/
Segmentation Zero Trust

Comment une stratégie Zero Trust basée sur la microsegmentation permet de résoudre les risques liés au cloud

L'ère des centres de données est révolue. Nous sommes à l'ère du cloud, et il n'y a aucun signe de ralentissement de sitôt.

Les entreprises confient la maintenance de l'infrastructure d'hébergement sous-jacente aux fournisseurs de cloud. Cela leur donne plus de temps pour se concentrer sur leurs applications et leurs données, rationalisant ainsi leurs opérations de déploiement continu.

Mais à mesure que les offres et les avantages du cloud augmentent, les nouvelles opportunités pour les cybercriminels augmentent également.

Dans cet article de blog, nous allons explorer les principaux risques liés à la sécurité du cloud, leur impact sur vos environnements cloud et les raisons pour lesquelles une approche Zero Trust, alimentée par la microsegmentation, peut vous aider à vous préparer à contenir les inévitables failles dans le cloud.

4 défis liés à la sécurité du cloud qui vous rendent vulnérable

Le nuage offre une flexibilité et une évolutivité inégalées. Mais cela entraîne également de nouveaux risques de sécurité que les entreprises ne peuvent ignorer. Voici les principaux problèmes de sécurité du cloud qui mettent votre entreprise en danger.

1. Les fournisseurs de cloud sécurisent l'infrastructure, mais pas vos données

C'est trop souvent une supposition, jusqu'à ce qu'une violation se produise.

Fournisseurs de cloud appliqueront une approche de leur mieux pour sécuriser leur infrastructure d'hébergement. Par exemple, ils aborderont des priorités telles que l'ingénierie du trafic réseau et la prévention attaques par déni de service distribué (DDoS) via leur infrastructure d'hébergement.

Mais la sécurisation des applications et des données déployées sur cette infrastructure incombe au client.

En réalité, il s'agit d'une poignée de main inégale. La responsabilité de la sécurité du cloud incombe en grande partie aux clients malgré les fonctionnalités de sécurité importantes que les fournisseurs de cloud intègrent à leur plateforme. Présumer le contraire est une voie rapide vers une violation.

2. Vous n'avez jamais le contrôle total de vos environnements cloud

L'un des avantages du cloud est qu'il est facile de créer des instances de calcul et d'automatiser entièrement les ressources et toutes les dépendances entre elles. Cela signifie que DevOps peuvent inclure les détails des opérations dans leur solution d'orchestration, ce qui élimine les processus manuels.

Mais vous n'avez pas le contrôle total de toutes les ressources :

  • Les ressources entièrement contrôlées comprennent les machines virtuelles (VM) cloud appartenant à l'entreprise ou le stockage dans le cloud.
  • Mais s'il existe des dépendances vis-à-vis de l'accès de tiers, tels que des partenaires, des sous-traitants ou l'accès à distance à ces ressources, elles ne sont que partiellement sous votre contrôle.

L'environnement cloud hybride moyen dispose d'un large éventail de ressources avec différents niveaux de contrôle, du cloud au centre de données en passant par les appareils d'accès à distance, le tout au sein d'une même architecture globale.

A diagram showing a network of interconnected nodes representing various entities and systems.
Vous pouvez contrôler totalement certaines ressources, mais pas toutes.

Vous pouvez utiliser les meilleures pratiques pour sécuriser les ressources cloud de votre entreprise. Mais pouvez-vous faire confiance à vos partenaires ou sous-traitants pour sécuriser correctement les ressources qu'ils utilisent pour accéder aux vôtres ?

3. L'erreur humaine fondamentale constitue l'un des principaux risques liés au cloud

Vous devez partir du principe que tous les propriétaires de ressources cloud n'appliquent pas les meilleures pratiques en matière de sécurité, malgré ce qu'ils peuvent prétendre ou même croire.

Et il est probable que le point de départ de leurs problèmes de sécurité dans le cloud soit une erreur humaine fondamentale. Cela signifie que vos propres équipes peuvent potentiellement commettre des erreurs similaires.

En fait, plus de la moitié des failles de sécurité provenant du cloud sont dues à erreur humaine. Il suffit d'une simple erreur : choisir des mots de passe faibles, ne pas changer régulièrement les clés SSH ou ne pas appliquer de correctifs aux charges de travail cloud à risque.

Cela nécessite une solution de sécurité qui repousse les limites de confiance au plus près de chaque charge de travail sans affecter les priorités DevOps.

4. Vous pouvez sécuriser ce que vous ne pouvez pas voir

Les environnements cloud évoluent en permanence. De plus, de nombreuses organisations font appel à plusieurs fournisseurs de cloud pour élaborer une stratégie hybride et multicloud. Cela présente des défis de visibilité uniques pour les équipes de sécurité.

