pour vous aider à envisager la sécurité des centres de données et du cloud d'une nouvelle manière, et à réaligner votre approche en fonction de l'évolution des exigences des environnements applicatifs.

Les révolutions se produisent pour une bonne raison. Ils sont le résultat d'une divergence entre les attentes et la réalité, qui provoque une frustration refoulée qui incite à un changement. Les anciennes méthodes ne répondent plus aux nouvelles exigences et la pression atteint un point d'ébullition où il n'y a pas d'autre choix que de procéder à ce changement.

L'évolution des applications, des centres de données et du cloud a poussé la sécurité à ses limites, alors que les anciennes méthodes, telles que les points d'étranglement et les approches basées sur le réseau, ne correspondent plus aux nouvelles exigences des équipes chargées des applications. Ces équipes se sont habituées à de nouveaux modèles d'utilisation des ressources et de fourniture d'applications et il n'y a pas de retour en arrière possible. L'heure est venue de révolutionner la sécurité.

Pression exercée par le centre de données

Nous avons vu le centre de données évoluer rapidement au cours de la dernière décennie et demie, ce qui nous a permis de mieux utiliser les ressources, d'atteindre de nouveaux niveaux d'échelle et d'avancer plus rapidement que jamais. L'époque où l'on supposait que vos applications étaient plus ou moins statiques et qu'elles se trouvaient toutes dans votre centre de données privé est révolue.

Les nouveaux niveaux de consommation, d'évolutivité et de rapidité ont créé de nouveaux défis et de nouvelles pressions pour les équipes de sécurité.

• La virtualisation a extrait les ressources de base des centres de données que sont le calcul, le réseau et le stockage, rendant les charges de travail plus portables et adaptables tout en rendant les applications plus évolutives et résilientes.
• Le cloud a créé des environnements élastiques à la demande qui nous permettent de répondre à nos besoins d'infrastructure à la demande, en simplifiant la consommation et en améliorant l'efficacité de l'utilisation.
• Les conteneurs sont de plus en plus courants dans les environnements actuels, ce qui permet de développer, de créer et de conditionner rapidement des applications et des services.
  

Pression due aux applications

L'infrastructure n'est pas le seul domaine d'évolution et d'innovation. Nous avons constaté des changements similaires dans la manière dont nous développons et fournissons des applications. Grâce à l'intégration et à la livraison continues (CI/CD), nos attentes ont évolué tout au long du cycle de vie de la livraison logicielle (SDLC). Nous nous attendons désormais à ce que les logiciels soient développés et fournis plus rapidement et de manière plus fluide que les approches traditionnelles basées sur les versions.

Pour beaucoup, l'époque des cycles de sortie distincts où les équipes pouvaient se réunir dans une pièce et planifier les détails d'une prochaine date de mise en ligne est révolue. Chaque semaine et, dans certains cas, tous les jours ou même plusieurs fois par jour, un nouveau code est développé et mis en production.

Les applications monolithiques ont été remplacées par des architectures de microservices. Les applications elles-mêmes et les architectures de services associées sont également devenues plus complexes et leurs composants plus connectés. Les applications dépendent des données et des services de l'ensemble de l'environnement, ce qui entraîne une augmentation exponentielle des communications Est-Ouest par rapport à ce que nous n'avons jamais vu par le passé.

Davantage d'interconnexions signifie des voies plus ouvertes, ce qui peut entraîner une plus grande surface d'attaque à défendre et une augmentation des risques pour l'entreprise. En outre, la nature éphémère des conteneurs, ainsi que la connectivité entre ces environnements, créent de nouveaux défis en matière de sécurité.

Le mouvement DevOps a réuni des développeurs et des équipes opérationnelles pour répondre à ce besoin d'agilité des applications et de l'infrastructure. Mais la première génération de ce mouvement a laissé la sécurité de côté. Pour de nombreuses personnes, l'engagement en matière de sécurité a été considéré comme un obstacle au progrès et à la philosophie des déploiements rapides et, dans certains cas, a entraîné un contournement total de la sécurité.

