Comme de nombreux RSSI le découvrent, la protection des environnements cloud natifs nécessite un changement fondamental de mentalité lorsqu’il s’agit de tenir les menaces à distance. L’énorme changement dans la pile technologique, la livraison rapide des mises à jour logicielles et l’utilisation sans entrave de l’open source, présentent tous de nouveaux défis que les outils de sécurité à l’ancienne ne peuvent pas résoudre.
Plutôt que d’utiliser différentes solutions ponctuelles qui ne résolvent que des problèmes de sécurité spécifiques et doivent être assemblés manuellement, Gartner recommande adoptant une solution de cycle de vie complet unifiée et de bout en bout qui commence dans le développement et s’étend pour fournir une protection complète de l’exécution. En d’autres termes, une plate-forme de protection des applications native dans le cloud (CNAPP).
Le problème est que toutes les CNAPP ne sont pas la « vraie affaire », ce qui explique pourquoi de nombreuses organisations se retrouveront aux prises avec un flux croissant de vulnérabilités émanant de leurs pipelines CI/CD d’une part. Pendant ce temps, leurs équipes SecOps sont submergées d’alertes et de problèmes de configuration découlant de leurs environnements de production.
Pour comprendre ce qui constitue réellement une plate-forme complète de sécurité cloud native de bout en bout, examinons d’abord les implications du cloud native dans une perspective de sécurité d’entreprise plus large.
Maîtriser la sécurité native du cloud : les bases
Le cloud natif a généré un énorme changement dans la manière dont les applications modernes d’aujourd’hui sont construites. Celui qui a vu les organisations adopter de nouvelles méthodologies agiles et devenir de plus en plus dépendantes du code open source. Ils utilisent également des microservices avec plusieurs ports par application qui s’avèrent être une cible de choix pour les cybercriminels. Mais ce n’est pas tout.
Ils utilisent également des outils tels que Kubernetes pour automatiser le déploiement, la mise à l’échelle et la gestion d’un nombre croissant d’applications basées sur des conteneurs. Le problème est que les outils de sécurité traditionnels basés sur le réseau n’ont jamais été conçus en pensant au trafic natif du cloud et ont des capacités limitées dans ces nouveaux environnements orchestrés de manière dynamique. Ils s’avèrent également inefficaces lorsqu’il s’agit d’entreprendre une surveillance rapide et efficace des terminaux et une réponse aux incidents dans un environnement de microservices distribués.
Comme le découvrent les responsables informatiques et infosec, le cloud natif change les règles du jeu lorsqu’il consiste à gérer l’exposition globale au risque de l’entreprise. En plus d’obtenir une visibilité approfondie sur tous les composants open source pour s’assurer que les vulnérabilités de sécurité peuvent être identifiées avant que les applications ne soient mises en production, ils doivent désormais s’assurer que les contrôles de sécurité suivent les charges de travail où qu’elles soient exécutées pour assurer une protection partout.
Malheureusement , s’appuyer sur les offres de sécurité fournies par les principaux hyperscalers cloud n’est pas la solution, car ces services ne fourniront pas une vue panoramique unique sur chaque environnement d’entreprise. Et c’est particulièrement difficile pour les organisations qui cherchent à poursuivre une stratégie multi-cloud.
Ce qu’il faut, c’est une solution de sécurité de bout en bout qui permette aux entreprises de créer, d’expédier et d’exécuter en toute sécurité leurs applications cloud natives. et permettent une protection complète de l’exécution dans chaque environnement. Et c’est là que le CNAPP entre en jeu.
Tout protéger, partout, tout le temps
Toutes les solutions du CNAPP ne sont pas la vraie solution en matière de offrant la protection unifiée et de bout en bout dont les entreprises d’aujourd’hui ont besoin. Par exemple, une solution qui analyse les vulnérabilités des conteneurs mais ignore les autres aspects de sécurité liés au cloud natif n’est pas CNAPP.
Lorsqu’il s’agit d’identifier les attributs essentiels qu’un CNAPP doit posséder, les RSSI et les responsables informatiques devrait être à la recherche de solutions capables :
d’analyser, de suivre, de surveiller et de contrôler tous les types de charges de travail cloud natives (conteneurs, fonctions sans serveur et machines virtuelles). outils as-code (IaC), fournisseurs de cloud et bien plus encore. Prend en charge la sécurité du cloud multi-cloud et hybride sans avoir besoin de reconfigurer les contrôles ou les politiques pour chaque environnement: sécurisé une fois, exécuté partout et avec un minimum d’effort. La solution ne peut pas analyser le code en phase de construction et maintenir l’intégrité de la construction au déploiement, ce n’est pas une véritable solution CNAPP.
Viser l’or : ce qui différencie les meilleures solutions CNAPP des autres
Pour transformer leur posture de sécurité native dans le cloud, les organisations devront déployer des solutions de niveau entreprise des solutions de sécurité cloud natives spécialement conçues pour arrêter les attaques cloud natives du développement à la production, tout en sécurisant l’infrastructure sous-jacente.
Les meilleures solutions de leur catégorie offriront des fonctionnalités unifiées dans plusieurs catégories de sécurité cloud. Tout, depuis l’analyse des artefacts vers la gauche, la gestion de la posture de sécurité CSPM et Kubernetes, et la protection de la charge de travail dans le cloud pendant l’exécution.
Les CNAPP les plus robustes et les plus complets disposent également d’une solution de sécurité intégrée de la chaîne d’approvisionnement qui empêche l’exposition aux risques potentiels de sécurité logicielle qui peuvent être introduits via des packages et des outils tiers.
Enfin, les meilleures solutions offriront également des fonctionnalités telles que des capacités de prévention de la dérive qui garantissent l’immuabilité des charges de travail au moment de l’exécution, ainsi qu’une surveillance proactive de la charge de travail qui la rend possible de bloquer toute activité de conteneur suspecte sans temps d’arrêt ni redémarrage. Tout cela permet aux entreprises de détecter et d’arrêter les attaques partout où les applications sont déployées-sur site, dans le cloud public ou dans un environnement hybride.
Crédit photo : allepu/Shutterstock
Rani Osnat est SVP Strategy chez Aqua Sécurité.