Les applications, les charges de travail et les dépendances évoluent constamment entre les différents fournisseurs de cloud. Cette complexité rend difficile la compréhension complète des flux de trafic et des relations entre les ressources en temps réel. Sans cette visibilité critique, les décideurs en matière de sécurité sont contraints de se fier à des conjectures lors de la configuration des protections. Cela laisse des lacunes potentielles dont les attaquants profiteront.

La droite outil de visibilité devrait combler cette lacune en fournissant une visibilité approfondie en temps réel sur toutes les dépendances du trafic et des applications dans l'ensemble de votre environnement cloud, à n'importe quelle échelle. Recherchez des solutions capables de visualiser ces relations aux niveaux macroéconomique et microéconomique, afin de vous aider à identifier les anomalies et les menaces potentielles avant qu'elles ne soient dommageables.

Zero Trust : la meilleure approche en matière de sécurité cloud moderne

UNE Architecture de sécurité Zero Trust permet cela, et c'est absolument nécessaire. Le cloud est devenu le terrain de jeu des cybercriminels. Voici quelques exemples récents de menaces provenant du cloud :

  • Kobalós utilise un hôte compromis comme serveur de commande et de contrôle (C2) pour voler des données sensibles à des charges de travail cloud.
  • Pire utilise un hôte compromis pour le cryptojacking sur les machines virtuelles du cloud. Il extrait des cryptomonnaies gratuitement, ce qui fait grimper les coûts du cloud pour quelqu'un d'autre.
  • Tempête IP utilise des sessions peer-to-peer (P2P) ouvertes entre les hôtes du cloud pour diffuser et exécuter du code malveillant.
  • Drovoroub exfiltre les données des hôtes cloud à l'aide de ports ouverts.

Ces exemples ont un point commun : une fois qu'ils ont atterri sur une charge de travail cloud compromise, ils se propagent rapidement à d'autres charges de travail. Cela leur permet de compromettre rapidement un grand nombre d'hôtes, souvent avant même qu'un outil de recherche des menaces ne puisse les détecter.

C'est pourquoi les solutions de traque des menaces ont souvent du mal à empêcher la propagation des malwares. Bien qu'ils excellent dans la détection des menaces, au moment où une menace est identifiée, elle est souvent déjà répandue. À ce stade, stopper la propagation devient une priorité plus importante que de découvrir l'intention de la menace.

L'essentiel est que les menaces doivent être empêchées de se propager. avant ils sont détectés.

La microsegmentation est à la base de toute stratégie Zero Trust

Toute architecture Zero Trust doit commencer par appliquer le vecteur commun utilisé par toutes les menaces pour se propager : le segment.

Les segments peuvent être créés, grands ou petits :

  • Macrosegments sécurisez un ensemble de ressources critiques appelé surface de protection.
  • Microsegments repoussez les limites de confiance directement pour chaque charge de travail cloud à n'importe quelle échelle.

Microsegmentation est l'objectif recherché. Il applique chaque charge de travail directement à la source, même si plusieurs sont déployées sur le même segment cloud sous-jacent.

La microsegmentation doit pouvoir s'étendre à des nombres potentiellement importants. Cela signifie qu'il doit être découplé des limites d'échelle de segmentation définies par les solutions réseau traditionnelles. Les segments de réseau existent pour répondre aux priorités du réseau, mais les segments de charge de travail existent pour répondre aux priorités de charge de travail. Une solution ne correspond pas bien à l'autre.

Illumio CloudSecure : microsegmentation cohérente sur l'ensemble du multicloud hybride

Bien que les fournisseurs de cloud proposent des outils pour sécuriser leurs propres charges de travail, ces outils ne fonctionnent généralement pas sur plusieurs clouds, centres de données ou terminaux. Et l'utilisation d'outils de sécurité distincts pour chaque environnement crée des silos. Il est donc plus difficile de détecter les angles morts en matière de sécurité et de relier les points lors d'une faille de sécurité, ce qui ralentit votre réponse à la violation.

Dans le cadre du Plateforme de segmentation Illumio Zero Trust (ZTS), Illumio CloudSecure assure une microsegmentation cohérente des charges de travail dans le cloud, en s'alignant parfaitement avec les charges de travail déployées sur les centres de données et les terminaux, le tout au sein d'une seule plateforme. La plateforme Illumio vous permet de voir et de contrôler l'ensemble du trafic réseau dans n'importe quel environnement et à n'importe quelle échelle.

Network traffic flow between endpoints, two data centers, and two cloud environments.
Illumio offre une vue globale de l'ensemble du trafic, en contrôlant tout de bout en bout.

