Qu’est-ce que la protection des charges de travail dans le Cloud ?
La protection des charges de travail dans le Cloud est le processus de sécurisation des charges de travail qui se déplacent dans différents environnements Cloud. L’ensemble de la charge de travail doit être fonctionnel pour qu’une application Cloud fonctionne correctement sans introduire de risques de sécurité. La sécurité des charges de travail dans le Cloud et la protection des charges de travail pour les services applicatifs sont donc fondamentalement différentes de la sécurité des applications sur un poste de travail.
Les cybercriminels multiplient les attaques par rançongiciel et ciblent les entreprises. Avec la prolifération des infrastructures de Cloud Computing, les vulnérabilités augmentent. Les stratégies de sécurité qui s’appuient sur la protection préventive des terminaux ou qui limitent l’accès aux terminaux ne tiennent pas compte de ce qui se passe dans le Cloud. Pour se défendre contre les cyberattaques, les entreprises qui utilisent des Clouds privés et publics doivent se protéger contre les dommages au niveau des charges de travail, et pas seulement au niveau des terminaux.
Présentation de la sécurité des charges de travail VMware
Protection avancée des charges de travail pour les Data Centers modernes
Pourquoi la protection des charges de travail dans le Cloud est-elle importante ?
Une charge de travail est constituée de tous les processus et ressources qui prennent en charge une application et les interactions avec elle. Dans le Cloud, la charge de travail inclut l’application, les données générées par une application ou saisies dans une application et les ressources réseau qui prennent en charge une connexion entre l’utilisateur et l’application. Une application Cloud ne fonctionnera pas correctement si une partie de la charge de travail est compromise.
La sécurité des charges de travail est particulièrement compliquée dans les architectures de Data Center hybrides qui utilisent tout, des machines physiques on premise aux environnements d’infrastructure sous forme de service (IaaS) de Cloud public, en passant par les architectures d’applications basées sur des conteneurs. La sécurité des charges de travail dans le Cloud est particulièrement complexe, car lorsque les charges de travail passent entre plusieurs fournisseurs et hôtes, la responsabilité de la protection de la charge de travail doit être partagée.
Protection des charges de travail dans le Cloud avec une CWPP
Gartner définit une plate-forme de protection des charges de travail dans le Cloud (CWPP) comme une solution technologique « principalement utilisée pour sécuriser les charges de travail des serveurs dans les infrastructures de Cloud public sous forme de service ». Les CWPP permettent à plusieurs fournisseurs et clients de Cloud public de s’assurer que les charges de travail restent sécurisées lorsqu’elles passent par leur domaine.
Il existe deux manières principales de protéger les charges de travail avec la technologie CWPP : Micro-segmentation et hyperviseurs bare-metal.
Micro-segmentation : Pour garantir la protection des charges de travail, l’une des méthodes consiste à mettre en œuvre une technique de sécurité réseau appelée micro-segmentation. Avec la micro-segmentation, les architectes de sécurité divisent le Data Center en segments de sécurité distincts jusqu’au niveau de chaque charge de travail, puis définissent des contrôles de sécurité pour chaque segment. La technologie de virtualisation du réseau remplace les pare-feu physiques et permet à la micro-segmentation de définir des règles de sécurité flexibles qui isolent et protègent les charges de travail individuelles. Alors que la protection des terminaux est conçue pour empêcher les menaces de pénétrer dans un environnement, la micro-segmentation empêche les logiciels malveillants de migrer d’un serveur à l’autre au sein de l’environnement.
Hyperviseur bare-metal : Un hyperviseur bare-metal peut offrir une protection supplémentaire des charges de travail. Un hyperviseur est un type de logiciel de virtualisation qui prend en charge la création et la gestion de machines virtuelles en séparant le logiciel de son matériel. Un hyperviseur bare-metal est installé directement sur le matériel d’une machine physique, entre le matériel et le système d’exploitation. Étant donné qu’un hyperviseur crée des machines virtuelles isolées les unes des autres, si une machine virtuelle rencontre un problème ou fait l’objet d’une attaque, le problème est isolé sur ce serveur, ce qui signifie que les charges de travail des autres machines virtuelles ne sont pas affectées.
