Zpedia 

/ Qu’est-ce que le cloud enclaving ?

Qu’est-ce que le cloud enclaving ?

Le cloud enclaving est une méthode de segmentation des workloads effectuée dans un environnement cloud afin de contrôler l’accès et de sécuriser l’infrastructure cloud, les applications et les données sensibles contre les malwares qui se propagent automatiquement, les violations de données et autres attaques. Les enclaves cloud utilisent un périmètre défini par logiciel (SDP) pour créer une infrastructure protégée dans laquelle vous pouvez déployer le contrôle d’accès, l’évaluation de la confiance, la gestion des certificats, etc. Le cloud enclaving est également appelé « segmentation des workloads cloud » ou « microsegmentation ».

Zero trustSécurité Cloud
  1. Cloud enclaving et segmentation traditionnelle
  2. Avantages
  3. Zscaler et cloud enclaving
  4. Ressources suggérées
  5. Autres thèmes similaires

En quoi le cloud enclaving diffère-t-il de la cybersécurité traditionnelle ?

Le cloud enclaving est conçu pour répondre aux besoins des entreprises digitales modernes d’une façon qui échappe aux solutions de sécurité traditionnelles. Mettons cela dans un contexte historique pour en comprendre la raison.

Il y a quelques années, lorsque les applications et les données étaient hébergées dans le data center sur site d’une entreprise et que les employés travaillaient essentiellement depuis ces mêmes locaux, la sécurité réseau traditionnelle basée sur le périmètre offrait un niveau de sécurité acceptable. Aujourd’hui, la mondialisation et le travail hybride ont favorisé l’avènement du cloud, où les anciens modèles sont totalement inefficaces.

Dans le cloud, les différents workloads critiques d’une même entreprise peuvent être hébergés par plusieurs fournisseurs de services cloud (par exemple, Amazon Web Service [AWS], Microsoft Azure), auxquels les utilisateurs accèdent via Internet. En termes pratiques, cela signifie qu’il n’y a plus de « périmètre de réseau », ce qui ouvre beaucoup plus de portes à de potentielles attaques. Le cloud enclaving compense cette situation en faisant de la place pour des politiques de sécurité personnalisées qui limitent le trafic vers et depuis des workloads spécifiques uniquement à ce qui est explicitement autorisé.

Qu’est-ce qu’une enclave ?

Une enclave est une partie d’un réseau, séparée du reste du réseau et régie par des politiques de sécurité granulaires. L’objectif d’une enclave sécurisée est de garantir l’accès sur la base du moindre privilège aux ressources critiques dans le cadre d’une stratégie de sécurité de défense en profondeur.

Segmentation du réseau et cloud enclaving

La segmentation du réseau est utilisée de préférence pour le trafic entrant-sortant ou nord-sud (entre votre environnement et des emplacements extérieurs), tandis que le cloud enclaving ajoute une couche de protection pour le trafic interne ou est-ouest (serveur à serveur, application à serveur, Web à serveur, etc. à l’intérieur de votre environnement). Examinons les deux options plus en détail.

Segmentation du réseau

Par rapport à un modèle basé sur le périmètre qui sécurise uniquement un réseau contre l’extérieur, la segmentation du réseau est une approche plus nuancée. En effet, elle divise un réseau en « sous-réseaux » et applique à chacun des protocoles de sécurité et de conformité. Le trafic entre les segments est généralement séparé à l’aide d’un VLAN avant de passer par un pare-feu.

Malheureusement, cette approche étant basée sur les adresses IP, elle ne peut identifier que la manière dont une demande est arrivée (c’est-à-dire son adresse IP, son port ou son protocole d’origine), et non le contexte ou l’identité de l’entité qui effectue la requête. Les communications jugées sûres sont autorisées, même si les équipes informatiques ne savent pas exactement de quoi il s’agit. Ensuite, la confiance est accordée à l’entité une fois qu’elle se trouve à l’intérieur d’un segment — même s’il s’agit d’un acteur malveillant qui cherche à se déplacer latéralement dans l’environnement.

