Qu'est-ce que la sécurité cloud-native ?

Qu'est-ce que la sécurité cloud-native ?

La sécurité cloud-native fait référence aux pratiques et aux technologies de sécurité conçues pour les difficultés liées à la sécurité qui sont uniques cloud. Les ressources du cloud sont éphémères, configurables, évolutives et intégrées les unes aux autres de nombreuses façons différentes. De nombreux services cloud transfèrent également la responsabilité de la sécurité des clients vers les fournisseurs de cloud. Si l'utilisation du cloud réduit généralement les risques de sécurité traditionnels associés à l'infrastructure sur site, de nombreux nouveaux risques associés au cloud doivent être gérés à l'aide d'une sécurité cloud-native.

La sécurité cloud-native s'oppose à la sécurité conçue pour protéger l'infrastructure sur site. Elle est conçue pour protéger l'infrastructure des applications dans le cloud tout en assurant la conformité et la gouvernance des données, alors même que nous assistons à une réorientation majeure des fonctions, des services, des API et (potentiellement) des équipements physiques sous-jacents aux applications cloud.

En quoi la sécurité cloud-native est-elle importante ?

Les applications cloud évoluent constamment. Les logiciels basés sur le cloud font abstraction du matériel informatique. La protection d'un serveur, d'un ordinateur, d'un datacenter ou d'un réseau local donné n'a donc aucune importance pour la sécurité des applications cloud.

Imaginez un système de sécurité domestique : un propriétaire soucieux de la sécurité installera des capteurs sur les portes et les fenêtres de sa maison pour empêcher les entrées non autorisées. Mais si le propriétaire rénove sa maison et décide d'ajouter de nouvelles fenêtres et déplace les portes, le système de sécurité doit être reconfiguré.

Les applications cloud sont comme une maison en rénovation constante : un système de sécurité à l'ancienne qui repose sur une architecture statique et immuable ne sera probablement pas très efficace et exigera en permanence une reconfiguration manuelle. Cependant, la sécurité cloud-native n'a pas été pensée selon le principe que tout est toujours au même endroit. Elle se concentre plutôt sur la sécurisation des charges de travail et des identités, ainsi que sur la surveillance continue du trafic et des événements dans le cloud.

Que sont les applications cloud-native ?

Les applications cloud-native sont conçues pour et déployées dans le cloud. Leur architecture est généralement flexible et hautement évolutive et leur exécution se déroule en de multiples emplacements ; c'est pourquoi les approches périmétriques de la sécurité ne sont souvent pas très efficaces ; d'où la nécessité d'une sécurité cloud-native.

Un certain nombre d'architectures différentes peuvent être utilisées pour les applications basées sur le cloud, soit seules, soit en combinaison les unes avec les autres. Elles peuvent être constituées de microservices, de fonctions serverless, de backends basés sur des conteneurs ou d'une combinaison de ces éléments.

Les caractéristiques communes à toutes ces architectures tiennent à la fréquence des changements et expansions, ainsi qu'à l'informatique à la demande. Les fonctions qui comprennent un backend serverless, par exemple, s'exécutent et évoluent selon les besoins, au lieu de fonctionner en permanence avec une puissance de calcul définie.

Les applications qui ne sont pas conçues pour le cloud sont souvent « monolithiques ». Ces applications constituent une pile autonome, et les mises à jour s'appliquent à l'ensemble de l'application. Les applications cloud-native, en revanche, sont composées de plusieurs éléments, souvent connectés par l'intermédiaire d'API. Ces éléments peuvent être déplacés, modifiés, mis à jour ou étendus indépendamment les uns des autres.

Les applications cloud-native comportant plusieurs couches d'abstraction, retirées des équipements et réseaux régionalisés et sur site, il n'y a pas de « périmètre du réseau» à défendre. Les mesures de sécurité traditionnelles s'efforcent de maintenir les menaces à l'écart d'un réseau clairement défini. Parfois, ces mesures de sécurité sont adoptées pour défendre le cloud, mais la solution est souvent maladroite et ne permet pas d'évoluer de manière flexible. La sécurité cloud-native est quant à elle conçue spécifiquement pour les architectures basées sur le cloud.

Quels sont les principaux risques liés à la sécurité des applications cloud-native ?

Une infrastructure qui se développe et qui change rapidement peut élargir la surface d'attaque d'une application. Les principales menaces sont les suivantes :

