Le meilleur niveau de sécurité dans le cloud

Les workloads cloud connaissent une croissance constante. En même temps, la complexité des environnements cloud s’accroît en permanence, tandis que les cycles de développement et des applications se font plus courts. En conséquence, chaque organisation voit augmenter sa responsabilité en matière de protection de ses biens numériques. Une approche efficace pour améliorer la sécurité des réseaux en cloud consiste à associer des facteurs tels que la prévention et la transparence.

Prisma Cloud de Palo Alto Networks est une plateforme de sécurité cloud native (CNSP) complète qui protège les applications, les données et les technologies comme les containers au moyen de fonctions de sécurité et de conformité leaders dans le secteur, ­pendant toute la durée du cycle de vie dans les environnements multi-cloud. Prisma Cloud repose pour cela sur cinq piliers: gestion du niveau de sécurité du cloud (CSPM), protection des workloads cloud (CWPP), ­gestion des droits d’accès à l’infrastructure (CIEM), ­sécurité du réseau (CNS) ainsi que sécurité selon les approches DevSecOps et Shift Left.

CSPM: gérer le niveau de sécurité du cloud

Une sécurité de cloud efficace nécessite d’avoir une vue d’ensemble complète sur toutes les ressources utilisées de tous les prestataires de cloud impliqués. Un inventaire global constitue alors la base de la gestion du niveau de sécurité du cloud. Le module CSPM de Prisma Cloud surveille et consigne les ressources en matière de configuration et de conformité. Pour cela, la solution analyse et normalise les données de journal et d’audit des différentes sources de données du cloud.

L’analyse des comportements des utilisateurs et des objets, associée à la surveillance des charges
de travail et des réseaux, permet de détecter les activités suspectes. Les connaissances ainsi acquises – ­renforcées par un apprentissage automatique – sont ensuite combinées les unes aux autres avant d’être évaluées. Ainsi, les risques et les problèmes de sécurité des ressources utilisées deviennent visibles de façon centralisée. Prisma Cloud aide les responsables de la sécurité à corriger ces problèmes en leur soumettant des propositions et en mettant automatiquement en œuvre les mesures nécessaires sur la base de ­consignes.

CWPP: protéger les workloads cloud

Les entreprises disposent aujourd’hui d’une large palette d’outils et de technologies afin d’exploiter leurs workloads dans le cloud et de mettre des applications modernes à disposition. En complément, elles utilisent souvent une combinaison de machines virtuelles, ­d’offres de Platform as a Service, de containers et de fonctions sans serveur pour des tâches spécifiques. Toutes ces workloads doivent être protégées.

Prisma Cloud intègre sous un même toit toutes les fonctions d’une plateforme de sécurité des workloads cloud complète. Un framework d’agents homogène surveille pour cela l’ensemble du cycle de vie des applications. Les entreprises peuvent ainsi intégrer la ges-tion des vulnérabilités et la conformité dans leurs processus d’intégration et de déploiement continus. Les référentiels de codes et les registres de containers sont surveillés en permanence.

La solution observe le comportement des workloads sur la base de profils, par exemple pour les systèmes de processus, de réseau et de fichiers. Ainsi, des directives runtime permettent de protéger les applications et de consigner et d’empêcher les activités inhabituelles. L’ensemble de la communication réseau peut être consulté en temps réel, ce qui accroît la transparence et simplifie la recherche d’erreurs, par exemple dans les environnements de containers. Les autres fonctions de CWPP incluent la protection des applications Web contre les 10 principaux scénarios d’attaque OWASP, la protection API et les contrôles d’accès basés sur les emplacements.

CIEM: gérer les droits d’accès à l’infrastructure

Face à l’évolution extrêmement dynamique des offres de cloud, de nombreuses entreprises finissent par ne plus s’y retrouver quant aux identités attribuées aux utilisateurs et aux machines et quant à leurs droits. Il est difficile d’attribuer uniquement les droits d’accès strictement nécessaires selon le principe de moindre privilège. Cela représente un risque énorme en matière de sécurité. Prisma Cloud explore en continu les ­environnements IaaS et PaaS, analyse l’ensemble des identités d’utilisateurs et de machines dans tous les environnements cloud en matière de droits, de rôles et de règles et élimine automatiquement les risques en matière de gestion des identités et des accès.

CNS: sécuriser le réseau à l’ère du cloud

Dans les infrastructures cloud natives d’aujourd’hui, une microsegmentation traditionnelle basée sur IP est insuffisante, car les ressources ne sont généralement plus adressées de façon statique. Prisma Cloud mise donc sur une microsegmentation basée sur l’identité: la sécurité est découplée du réseau par les identités et les direc­tives au niveau des applications et de la charge de travail. Cela permet également de simplifier l’évolutivité.

La solution crée de plus une image globale et con­textualisée du risque en intégrant les règles de pare-feu mises en œuvre dans les environnements cloud natifs, et en les comparant avec les protocoles de communication réseau des prestataires de cloud. Les résultats qui en sont tirés sont ensuite enrichis et analysés à ­l’aide de Threat Intelligence. Il devient ainsi possible de détecter et de repousser même les menaces avancées telles que le cryptojacking, les instances infectées par des malwares ou l’implantation et la propagation de parasites dans les environnements cloud.

Palo Alto Networks a en outre développé les pare-­feu de nouvelle génération de la série CN spécifiquement pour les environnements de containers. Ces NGFW (Next-Generation Firewall) offrent une protection complète, où que les applications soient hébergées (avec Kubernetes ou OpenShift dans le propre centre de calcul de l’entreprise, ou avec Google Kubernetes Engine [GKE], Azure Kubernetes Service [AKS] ou Amazon Elastic Kubernetes Service [EKS] sur le cloud public).

La sécurité dans l’univers DevSecOps et Shift Left

De nombreuses organisations ont des difficultés à établir les limites entre leur propre responsabilité en matière de sécurité et celle de leur prestataire de cloud externe. La même chose vaut en interne: une respon­sabilité plus grande est confiée aux développeurs (Shift-Left). Prisma Cloud propose aux développeurs une possibilité intuitive et automatisée de trouver et d’éliminer les vulnérabilités et les erreurs de configuration dans leurs flux de travail et leurs outils de DevOps existants, par exemple dans des modèles Infrastructure as Code (IaC). Ainsi, si les problèmes sont détectés dès le cycle de développement, le temps de travail, les coûts et les risques diminuent.

La meilleure sécurité pour les environnements cloud

La mise en place rapide de différentes technologies de cloud a ouvert aux cybercriminels un nombre exponentiellement supérieur de possibilités d’attaques et de vol de données. Mais la protection des entreprises exige non seulement plus de mesures de sécurité, mais aussi de nouvelles approches pour la sécurité de l’environnement cloud dans son ensemble. Avec Prisma Cloud, Palo Alto Networks propose une plateforme de sécurité cloud native globale (CNSP) avec gestion centralisée, qui protège les données et les applications sur toute la durée de leur cycle de vie – dans chaque cloud.

BOLL Engineering SA

En Budron H15
1052 Le Mont-sur-­Lausanne
Tél. 021 533 01 60
vente@boll.ch
www.boll.ch