La sécurité n'a pas suivi

L'évolution de l'infrastructure et des applications des centres de données a incité les organisations à devenir plus axées sur les logiciels et à évoluer plus rapidement que jamais. La sécurité a toujours été importante, mais à mesure que les entreprises dépendent de plus en plus des logiciels pour gérer leurs activités, il devient de plus en plus essentiel de mettre en place une sécurité adéquate afin de minimiser les risques commerciaux. Une erreur peut entraîner une perte de données, un impact sur les revenus, un effet durable sur la marque et même des sanctions liées à la conformité. La sécurité n'a pas suivi l'évolution que nous avons constatée en matière d'infrastructure et d'applications.

Les solutions traditionnelles basées sur le réseau pour appliquer les politiques sont non seulement peu pratiques, mais elles peuvent être carrément impossibles à concevoir et à déployer. Les applications étant la somme de leurs composants, parfois distribuées dans des centres de données et même dans le cloud, la complexité de l'application cohérente des politiques peut constituer un défi de taille. Si l'on ajoute à cela le fait que l'infrastructure des applications devient de plus en plus dynamique, il peut être quasiment impossible de synchroniser les politiques avec l'évolution et l'échelle.

L'un des objectifs de l'évolution de la sécurité est de trouver un équilibre au détriment de l'avantage de l'attaquant et de tirer parti des forces du défenseur.

Même les attaquants ont évolué pour contrecarrer les dernières approches de sécurité. Pour modifier l'équilibre à l'avantage du défenseur, il faut adopter un modèle qui passe d'un modèle réactif face aux menaces à un modèle qui change la donne de manière proactive, en redonnant le contrôle au défenseur. Pour ce faire, nous devons aborder la sécurité d'une nouvelle manière et penser différemment les environnements applicatifs et la manière dont nous les protégeons.

Les approches actuelles en matière de sécurité peuvent constituer un obstacle, un ralentissement des progrès, voire un véritable obstacle. En continuant à suivre la voie traditionnelle, les équipes de développement risquent de chercher des moyens de contourner la sécurité afin de continuer à avancer au rythme dont elles ont besoin pour rester efficaces.

Ce besoin d'efficacité est l'une des raisons pour lesquelles nous devons repenser la sécurité et mieux l'aligner sur les évolutions que nous avons constatées dans le data center.

Une sécurité évolutive pour les environnements applicatifs modernes

Alors que la plupart des solutions de sécurité actuelles reposent sur de vieilles hypothèses selon lesquelles les choses évoluent plus lentement et sont plus ou moins statiques, nous savons que la réalité n'est plus vraie.

Même si vous n'en ressentez pas encore pleinement l'impact, les entreprises sont de plus en plus motivées par les logiciels, les applications évoluent plus rapidement et les environnements applicatifs deviennent de plus en plus complexes et hétérogènes, ce qui nécessite une révolution dans les centres de données et sécurité du cloud.

Les technologies telles que la virtualisation et l'IaaS ont une infrastructure abstraite pour mieux répondre aux exigences des applications. Nous devons envisager la sécurité de la même manière.

Analyser les charges de travail dans le contexte de l'application et des processus métier est le meilleur moyen de comprendre les risques et d'élaborer des politiques. C'est également le seul langage commun que toutes les équipes de l'organisation peuvent comprendre. Une équipe de développement d'applications ne pense pas à l'environnement de son application dans le contexte du réseau (adresses IP et ports). Ils y réfléchissent dans le contexte des composants de cette application, de la façon dont ils sont liés et de la façon dont ils fonctionnent ensemble.

Il en va de même pour les responsables de processus métier qui réfléchissent à leur processus, aux applications et aux services qui y sont associés et à la manière dont ils travaillent ensemble pour répondre aux besoins de l'entreprise.

Ce changement de perspective est fondamental et constitue une première étape pour ouvrir la porte à une nouvelle approche. C'est le seul moyen de créer une sécurité qui s'adapte aux environnements d'applications modernes, répartis sur plusieurs plateformes et sites, qui se déplacent et s'adaptent de manière dynamique pour répondre aux demandes.

Dans mon prochain article, j'expliquerai pourquoi une carte centrée sur les applications est essentielle et comment elle constitue la base pour repenser et faire évoluer la sécurité.

Note de l'éditeur : Lisez le prochain article, « Vous avez besoin d'une carte pour faire évoluer la sécurité. »