Une plateforme de protection des charges de travail en cloud (CWPP) atténue les menaces qui pèsent sur les charges de travail en cloud et sur site.
Cet article s'articule autour des points suivants :
Contenu associé
Plateforme de gestion SaaS (SMP)
Gestion du niveau de sécurité dans le cloud (CSPM)
Gestion du niveau de sécurité du SaaS (SSPM)
Sécurité du cloud
Ordinateur virtuel
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Une plateforme de protection des charges de travail en cloud (CWPP) est un outil de sécurité qui détecte et supprime les menaces à l'intérieur du logiciel cloud. Une CWPP est comme un mécanicien automobile qui identifie les défauts et les pannes à l'intérieur du moteur d'une voiture avant qu'ils ne causent des dommages supplémentaires - sauf qu'elle inspecte l'intérieur des services en cloud, et non les voitures. Les CWPP surveillent automatiquement un large éventail de charges de travail, notamment les serveurs physiques sur site, les machines virtuelles et les fonctions sans serveur.
En informatique, une charge de travail est un programme ou une application qui utilise une certaine quantité de mémoire et de puissance de calcul. Dans l'informatique en cloud, une charge de travail est exactement la même chose, mais elle est hébergée à distance par un fournisseur de clouds.
Par le passé, toutes les charges de travail étaient exécutées sur des machines physiques. À l'ère du cloud computing, cependant, les charges de travail s'exécutent sur un certain nombre de couches d'abstraction différentes.
Une « couche d'abstraction » est le point où les fonctions de haut niveau interagissent avec les fonctions de bas niveau, séparées de telle sorte que quelqu'un ou quelque chose qui interagit avec les fonctions de haut niveau n'est généralement pas conscient des fonctions de bas niveau. Par exemple, la plupart des utilisateurs ne savent pas comment programmer un ordinateur, mais ils peuvent tout de même l'utiliser ; cela est dû au fait que les langages de programmation impliqués sont abstraits grâce à l'utilisation d'interfaces utilisateur graphiques et d'applications conviviales.
Les couches d'abstraction dans l'informatique en cloud ont rendu possible une utilisation plus efficace des serveurs en cloud. Par exemple, les machines virtuelles font abstraction du matériel sous-jacent du serveur. Plusieurs machines virtuelles peuvent fonctionner sur un serveur physique, ce qui permet à plusieurs clients du cloud computing d'utiliser le serveur en même temps.
Mais ces couches d'abstraction complexes ajoutent également de la complexité à l'informatique en cloud - en particulier pour sécuriser la variété des charges de travail en cloud utilisées.
Type : | Modèle de service : | Résumé à : | Lieu d'hébergement : | Environnement : |
---|---|---|---|---|
Serveur | Auto-hébergement | Matériel physique | Sur site | Son propre matériel |
Ordinateur virtuel | IaaS, PaaS, SaaS | Hyperviseur | Cloud ou sur site | Son propre matériel virtuel |
Conteneur | IaaS, PaaS | Noyau du système d'exploitation | Cloud | Son propre système d'exploitation |
Fonction sans serveur | FaaS | Dépend du fournisseur | Cloud | Dépend du fournisseur (Cloudflare utilise Chrome V8) |
Ces différents lieux d'exécution des charges de travail varient considérablement en termes de ressources utilisées, d'emplacement et d'environnement. Les sécuriser revient à essayer de sécuriser à la fois un bureau, une maison privée et un parking. Il n'existe pas d'approche de sécurité unique qui fonctionne pour les trois situations : le parking nécessite une barrière, le bureau peut avoir besoin d'un agent de sécurité et la maison d'une alarme anti-vol, par exemple.
De même, ces différents types d'infrastructure en cloud ont tous des besoins de sécurité légèrement différents. Pour prendre un exemple simple, une machine virtuelle fonctionne comme une machine physique et peut exécuter un nombre quelconque d'applications simultanément. Une application malveillante peut fonctionner aux côtés d'une application légitime dans une machine virtuelle. En revanche, les conteneurs n'exécutent qu'une seule application. Il est donc plus important d'identifier si cette application a été compromise que de s'assurer qu'aucune application malveillante ne s'exécute.
Mais les CWPP détectent et suppriment les menaces sur tous ces types d'infrastructures, en particulier les logiciels malveillants, les vulnérabilités et les applications non autorisées.
Selon Gartner, une société mondiale de recherche et de conseil, ces huit capacités définissent les CWPP :
Les CWPP sont en mesure d'appliquer ces capacités à tout type de charge de travail, y compris les serveurs physiques, les machines virtuelles, les conteneurs et les fonctions sans serveur.
Comme les CWPP peuvent couvrir une gamme de charges de travail, ils sont idéaux pour protéger les infrastructures réparties sur plusieurs clouds. Les déploiements multi-cloud, qui combinent plusieurs clouds publics, et cloud hybride , qui combinent des clouds publics avec des clouds privés et une infrastructure sur site, contiennent une grande variété de types de charges de travail. Un CWPP fournit un « panneau unique de verre » - un endroit où une organisation peut facilement voir et analyser les risques de sécurité du cloud à travers ces charges de travail.
La gestion du niveau de sécurité du cloud (CSPM) est un autre type d'outil automatisé permettant de sécuriser une série de déploiements dans le cloud. La principale différence réside dans le fait que la CSPM est externe et recherche les mauvaises configurations du cloud et les violations de la conformité ; la CWPP est interne et recherche les menaces à l'intérieur du logiciel qui fonctionne dans le cloud.