Comment améliorer la sécurité à l’ère du multicloud ?

2


7

Pour permettre aux décideurs informatiques de bénéficier des avantages du multicloud en matière d’agilité, de flexibilité et de coûts, certaines modifications doivent être apportées dans le domaine de la sécurité.

Le pouvoir de transformation du multicloud gagne du terrain. La nouvelle étude d’IDG, réalisée à la demande de Dell Technologies et VMware, démontre que 86 % des responsables IT utilisent déjà plusieurs Clouds, et que la grande majorité du reste envisage d’adopter le multicloud au cours des deux prochaines années. Les entreprises espèrent gagner en agilité et en flexibilité, et faire des économies en migrant leurs charges applicatives vers le Cloud. De plus, elles ont découvert que les gains en matière de flexibilité et de puissance obtenus avec l’adoption du multicloud sont à leur portée.

Parallèlement, 43 % des personnes interrogées affirment que la sécurité est un défi majeur lorsqu’elles déplacent leurs charges applicatives vers le Cloud, et ce chiffre augmente (56 %) pour les PME. Environ 50 % des responsables IT déclarent ne pas avoir adopté le Cloud en raison des risques de sécurité. Il n’existe pas de solution simple pour venir à bout de cet obstacle, mais il est possible de trouver un consensus en se basant sur les bonnes pratiques relatives à l’amélioration de la sécurité à l’ère du multicloud.

Assurer la sécurité au niveau de la charge applicative

Dissocier les charges applicatives stockées dans le Cloud du matériel sous-jacent permet de changer fondamentalement la donne en termes de protection. À l’ère du multicloud, où les conteneurs et les machines virtuelles transitent librement entre des infrastructures sur site et publiques, la notion de périmètre réseau vole en éclats. Richard Bennett, responsable stratégie et solutions sectorielles EMEA, chez VMware, nous donne un exemple : « Le pont-levis ne fonctionne plus. Le château est bordé d’un fossé rempli de crocodiles, mais que se passe-t-il si vous prenez une perche pour sauter par-dessus ? ».

En effet, même dans un datacenter traditionnel, la majorité du trafic va d’est en ouest (interne). Il est surveillé et contrôlé par des solutions classiques de protection du périmètre, comme des pare-feu et des systèmes de prévention des intrusions. Les scénarios du multicloud vont encore plus loin, car les charges applicatives partagent des hôtes physiques et des ressources du réseau interne avec des tiers inconnus.

Pour assurer la sécurité dans ce type d’architecture, il ne suffit pas de dresser des barrières de protection autour de l’environnement. Le matériel spécifique que vous utilisez peut être modifié en permanence, vous devez donc repenser les protections matérielles. Il convient d’opter pour une solution de sécurité software-defined. Selon Mike van Vliet, Consulting Pursuit Lead EMEA chez Dell Technologies : « Toutes les règles de sécurité […] doivent être mises en œuvre au plus proche des données et des applications, à savoir dans la machine virtuelle ou le conteneur ».

Dans le cadre de cette approche, les mesures de protection, comme les pare-feu d’application et les systèmes de prévention des intrusions sont définies au niveau du logiciel. Elles sont activées et désactivées en même temps que les charges applicatives. Plus important encore, ces ressources sont définies au niveau de la charge applicative, dans le conteneur ou la machine virtuelle. Ainsi, elles restent opérationnelles et en colocation avec les charges applicatives, même lorsqu’elles transitent sur les systèmes internes et externes.

Il est essentiel de dissocier la sécurité du matériel, comme de dissocier les charges applicatives, pour assurer la protection des données indépendamment du système d’exploitation. La sécurité étant assurée au niveau de chaque charge applicative, cette dernière est protégée contre les mouvements latéraux des menaces que les systèmes de défense périphériques ne peuvent pas contrer.

Faire évoluer votre approche de cybersécurité pour favoriser la cyberhygiène

Le compromis de longue date entre la sécurité et la facilité d’utilisation n’est pas inconnu des professionnels de la cybersécurité. On peut citer, par exemple, le verrouillage des ports TCP, qui n’est pas fondamental. Même si vous bloquez ainsi le trafic illicite, vous risquez aussi de bloquer le trafic souhaitable. De même, verrouiller l’image du poste de travail de l’entreprise et refuser des droits d’administrateur à des utilisateurs permet d’éviter des actions qui viendraient compromettre la sécurité, mais vos utilisateurs pourraient mener à bien leur mission plus efficacement.