• Risques liés à la sécurité des API : les fonctions, conteneurs et microservices qui composent les applications cloud-native se connectent les uns aux autres via des API. Les vulnérabilités de la sécurité des API peuvent exposer des données, ouvrir l'accès à des acteurs malveillants ou mettre en danger les applications cloud-native de nombreuses autres manières.
• Mauvaises configurations : les erreurs de configuration dans les déploiements cloud font peser un risque majeur sur les données dans le cloud. Il est possible que les déploiements cloud se trouvent accidentellement exposés à l'Internet public ou qu'ils soient mal configurés, ce qui peut entraîner d'importantes violations de données.
• Menaces internes : les utilisateurs internes ayant accès aux données du cloud peuvent accidentellement ou par malveillance modifier, copier ou supprimer des données.
• Exfiltration de données : le cloud offre un grand nombre de vecteurs d'attaque pour le transfert non autorisé de données sensibles, en raison du grand nombre de services cloud intégrés dans la plupart des applications basées sur le cloud et de la nature mutualisée de l'infrastructure cloud.
• Manque de visibilité : les applications cloud reposent sur une infrastructure détenue et exploitée par des tiers. Cette situation présente l'avantage de réduire considérablement les frais généraux associés au développement cloud-native, mais a pour inconvénient le manque de visibilité sur l'endroit où se trouvent les données, l'endroit où les charges de travail s'exécutent et la destination des données. En outre, les déploiements de l'informatique fantôme (Shadow IT) (c'est-à-dire l'utilisation de services ou d'applications non autorisés) constituent une préoccupation majeure, car ils ne sont pas surveillés.
• Risques pour la conformité : dans le cloud, du fait de ce manque de visibilité, il peut être difficile de contrôler où vont les données et comment elles sont consultées, ce qui rend difficile la conformité aux réglementations régionales en matière de données.

Quels sont les composants d'une sécurité cloud-native ?

• Gestion des identités et des accès (IAM) : ces fonctionnalités vérifient l'identité ou la nature d'une entité et ce qu'elle est autorisée à faire. De la même façon, IAM dans le cloud doit vérifier l'identité des utilisateurs, des applications, des serveurs et des API. En outre, l'accès de toutes ces entités doit être étroitement contrôlé et surveillé. Si un utilisateur ou un service est compromis et dispose d'un accès trop large, cela peut entraîner une violation de données majeure. Le principe du moindre privilège contribue à garantir qu'aucun utilisateur, service ou appareil ne bénéficie d'un accès trop large.
• Sécurité des charges de travail : l'un des truismes de la sécurité moderne est que les menaces peuvent tout aussi facilement être présentes au sein qu'en dehors d'une application. La sécurité des charges de travail consiste à rechercher des menaces à l'intérieur des charges de travail dans le cloud (une charge de travail correspond à un programme ou une application qui utilise une certaine quantité de puissance de calcul). Les charges de travail sont exécutées à différentes couches d'abstraction dans le cloud, qu'il s'agisse de conteneurs , de machines virtuelles ou de fonctions serverless. La sécurité des charges de travail (comme celle proposée par la solution CWPP) recherche le code malveillant et les vulnérabilités connues dans tous ces différents environnements.
• Protection des API et des applications web (WAAP pour Web application and API protection) : les applications cloud-native doivent être sécurisées contre les attaques de la couche applicative, des attaques par injection aux attaques par déni de service distribué (DDoS). Les API, qui sont intégrées dans presque toutes les applications modernes, nécessitent également une protection, car elles sont vulnérables à un certain nombre d'attaques.
• Sécurité du réseau : la sécurité cloud-native analyse également l'ensemble du trafic réseau afin d'identifier et d'atténuer le trafic malveillant, mais aussi d'empêcher les données sensibles de quitter les environnements sécurisés.
• Analyse par infrastructure en tant que code (IaC) : l'infrastructure en tant que code (IaC) est une solution permettant de gérer et de configurer l'infrastructure cloud à l'aide d'un code (des scripts) au lieu de processus manuels. L'analyse IaC recherche les menaces et les vulnérabilités dans ces scripts.
• Gestion du niveau de sécurité du cloud (CSPM) : le CSPM est un outil automatisé qui analyse l'infrastructure du cloud à la recherche de mauvaises configurations de sécurité, d'éventuelles violations de la conformité et de vulnérabilités.
• Protection des données : afin de garantir la sécurité des données et la conformité, les entreprises doivent identifier toutes les données stockées par une application cloud-native, découvrir où se trouvent ces données et veiller à ce qu'elles soient protégées.
• Surveillance et établissement de rapports en continu : les applications et l'infrastructure cloud doivent être surveillées et consignées en permanence, afin de détecter les anomalies susceptibles d'indiquer une violation ou une vulnérabilité. La surveillance peut également détecter les mauvaises configurations de sécurité.

Qu'est-ce qu'un CNAPP ?

Une plateforme de protection des applications cloud-native (CNAPP) est un type de solution de sécurité qui assure la sécurité et la conformité cloud tout en un pour les applications. Les CNAPP peuvent aider les développeurs et les équipes de sécurité à identifier les menaces et les failles le plus tôt possible dans le cycle de développement, évitant que les problèmes ne soient découverts qu'après le déploiement.

Comment Cloudflare sécurise-t-il les applications cloud-native ?

Grâce à ses services CASB ( Cloud Access Security Broker ) et WAAP, Cloudflare garantit une visibilité en profondeur sur les applications SaaS et cloud, détecte les erreurs de configuration, bloque les attaques et contribue à prévenir l'exposition des données dans les applications et l'infrastructure cloud. Découvrez comment Cloudflare protège les applications, les API et les données dans les environnements hybrides et multi-cloud.