Cloud sécurisé vous aide à visualiser et à appliquer les charges de travail dans le cloud grâce à une architecture sans agent. Il découvre tout le trafic réseau et les dépendances des applications directement depuis le cloud. Il utilise le même modèle de politique sur l'ensemble du réseau, déployant l'application via des outils de sécurité natifs du cloud tels qu'Azure Network Security Groups (NSG) et AWS Security Groups.

A detailed architectural diagram showcasing the dependencies and interactions between various AWS and Azure cloud components.
Illumio CloudSecure visualise les dépendances des applications dans le cloud.

Par exemple, si le DNS reste ouvert entre les charges de travail, Illumio continuera à surveiller ce trafic DNS pour vérifier son comportement normal. En règle générale, le trafic DNS est inférieur à 500 octets par requête. Mais si Illumio détecte 10 gigaoctets de données transitant par une session DNS, il est probable que quelque chose de suspect se cache dans le trafic DNS. Illumio bloquera immédiatement ce trafic, sans attendre qu'un outil de recherche des menaces le trouve et l'analyse au préalable.

Le résultat est une architecture Zero Trust qui vous permet de voir clairement et de protéger tous les segments dans une solution fluide, que l'environnement utilise une approche basée sur un agent ou sans agent.

Limitez les intrusions dans le cloud sans trop de complexité

La sécurité du cloud ne peut plus être une question secondaire.

Si le cloud offre une flexibilité et une évolutivité inégalées, il ouvre également de nouvelles opportunités aux cybercriminels. Pour rester en sécurité, les entreprises ont besoin d'une approche Zero Trust basée sur la microsegmentation afin de contenir les breaches avant qu'elles ne se propagent.

En développant la microsegmentation avec Illumio CloudSecure, vous pouvez obtenir la visibilité et le contrôle dont vous avez besoin pour protéger les charges de travail à grande échelle dans n'importe quel environnement.

Préparez-vous à la prochaine intrusion inévitable dans le cloud. Télécharger Le manuel de résilience du cloud.

Sujets connexes

Articles connexes

4 objections courantes à la segmentation Zero Trust — et comment les surmonter
Segmentation Zero Trust

4 objections courantes à la segmentation Zero Trust — et comment les surmonter

La segmentation Zero Trust est une méthode éprouvée pour empêcher la propagation des rançongiciels, mais elle peut sembler difficile pour les responsables informatiques des entreprises de taille moyenne. Voici quatre objections courantes que nous avons entendues de leur part et comment les surmonter.

Améliorer le retour sur investissement en matière de sécurité, le ZTS pour les terminaux et les défis de sécurité fédéraux
Segmentation Zero Trust

Améliorer le retour sur investissement en matière de sécurité, le ZTS pour les terminaux et les défis de sécurité fédéraux

Alors que les rançongiciels et autres cyberattaques gagnent en sophistication, le renforcement de la cyberrésilience grâce au confinement se traduit par un meilleur retour sur investissement en matière de sécurité.

C'est un oiseau, c'est un avion, c'est... un superamas !
Segmentation Zero Trust

C'est un oiseau, c'est un avion, c'est... un superamas !

Les grandes entreprises disposent souvent de centres de données situés dans différentes régions géographiques. Les centres de données distribués permettent à ces organisations de localiser leurs applications à proximité de leurs clients et de leurs employés, de se conformer aux exigences de résidence des données et d'assurer la reprise après sinistre de leurs applications métier critiques.

100 % cloud ? Vous avez toujours besoin d'une segmentation Zero Trust
Segmentation Zero Trust

100 % cloud ? Vous avez toujours besoin d'une segmentation Zero Trust

Découvrez pourquoi le fait d'être 100 % cloud ne supprime pas la nécessité de contenir les brèches grâce à la segmentation Zero Trust et comment Illumio peut vous aider.

Pourquoi la sécurité traditionnelle du cloud échoue et 5 stratégies pour y remédier
Cyber-résilience

Pourquoi la sécurité traditionnelle du cloud échoue et 5 stratégies pour y remédier

Découvrez pourquoi les outils de sécurité traditionnels ne peuvent pas fournir la sécurité flexible et cohérente requise dans le cloud et cinq stratégies pour mettre en place une sécurité cloud moderne.

Pourquoi la sécurité du cloud commence par une visibilité complète
Produits Illumio

Pourquoi la sécurité du cloud commence par une visibilité complète

Découvrez pourquoi la visibilité dans le cloud est aujourd'hui importante, pourquoi les approches de visibilité traditionnelles échouent et comment ZTS avec Illumio CloudSecure peut vous aider.

Assume Breach.
Minimisez l'impact.
Augmentez la résilience.

Vous souhaitez en savoir plus sur la segmentation Zero Trust ?