Zpedia 

/ Qu’est-ce que la protection des workloads ?

Qu’est-ce que la protection des workloads ?

La protection des workloads définit l’ensemble des contrôles et des protocoles de sécurité du cloud qui sécurisent les communications des workloads entre les environnements. Liée à la sécurité des workloads dans le cloud, la protection des workloads atténue les vulnérabilités causées par les risques de sécurité inhérents tels que les erreurs de configuration. Il s’agit également d’un élément clé de la gestion de la posture de sécurité du cloud (CSPM).
Protection des workloads
Sécurité CloudProtection des données
  1. Pourquoi est-ce si important ?
  2. Sécurité traditionnelle des workloads
  3. Menaces courantes
  4. Avantages
  5. Bonnes pratiques
  6. Rôle d’une CWPP
  7. Zscaler
  8. Ressources suggérées
  9. Autres thèmes similaires

Pourquoi la protection des workloads est-elle importante ?

Les applications cloud sont devenues fondamentales pour les opérations de l’entreprise, et les employés seraient bien en peine d’effectuer leur travail sans y avoir accès. Pour augmenter la productivité des départements, les entreprises adoptent des services cloud comme infrastructure cloud provenant de fournisseurs tels que Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform. Souvent, les entreprises combinent des services SaaS, PaaS et IaaS provenant d’un amalgame de fournisseurs, créant ainsi un environnement multicloud.

Comme les entreprises du monde entier ont déplacé leurs opérations des sites vers le cloud, la protection des workloads dans le cloud est devenue une priorité absolue pour les équipes de sécurité.

Approche axée sur la sécurité

Les fournisseurs de services cloud précités (en particulier les plus grands) disposent d’une cybersécurité solide et intégrée, et font souvent valoir leurs infrastructures sécurisées comme un avantage concurrentiel. Cependant, ces fournisseurs de services cloud utilisent des modèles de responsabilité partagée, en vertu desquels les fournisseurs de services cloud sont responsables de la sécurité de l’infrastructure cloud elle-même, tandis que les clients du cloud conservent la responsabilité de ce qui réside dans le cloud et de ce qui communique, à savoir les applications, les workloads et les données.

À cette fin, le marché propose une pléthore de solutions de sécurité destinées à protéger les workloads qui circulent depuis le cloud et vers celui-ci. Elles sont de plus en plus populaires, car il est devenu évident que les architectures de sécurité traditionnelles ne peuvent pas faire face aux menaces modernes. Pour en comprendre la raison, examinons rapidement la manière dont les workloads étaient sécurisés par le passé, et comment leurs besoins de protection ont évolué au fil du temps.

Comment les workloads traditionnels étaient sécurisés

Les technologies de réseau traditionnelles, telles que les pare-feu ou les machines virtuelles, assuraient une protection adéquate des workloads à une époque où les activités se déroulaient sur site et où les équipes informatiques devaient se soucier d’un volume de données bien moindre. Ces méthodes ont relativement bien fonctionné car les cyberattaques n’étaient pas aussi avancées ni intrusives qu’aujourd’hui et, de surcroît, les applications cloud n’étaient pas encore omniprésentes.

Il va sans dire que le monde s’est quelque peu transformé depuis le début de la décennie. Non seulement les employés travaillent désormais en tout lieu, mais aussi les applications cloud et cloud natives sont devenues indispensables à la productivité quotidienne.

Les professionnels de l’informatique et de la sécurité ont compris que les technologies traditionnelles s’adaptent mal aux environnements cloud. Ces environnements sont élastiques, ne sont que faiblement couplés à l’infrastructure et ne disposent pas d’un périmètre statique sur lequel placer des contrôles de sécurité. En outre, la plupart des entreprises utilisent une combinaison de fournisseurs de services cloud et de data center pour héberger les applications et communiquer les flux de travail, ce qui complique leur capacité à obtenir une visibilité cohérente sur ceux-ci.

Ainsi, les applications et les services doivent être au centre, plutôt qu’en marge, de la planification de la sécurité.

Une dynamique en mutation permanente

Au lieu d’être liés aux chemins de réseau que les applications traversent, les contrôles doivent être directement liés à l’identité des applications et des services qui communiquent. Il ne suffit plus de définir un logiciel par son adresse ou son chemin de trafic ; en effet, les contrôles basés sur les adresses sont susceptibles de changer, surtout dans un environnement cloud, ce qui oblige les équipes de sécurité à élaborer un nombre croissant de règles pour compenser.