La segmentation du réseau crée un réseau « plat », laissant des voies non protégées qui permettent aux hackers d’effectuer des mouvements latéraux et de compromettre les workloads dans les environnements cloud et de data center. En outre, le coût, la complexité et le temps nécessaires pour gérer la segmentation du réseau à l’aide de pare-feu ou de machines virtuelles (VM) traditionnels éclipsent généralement les avantages en matière de sécurité.

Cloud enclaving

Le cloud enclaving, c’est-à-dire la microsegmentation basée sur le cloud, permet un contrôle du trafic plus granulaire tout en minimisant la surface d’attaque d’une entreprise, pour une segmentation plus simple et plus sécurisée sur le plan opérationnel que la segmentation du réseau. Pour ce faire, le cloud enclaving va au-delà des adresses IP, des ports et des protocoles pour authentifier les demandes en fonction de l’identité et du contexte. De plus, il offre une protection granulaire au niveau des workloads individuels afin de contrôler plus efficacement les communications entre ceux-ci.

Le cloud enclaving réduit non seulement les menaces internes en fournissant une protection beaucoup plus proche des workloads eux-mêmes, mais empêche également la propagation des menaces externes lorsque le périmètre a été violé.

Quels sont les avantages du cloud enclaving ?

Tout comme la segmentation du réseau, le cloud enclaving permet de renforcer la sécurité du réseau et des données dans un contexte de cybermenaces en constante évolution. Les entreprises sont menacées de toutes parts, dans tous les secteurs, car les cybercriminels développent des techniques de plus en plus sophistiquées pour échapper aux mesures de sécurité. Pour suivre le rythme, les entreprises et leur sécurité doivent s’adapter.

Une approche efficace de microsegmentation basée sur le cloud propose les avantages suivants :

  • Sécurité réseau et informatique proactive : le cloud enclaving crée des politiques adaptées aux applications, qui se déplacent avec toutes les applications et tous les services, limitant les potentielles violations de données aux ressources concernées, et non à l’ensemble de votre environnement. Certains services d’enclaving exploitent l’automatisation pour identifier toutes les communications, recommander des politiques Zero Trust et vous permettre d’appliquer ces politiques en un clic.
  • Réduction de la vulnérabilité : au lieu des contrôles statiques qui reposent sur les adresses IP, les ports et les protocoles, votre équipe de sécurité peut prendre l’empreinte de chaque workload pour apporter une protection cohérente lorsqu’elle opère dans un data center interne ou dans le cloud. L’empreinte digitale dissocie la sécurité des workloads des constructions d’adresses IP, ce qui vous permet d’éviter les problèmes liés aux contrôles basés sur l’IP.
  • Évaluation continue des risques : les enclaves cloud vous permettent de mesurer automatiquement votre surface d’attaque visible afin de quantifier les risques. Les services d’enclaving les plus efficaces vérifient l’identité d’une entité chaque fois qu’elle effectue une requête, ce qui atténue davantage le risque, facilite la conformité réglementaire et fournit des informations pour la création de rapports de risques visualisés.
  • Gestion simplifiée des politiques : dans la mesure où les politiques de cloud enclaving s’appliquent aux workloads plutôt qu’aux adresses IP, aux ports, aux protocoles ou au matériel, elles restent immuables même si votre infrastructure change. Cela signifie que votre équipe de sécurité peut étendre un ensemble de contrôles n’importe où et protéger un segment avec seulement quelques politiques basées sur l’identité au lieu de centaines de règles basées sur l’adresse.

Le cloud enclaving est-il une bonne pratique ?

