Qu'est-ce que la plateforme de protection de la charge de travail dans le cloud (CWPP) ?

Une plateforme de protection des charges de travail en cloud (CWPP) atténue les menaces qui pèsent sur les charges de travail en cloud et sur site.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir la plate-forme de protection des charges de travail dans le cloud (CWPP)
  • Expliquez les types de charges de travail que les CWPP protègent.
  • Liste des principales capacités du CWPP

Copier le lien de l'article

Qu'est-ce que la plateforme de protection de la charge de travail dans le cloud (CWPP) ?

Une plateforme de protection des charges de travail en cloud (CWPP) est un outil de sécurité qui détecte et supprime les menaces à l'intérieur du logiciel cloud. Une CWPP est comme un mécanicien automobile qui identifie les défauts et les pannes à l'intérieur du moteur d'une voiture avant qu'ils ne causent des dommages supplémentaires - sauf qu'elle inspecte l'intérieur des services en cloud, et non les voitures. Les CWPP surveillent automatiquement un large éventail de charges de travail, notamment les serveurs physiques sur site, les machines virtuelles et les fonctions sans serveur.

What is a cloud workload ?

En informatique, une charge de travail est un programme ou une application qui utilise une certaine quantité de mémoire et de puissance de calcul. Dans l'informatique en cloud, une charge de travail est exactement la même chose, mais elle est hébergée à distance par un fournisseur de clouds.

Par le passé, toutes les charges de travail étaient exécutées sur des machines physiques. À l'ère du cloud computing, cependant, les charges de travail s'exécutent sur un certain nombre de couches d'abstraction différentes.

Une « couche d'abstraction » est le point où les fonctions de haut niveau interagissent avec les fonctions de bas niveau, séparées de telle sorte que quelqu'un ou quelque chose qui interagit avec les fonctions de haut niveau n'est généralement pas conscient des fonctions de bas niveau. Par exemple, la plupart des utilisateurs ne savent pas comment programmer un ordinateur, mais ils peuvent tout de même l'utiliser ; cela est dû au fait que les langages de programmation impliqués sont abstraits grâce à l'utilisation d'interfaces utilisateur graphiques et d'applications conviviales.

Les couches d'abstraction dans l'informatique en cloud ont rendu possible une utilisation plus efficace des serveurs en cloud. Par exemple, les machines virtuelles font abstraction du matériel sous-jacent du serveur. Plusieurs machines virtuelles peuvent fonctionner sur un serveur physique, ce qui permet à plusieurs clients du cloud computing d'utiliser le serveur en même temps.

Mais ces couches d'abstraction complexes ajoutent également de la complexité à l'informatique en cloud - en particulier pour sécuriser la variété des charges de travail en cloud utilisées.

Type : Modèle de service : Résumé à : Lieu d'hébergement : Environnement :
Serveur Auto-hébergement Matériel physique Sur site Son propre matériel
Ordinateur virtuel IaaS, PaaS, SaaS Hyperviseur Cloud ou sur site Son propre matériel virtuel
Conteneur IaaS, PaaS Noyau du système d'exploitation Cloud Son propre système d'exploitation
Fonction sans serveur FaaS Dépend du fournisseur Cloud Dépend du fournisseur (Cloudflare utilise Chrome V8)

Ces différents lieux d'exécution des charges de travail varient considérablement en termes de ressources utilisées, d'emplacement et d'environnement. Les sécuriser revient à essayer de sécuriser à la fois un bureau, une maison privée et un parking. Il n'existe pas d'approche de sécurité unique qui fonctionne pour les trois situations : le parking nécessite une barrière, le bureau peut avoir besoin d'un agent de sécurité et la maison d'une alarme anti-vol, par exemple.

De même, ces différents types d'infrastructure en cloud ont tous des besoins de sécurité légèrement différents. Pour prendre un exemple simple, une machine virtuelle fonctionne comme une machine physique et peut exécuter un nombre quelconque d'applications simultanément. Une application malveillante peut fonctionner aux côtés d'une application légitime dans une machine virtuelle. En revanche, les conteneurs n'exécutent qu'une seule application. Il est donc plus important d'identifier si cette application a été compromise que de s'assurer qu'aucune application malveillante ne s'exécute.

Mais les CWPP détectent et suppriment les menaces sur tous ces types d'infrastructures, en particulier les logiciels malveillants, les vulnérabilités et les applications non autorisées.

Quelles sont les principales capacités du CWPP ?

Selon Gartner, une société mondiale de recherche et de conseil, ces huit capacités définissent les CWPP :

  1. Durcissement, configuration et gestion des vulnérabilités : les CWPP permettent de s'assurer qu'aucune vulnérabilité n'est présente dans les logiciels, avant même leur mise en production.
  2. Pare-feu, visibilité et microsegmentation du réseau : un CWPP protège et microsegmente un réseau. Ce dernier terme signifie la division d'un réseau en portions plus petites de sorte qu'un attaquant ne puisse pas compromettre l'ensemble du réseau en une seule fois.
  3. Assurance de l'intégrité du système : un CWPP s'assure que les systèmes en cloud fonctionnent comme prévu.
  4. Contrôle des applications et liste d'autorisations : un CWPP autorise et bloque les applications sur la base d'une liste d'applications autorisées.
  5. Prévention des exploits et protection de la mémoire : les CWPP empêchent l'exploitation des vulnérabilités dans les logiciels en cours d'exécution.
  6. Détection et réponse aux points d'extrémité de la charge de travail du serveur (EDR), surveillance du comportement et détection et réponse aux menaces : les CWPP réagissent aux changements suspects dans le comportement des serveurs et des applications, ainsi qu'aux menaces actives.
  7. Prévention des intrusions sur l'hôte avec protection contre les vulnérabilités : les CWPP empêchent les incursions externes dans les serveurs.
  8. Analyse anti-logiciel malveillant : les CWPP détectent les logiciels malveillants intégrés dans les charges de travail en cloud.

Les CWPP sont en mesure d'appliquer ces capacités à tout type de charge de travail, y compris les serveurs physiques, les machines virtuelles, les conteneurs et les fonctions sans serveur.

Comment les CWPP protègent-ils les déploiements de clouds multiples et hybrides ?

Comme les CWPP peuvent couvrir une gamme de charges de travail, ils sont idéaux pour protéger les infrastructures réparties sur plusieurs clouds. Les déploiements multi-cloud, qui combinent plusieurs clouds publics, et cloud hybride , qui combinent des clouds publics avec des clouds privés et une infrastructure sur site, contiennent une grande variété de types de charges de travail. Un CWPP fournit un « panneau unique de verre » - un endroit où une organisation peut facilement voir et analyser les risques de sécurité du cloud à travers ces charges de travail.

Quelle est la différence entre un CWPP et la gestion du niveau de sécurité du cloud (CSPM) ?

La gestion du niveau de sécurité du cloud (CSPM) est un autre type d'outil automatisé permettant de sécuriser une série de déploiements dans le cloud. La principale différence réside dans le fait que la CSPM est externe et recherche les mauvaises configurations du cloud et les violations de la conformité ; la CWPP est interne et recherche les menaces à l'intérieur du logiciel qui fonctionne dans le cloud.

En savoir plus sur la GPSC.

Service commercial