Certaines solutions CWPP prennent en charge des couches de sécurité activées par l’hyperviseur, spécialement conçues pour protéger les charges de travail dans le Cloud.
En quoi la protection des charges de travail est-elle différente de la sécurité des applications ?
La sécurité des applications fait référence au déploiement local d’applications sur les postes de travail avec un utilisateur accédant à chaque instance de l’application. Les seules failles de sécurité dans les applications sur les postes de travail sont des vulnérabilités au sein du code de l’application ; le reste de l’environnement peut être ignoré. Historiquement, les services informatiques pouvaient assurer la sécurité des applications en sécurisant les postes de travail et en empêchant les menaces de les atteindre.
Les applications Cloud nécessitent une autre forme de sécurité des applications. L’abstraction entre l’utilisateur et l’application crée davantage d’opportunités de vulnérabilité, en particulier si une entreprise ne contrôle pas une partie de l’environnement à l’aide du Cloud public. Parce qu’une application Cloud ne peut pas fonctionner sans que toutes les parties de la charge de travail ne fonctionnent correctement, les entreprises doivent sécuriser et surveiller chaque partie de la charge de travail, pas seulement l’application.
Les avantages de la protection des charges de travail
Le défi des applications basées sur le Cloud est qu’une charge de travail peut se déplacer dans plusieurs environnements différents, tous détenus et protégés par différents fournisseurs et technologies. Les CWPP peuvent assurer la protection des charges de travail dans ces environnements. La mise en œuvre d’une solution de protection des charges de travail via une CWPP présente de nombreux avantages :
Surveillance comportementale des charges de travail : La surveillance comportementale des charges de travail est une partie importante de la protection des charges de travail dans le Cloud. Les CWPP offrent deux aspects importants de la sécurité des charges de travail via la surveillance des charges de travail : la détection et la réponse. En surveillant le comportement des charges de travail, une CWPP peut détecter une intrusion partout où elle se produit et envoyer une alerte.
Visibilité sur les charges de travail et la possibilité de les configurer : Voir ce qui se passe dans les charges de travail individuelles et être en mesure de les configurer pour gérer les vulnérabilités est un aspect important de la protection des charges de travail.
Consolidation de la gestion des journaux et de la surveillance : Lorsque chaque partie de la charge de travail est associée à une technologie de sécurité différente, la surveillance de l’ensemble peut prendre beaucoup de temps. Une CWPP offre une console unique qui montre ce qui se passe avec chaque partie de la charge de travail dans chaque environnement.
Renforcement du système et gestion des vulnérabilités : Une CWPP peut vous aider à éliminer les vecteurs d’attaque potentiels en identifiant les applications, autorisations, programmes, comptes, fonctions, code, etc. superflus qui pourraient poser des risques de sécurité.
Protection de la mémoire : La protection de la mémoire, incluse dans quelques CWPP seulement, est un contrôle de sécurité émergent qui gagne en importance à mesure que les hackers développent de nouvelles techniques pour exploiter les faiblesses de la mémoire et contourner facilement les méthodes de sécurité traditionnelles.
Mise à jour des informations sur les menaces : Certaines CWPP partagent des informations sur les menaces dans les bases de clients, fournissant ainsi un système d’alertes précoces pour les nouvelles menaces.
Le paysage de la sécurité continue d’évoluer et les systèmes de sécurité legacy ne suffisent plus pour les entreprises qui utilisent le Cloud dans le cadre de leur infrastructure informatique. Les entreprises doivent planifier la protection des charges de travail dans plusieurs environnements Cloud. Une plate-forme de protection des charges de travail dans le Cloud peut fournir une visibilité sur plusieurs environnements tout en consolidant et en agissant sur les alertes de sécurité à partir d’un dashboard.
Solutions et produits connexes
VMware Carbon Black Cloud Workload
Réduisez la surface d’attaque et protégez les ressources stratégiques grâce à une protection des charges de travail spécifiquement conçue pour les Data Centers modernes.