La nature éphémère du cloud pose de nombreux défis aux équipes de sécurité. Les anciennes technologies de sécurité sont basées sur un modèle de confiance qui n’est plus valable dans le paysage des menaces actuel. Les périmètres ont pratiquement disparu, le chiffrement rend l’inspection du trafic difficile et la classification des données distribuées est gourmande en ressources. Parallèlement, tous ces défis confèrent au cloud un attrait particulier pour les hackers.

Citation

Les entreprises qui utilisent des plateformes de protection des terminaux (EPP), conçues uniquement pour protéger les appareils des utilisateurs finaux (par exemple, ordinateurs de bureau, ordinateurs portables), afin d’assurer la protection des workloads des serveurs, mettent en danger les données et les applications de l’entreprise.

Gartner

Guide du marché des plateformes de protection des workloads dans le cloud

Menaces courantes relatives à la protection des workloads

Le cloud s’est développé, tout comme le nombre de menaces pesant sur ses données. Le paysage actuel des menaces présente un large éventail d’attaques insaisissables et puissantes qui, sans une protection appropriée des workloads, peuvent facilement causer des ravages dans une entreprise. Voici quelques-unes de ces menaces :

  • Ransomwares cloud : les environnements cloud ne sont pas à l’abri des attaques de malwares et de ransomwares, qui s’y infiltrent pour prendre en otage des données sensibles en échange du paiement d’une rançon.
  • Attaques de la chaîne d’approvisionnement : ces attaques cherchent à s’introduire en implantant une porte dérobée dans les produits, généralement des logiciels, que les entreprises ciblées utilisent. Cela permet aux hackers de diffuser des correctifs automatiques ou des mises à jour logicielles contenant un cheval de Troie qui ouvrent la porte à des malwares et autres attaques.
  • Perte de données : bien qu’il ne s’agisse pas d’une « menace » au sens propre, il s’agit de l’un des plus grands risques du cloud computing. La perte de données est le plus souvent causée par des angles morts dans la protection, ce qui peut conduire à l’exposition de ces données, soit du fait d’une erreur de l’utilisateur, soit d’une action malveillante.

Outre la prévention de ces risques et d’autres risques liés au cloud, la protection des workloads offre d’autres avantages substantiels, que nous allons aborder dans la section suivante.

Avantages en termes de sécurité de la protection des workloads

En ajoutant des contrôles sur des applications spécifiques, plutôt que sur chaque appareil ou utilisateur, la protection des workloads vous aide à répondre à des questions telles que :

  • Quelles applications communiquent ?
  • Lesquelles devraient communiquer ?
  • Les systèmes appropriés communiquent-ils entre eux sans permettre au trafic malveillant de persister ?

En répondant à ces questions, vous pouvez autoriser uniquement les workloads vérifiés à communiquer dans votre environnement de cloud public, privé ou hybride, en atténuant les risques et en offrant le plus haut niveau de protection contre les violations de données. Voici quelques-unes des façons qui illustrent comment une protection efficace des workloads procure à votre équipe un avantage en matière de sécurité :

Complexité réduite

Le suivi des actifs et des inventaires de politiques est compliqué, et le mappage des flux de données dans un cloud est complexe car les services peuvent changer d’emplacement, ce qui augmente le nombre de points de données à surveiller et à gérer. La protection des workloads simplifie le suivi et la protection, et anticipe l’impact du changement en se concentrant sur les applications plutôt que sur l’environnement au sein duquel elles communiquent.

Protection cohérente indépendante de l’emplacement

Les outils de sécurité traditionnels qui se basent sur les adresses IP, les ports et les protocoles comme plan de contrôle ne sont pas adaptés aux environnements cloud. La nature dynamique du cloud rend ces contrôles de sécurité statiques peu fiables, car ils peuvent changer à tout moment, plusieurs fois, au cours d’une même journée. Pour pallier ce problème, les plateformes de protection des workloads déterminent la protection en fonction des propriétés du logiciel lui-même.

Évaluation continue des risques

Les experts en sécurité savent que leurs réseaux d’entreprise sont vulnérables, mais la majorité ne peut pas quantifier le niveau de risque que ces réseaux font courir à l’entreprise, notamment en ce qui concerne l’exposition des applications. La solution de protection des workloads adéquate peut mesurer la surface d’attaque de votre réseau visible en temps réel pour comprendre le nombre de voies de communication possibles utilisées entre les applications.