Cette difficulté à trouver le bon équilibre réside dans les mesures statiques qui ne peuvent jamais précisément s’adapter aux besoins dynamiques du moment. Non seulement elles interfèrent avec l’expérience utilisateur, mais elles sont aussi insuffisantes face aux menaces imprévues. Les opérations multiclouds viennent s’y greffer en créant un environnement plus complexe qui échappe en partie au contrôle de l’organisation propriétaire de la charge applicative.

Une sécurité flexible requiert des mesures qui s’adaptent à tout moment. On peut citer, par exemple, une mesure de sécurité de restriction qui désactive une ressource logicielle en tant que service pouvant provoquer une interruption ou vous faire courir des risques. Il est ici question de trouver un compromis complexe entre profiter de toute la valeur du service et accepter le risque qui l’accompagne.

En revanche, il est indispensable d’adopter une approche axée sur la cyberhygiène, qui revient à surveiller et à évaluer en permanence l’ensemble des services technologiques et de l’environnement IT. Par exemple, si le comportement d’une application est inapproprié, des mesures dédiées sont prises, comme le blocage et la mise en quarantaine. Cela évite un danger classique, à savoir bloquer une innovation en raison d’un environnement IT rigide, tout en s’assurant que sacrifier le contrôle ne nuit pas forcément à l’activité.

Réaliser des audits dès le premier jour

À mesure que les organisations développent des environnements multiclouds, elles sont nombreuses à découvrir que la notion d’infrastructure contrôlée par divers fournisseurs est incompatible avec leurs efforts de contrôle. Cette réalité n’a jamais été aussi évidente que dans leur besoin de justifier la conformité des opérations des fournisseurs externes aux exigences et normes de sécurité internes et externes.

En cas d’audit interne, cet obstacle peut nuire à la réputation du département IT ; tandis que pour les réglementations externes, cela peut représenter une énorme responsabilité financière et opérationnelle.

Il faut admettre que certains aspects de l’infrastructure et des opérations des fournisseurs de Clouds publics sont hors de la portée des entreprises avec lesquelles ils travaillent. Ainsi, il peut être difficile, voire impossible, de définir et de justifier la conformité aux exigences de cyberhygiène dans le cas d’audits internes ou externes.

Même si cet obstacle est quasiment inévitable, les départements IT restent rationnels. Pour eux, être capable de réaliser des audits est une de leurs exigences principales lorsqu’il s’agit d’architectures multiclouds et de leur intégration aux besoins de l’entreprise. L’implication des équipes chargées des audits dès le départ, lors du processus de sélection et de conception, est primordial pour éviter des problèmes par la suite. De plus, cette prévoyance protège l’entreprise de facteurs qui peuvent compromettre la sécurité opérationnelle, même si elle démontre une bonne volonté de l’entreprise dans sa globalité.

Conclusion

Les mesures permettant de protéger les charges applicatives à l’ère du multicloud sont une extension des bonnes pratiques que les entreprises ont développées depuis des décennies. Pour passer à une méthode software-defined, vous devez assurer la sécurité au niveau de la charge applicative. Pour plus de flexibilité, notamment dans un environnement multicloud, il est nécessaire de trouver l’équilibre entre modérer le contrôle et favoriser la cyberhygiène, dans l’optique des anciennes mesures de sécurité de verrouillage. De plus, pour une intégration plus fluide et plus sécurisée d’un ensemble ouvert de ressources publiques avec une infrastructure sur site classique, les possibilités d’audit doivent être prises en compte dès le départ.

Il est essentiel d’adopter le multicloud en toute sécurité, mais une approche structurée d’intégration de ces architectures est indispensable pour réussir. Richard Bennett donne un conseil pour y parvenir : « Ce n’est plus d’actualité de discuter de fournisseur technologique. Ce dont vous avez besoin, c’est d’un partenaire technologique qui s’intéresse en premier lieu aux besoins d’une organisation pour les aligner ensuite sur les impératifs IT ».

En savoir plus sur les solutions Dell Technologies optimisées par Intel® : DellTechnologies.com/fr/ControlYourCloud