/ Qu’est-ce qu’une plateforme de protection des workloads dans le cloud (CWPP) ?
Qu’est-ce qu’une plateforme de protection des workloads dans le cloud (CWPP) ?
Une plateforme de protection des workloads dans le cloud (CWPP) désigne une solution de sécurité conçue pour sécuriser les workloads dans les environnements cloud et les data centers modernes. Une CWPP efficace peut fournir une visibilité et des contrôles de sécurité cohérents pour les machines physiques, les machines virtuelles, les conteneurs et les workloads sans serveur, où qu’ils se trouvent. Les CWPP recherchent les vulnérabilités connues lors du déploiement des workloads et les sécurisent au moment de leur exécution grâce à une microsegmentation basée sur l’identité, une prévention des intrusions basée sur l’hôte, un anti-malware en option, et bien plus encore.
Pourquoi une CWPP est-elle importante ?
Les technologies réseau traditionnelles se prêtent généralement mal aux environnements cloud. La plupart des entreprises ont recours à une combinaison de plusieurs fournisseurs de services cloud (FSC) et du data center pour héberger leurs applications, ce qui ne permet que difficilement aux technologies réseau traditionnelles de fournir la visibilité cohérente et complète nécessaire aux entreprises pour leurs workloads. Les entreprises modernes doivent placer leurs applications, workloads et services au centre de leurs plans de sécurité.
Les plateformes de protection des terminaux ayant été développées à l’origine pour protéger principalement les ordinateurs portables, les ordinateurs de bureau et les appareils mobiles, et non les workloads dans le cloud, elles peuvent mettre les données de l’entreprise en danger. Une véritable CWPP a été construite dès le départ pour sécuriser les workloads dans le cloud, et non pas une technologie existante conçue pour un autre usage qui aurait simplement été réadaptée.
En outre, la sécurité du workload doit être proactive, et non réactive. Ainsi, il est préférable d’analyser les workloads dans le cloud au moment du déploiement afin de détecter les vulnérabilités et les erreurs de configuration, étant donné que ces dernières présentent souvent un risque plus important pour les entreprises que la compromission du workload.
Ce qu’il faut attendre d’une CWPP
Le besoin d’une CWPP (plateforme de protection des workloads dans le cloud) ne cesse de croître, à mesure que les entreprises évoluent. De nombreuses options existent sur le marché, mais toutes ne sont pas des plateformes complètes. Voici donc quelques éléments à garder à l’esprit lorsque vous comparez différentes solutions de CWPP :
- Dans un avenir proche, la plupart des infrastructures d’entreprise seront des architectures hybrides et multicloud. Une CWPP efficace doit donc protéger les machines physiques, les VM, les conteneurs et les workloads sans serveur.
- Vous devriez pouvoir gérer une CWPP à partir d’une seule console, gérée par un seul ensemble d’API.
- Une offre CWPP complète doit présenter toutes ses fonctionnalités via des API pour faciliter l’automatisation dans les environnements cloud.
- Les fournisseurs de CWPP doivent être en mesure de proposer une feuille de route et une conception d’architecture pour une protection sans serveur.
Points essentiels en matière de CWPP dont les responsables de la sécurité doivent tenir compte
Les caractéristiques des produits mises à part, il est important de réfléchir à la manière d’intégrer les fonctionnalités de la CWPP afin d’assurer la pérennité de la protection des workloads du cloud. Quelques recommandations :
- Visibilité et contrôle : assurez-vous que votre architecture vous offre une visibilité et un contrôle cohérents de tous les workloads, quels que soient leur emplacement, leur taille ou leur architecture.
- Protection des conteneurs : privilégiez les fournisseurs de CWPP qui proposent une sécurité des conteneurs ou qui ont clairement établi une feuille de route pour la protection sans serveur, et qui offrent une gestion intégrée de la posture de sécurité du cloud (CSPM) afin d’identifier les configurations à risque.
- Analyse et conformité : l’analyse et la conformité du workload devraient être étendues aux DevOps dans le cadre d’une approche DevSecOps (en particulier avec le développement et le déploiement basés sur les conteneurs et la fonction sans serveur basée sur le PaaS).
- Principes Zero Trust : adoptez une approche de refus par défaut pour la protection des workloads lorsque cela est possible au moment de l’exécution, même si ce n’est qu’en mode détection, au lieu d’une stratégie basée sur un antivirus.
- Flexibilité : concevez des scénarios CWPP dans lesquels vous ne pouvez pas utiliser d’agents d’exécution, ou dans lesquels ils n’ont pas de sens.
Zscaler et la CWPP
Zscaler Workload Communications est une composante clé de la plateforme Zscaler, qui offre une sécurité Zero Trust complète pour vos workloads dans le cloud. La plateforme Zscaler inspecte l’ensemble du trafic inline pour assurer la protection contre les cybermenaces et la perte de données, établit l’identité et le contexte de la demande d’accès, et applique toutes les politiques appropriées avant d’établir la connectivité à Internet, aux applications SaaS ou aux workloads privés.
Zscaler Workload Communications permet à votre entreprise de :
- Sécuriser les applications cloud stratégiques : prévenez les attaques de type « zero day », la perte de données et les attaques de ransomware contre les applications stratégiques afin de garantir la continuité des opérations commerciales.
- Éliminer les VPN de site à site : appliquez des stratégies d’accès sur base du moindre privilège lorsque vous connectez vos workloads cloud situées dans différents VPC/VNets, régions ou clouds publics avec Zero Trust.
- Accélérer les intégrations de fusion et acquisition : rationalisez l’intégration après une fusion et acquisition en permettant l’accès aux applications inter-réseaux sans connecter les réseaux. Administrez une posture de sécurité universelle pour protéger les workloads dans plusieurs VPC, régions et clouds publics.
- Sécuriser l’infrastructure des postes de travail virtuels dans le cloud : sécurisez les VDI persistantes et non persistantes fournies à partir de l’infrastructure cloud en appliquant des politiques de contrôle d’accès aux sites et aux applications privées explicitement autorisés.