Citation

Dans tous les cas, la solution doit prendre en charge le besoin croissant de microsegmentation basée sur l’identité (segmentation plus granulaire, définie par logiciel, également appelée segmentation réseau Zero Trust).

Gartner

Guide du marché des plateformes de protection des workloads dans le cloud

Citation

Grâce au mapping topologique de Zscaler Workload Segmentation, je dispose d’une représentation précise de notre environnement en constante évolution et je peux éliminer les chemins d’attaque potentiels qui mettent en danger les données des clients.

John Arsneault, DSI, Goulston & Storr

Bonnes pratiques pour la protection des workloads

La protection des workloads commence par le choix de la bonne plateforme. Voici quelques conseils pour vous aider à vous orienter vers un logiciel de protection des workloads efficace :

  • Intégrez les pratiques DevSecOps : une stratégie DevSecOps intègre la sécurité tout au long du cycle de développement du logiciel (SDLC). Ainsi, les équipes DevOps n’auront pas à s’inquiéter des vulnérabilités potentielles lors de la création et du déploiement des applications.
  • Recourez à la segmentation avec Zero Trust : la segmentation constitue déjà une stratégie éprouvée pour aider à freiner l’infiltration et le déplacement des cybermenaces. La segmentation appliquée avec des politiques de Zero Trust permettra d’éliminer ces déplacements en se basant sur les principes du moindre privilège et de l’authentification contextuelle.
  • Adoptez une plateforme de protection des workloads dans le cloud (CWPP) : une CWPP efficace peut offrir un contrôle et une visibilité cohérents pour les machines physiques, les machines virtuelles, les conteneurs tels que Kubernetes et les workloads sans serveur, où qu’ils se trouvent.

Rôle d’une plateforme de protection des workloads dans le cloud (CWPP)

La segmentation du workload est une stratégie de protection essentielle pour les workloads, car elle élimine l’accès excessif autorisé par les réseaux plats. De tels réseaux permettent aux hackers de se déplacer latéralement et de compromettre les workloads dans les environnements cloud et de data center. En segmentant ou en isolant les applications et en éliminant les voies d’accès inutiles, toute compromission potentielle sera limitée à la ressource concernée, ce qui réduit considérablement le rayon d’action.

La segmentation des applications et des workloads, également appelée microsegmentation, vous permet de créer des groupes intelligents de workloads en fonction des caractéristiques des workloads qui communiquent entre eux. En tant que telle, la microsegmentation ne dépend pas de l’évolution dynamique des réseaux ni des exigences commerciales ou techniques qui leur sont imposées, de sorte qu’elle constitue une sécurité à la fois plus solide et plus fiable.

Comment Zscaler peut vous aider

Zscaler Workload Segmentation est une nouvelle façon, beaucoup plus simple, de segmenter les workloads des applications en un seul clic. ZWS applique à vos workloads une protection basée sur l’identité, sans aucune modification du réseau. Zscaler Workload Segmentation fournit les avantages suivants :

  • Empêche les mouvements latéraux des logiciels malveillants et des ransomwares sur les serveurs, les workloads cloud et les ordinateurs de bureau, et bloque les menaces avec une sécurité Zero Trust.
  • Propose une microsegmentation d’une simplicité unique, optimisée par l’apprentissage automatique, qui automatise la création de politiques et la gestion continue.
  • Fournit une visibilité unifiée sur la communication des applications sur site et dans les clouds publics.

Cette solution quantifie également l’exposition au risque en fonction de la criticité des logiciels communicants, et fait appel à l’apprentissage automatique pour recommander le plus petit nombre possible de politiques de sécurité Zero Trust, ce qui réduit considérablement la probabilité d’une violation de vos données tout en maintenant une solution facile à gérer.

Sécurisez le trafic du workload vers Internet, le trafic multicloud et le trafic multirégional pour vos workloads cloud stratégiques avec Zscaler Workload Communications.

Ressources suggérées

Zscaler Workload Communications
Découvrez nos solutions
Qu’est-ce qu’une plateforme de protection des workloads dans le cloud (CWPP) ?
Lire l'article
Déplacement en amont et vers les niveaux inférieurs avec CWPP
Lire le blog
CNAPP et protection des workloads dans le cloud

01 / 02