Le cloud enclaving répond à de nombreux cas d’utilisation de la sécurité du cloud pour lesquels les approches traditionnelles n’ont tout simplement pas été conçues. Alors que la segmentation du réseau s’appuie sur des contrôles grossiers et exigeants en termes de gestion, la microsegmentation applique des contrôles aux workloads individuels, qui suivent ensuite les workloads dans tout votre environnement cloud. Dans un contexte mondial actuel caractérisé par un personnel hybride, des données décentralisées et des attaques de plus en plus ingénieuses, le cloud enclaving représente un moyen essentiel de garantir les fonctionnalités suivantes :

Visibilité sur l’ensemble de votre environnement

Les enclaves cloud offrent un contexte plus large à partir duquel votre équipe de sécurité peut élaborer des politiques basées sur les applications, l’environnement, la conformité et bien plus encore, en se concentrant sur l’identité plutôt que sur le seul point d’origine. Cela permet à votre équipe de créer des politiques plus granulaires et donc de renforcer votre posture de sécurité.

Protection pour tous les fournisseurs et déploiements

Une approche efficace de la microsegmentation sécurise vos workloads de manière cohérente entre les fournisseurs de cloud, vous permettant ainsi de créer des environnements hybrides et multicloud qui correspondent le mieux à votre budget et à vos besoins de déploiement. Une plus grande flexibilité vous permet d’adopter plus facilement les conteneurs, l’informatique sans serveur, etc.

Réduction des coûts d’investissement et d’exploitation

À long terme, le cloud enclaving vous permettra d’économiser à la fois des ressources humaines et matérielles. Le déploiement, la gestion et la maintenance de la microsegmentation basée sur le cloud sont beaucoup moins coûteux, moins exigeants en ressources humaines et moins chronophages que ceux des pare-feu et autres équipements matériels.

Zscaler et cloud enclaving

Zscaler Workload Communications constitue une nouvelle manière de créer des enclaves sécurisées dans le cloud. En un clic, vous pouvez renforcer la sécurité en permettant à ZWS d’identifier les risques et d’appliquer une protection basée sur l’identité à vos workloads, sans aucune modification du réseau.

Workload Communications fournit une protection sans faille avec des politiques qui s’adaptent automatiquement aux changements de l’environnement, éliminant la surface d’attaque de votre réseau. Qui plus est, la solution Zscaler Workload Communications est basée sur les API, ce qui signifie qu’elle peut s’intégrer aux outils de sécurité et aux processus DevOps existants, permettant une segmentation automatique en un seul clic.

Basé sur le principe de Zero Trust, Zscaler permet uniquement aux workloads vérifiés de communiquer dans votre environnement de cloud public, privé ou hybride, atténuant les risques et offrant le plus haut niveau de protection contre les violations de données.

Workload Communications offre les avantages suivants :

Protection basée sur l’identité du logiciel

La solution va au-delà des adresses réseau pour vérifier l’identité sécurisée des applications et des workloads qui communiquent, dans les clouds publics ou privés, les clouds hybrides, les data centers sur site ou les environnements de conteneurs.

Moteur d'automatisation des politiques

L’apprentissage automatique permet d’automatiser l’ensemble du cycle de vie des politiques pour la microsegmentation et la protection des workloads. Nul besoin d’élaborer manuellement une politique pendant le déploiement ou les opérations en cours. Workload Communications recommandera de nouvelles politiques ou des politiques mises à jour en cas d’ajout ou de modification des applications.

Visibilité et mesure de la surface d'attaque

La solution crée automatiquement une topologie d’application en temps réel, ainsi qu’une carte des dépendances jusqu’au niveau du processus. Elle met ensuite en évidence les chemins d’accès requis aux applications, puis les compare à l’ensemble des chemins réseau disponibles, recommandant des politiques permettant de minimiser la surface d’attaque et protéger ce qui doit l’être.

Constatez par vous-même

Demandez une démo pour constater par vous-même comment Zscaler Workload Communications vous permet de créer des enclaves cloud pour améliorer votre sécurité.

Ressources suggérées

Différence entre la microsegmentation et la segmentation du réseau
Lire le blog
Le zero trust en un seul clic
Lire la fiche technique
Guide du marché Gartner pour Zero Trust Network Access 2020
Lire le guide
Guide du ZTNA (Zero Trust Network Access) pour l'architecte réseau
Lire le livre blanc
Mise en œuvre de la segmentation par phases
Lire l’article

01 / 03