Mise en œuvre des meilleures pratiques pour sécuriser les applications dans les environnements multiclouds

0
646

This post is also available in: Anglais Allemand Italien Portugais - du Brésil Espagnol Russe

Des moteurs de commerce électronique sophistiqués aux solutions de productivité basées sur le Cloud, en passant par les outils personnels installés sur les téléphones portables, les applications sont désormais omniprésentes dans notre quotidien. Les organisations continuent de migrer ces applications dans le Cloud à un rythme accéléré.

Selon le  Rapport C-Suite Perspective de Radware, 76 % des participants à l’enquête ont accéléré leurs projets de migration d’applications et d’infrastructure dans le Cloud. Non seulement les entreprises migrent vers le Cloud, mais elles adoptent aussi une stratégie multicloud. D’après les résultats de l’enquête de Flexera, 93 % des organisations ont adopté une stratégie de Cloud hybride.

La présence en ligne étant généralement le lien vital de nombreuses entreprises, la sécurité et la disponibilité des applications doivent être au sommet des préoccupations des organisations.


L’adoption d’un environnement de Cloud hétérogène se traduit par un manque de continuité dans la gestion, la sécurité et le reporting. À chaque environnement de Cloud public correspondent des outils de gestion, une surveillance et des services d’accélération applicative et de sécurité qui lui sont propres.

Les enjeux

Ce manque de cohérence pose de nombreux problèmes sur le plan de la sécurité applicative :

Protection applicative – Aujourd’hui, les attaques applicatives sont si diverses que la simple protection d’un Firewall Applicatif Web  (WAF) ne suffit plus. Une protection est également nécessaire pour les interfaces de programmation d’applications (API) et pour se prémunir contre les bots sophistiqués. Les pirates sondent les réseaux et les applications en quête de vulnérabilités afin de lancer des attaques applicatives et accéder à des données sensibles. La protection applicative devient donc essentielle pour protéger l’entreprise et sa marque.

Les organisations sont souvent amenées à configurer et à gérer plusieurs produits de sécurité applicative dont les capacités varient d’un environnement à l’autre. Enfin, la surface d’attaque s’accroît dès lors qu’une application sort des limites du centre de données local d’une organisation.

[Sur le même thème : Gérer des applications dans plusieurs centres de données : une étude de cas]

Complexité – La migration des applications dans le Cloud est une entrave supplémentaire à la cybersécurité. Les fournisseurs de Cloud n’offrent pas de contrôles de sécurité complets, et les constructions de sécurité qu’ils proposent sont disparates.

Les services interdomaines qui englobent le réseau, les applications et la sécurité demandent une expertise en matière de domaines ainsi qu’une collaboration entre les équipes, ce qui engendre des conflits et des retards dans les tests et le provisionnement.

Résultat : les applications sont mal protégées.

Visibilité exploitable – Avec le déploiement des applications dans les Clouds publics et privés, l’analyse de leurs performances, l’expérience utilisateur, l’identification des violations de SLA, la gestion des événements de sécurité applicative et le diagnostic de la cause profonde constituent tous des aspects essentiels. Il est donc primordial de pouvoir examiner et analyser tous ces éléments d’un seul et même emplacement centralisé pour s’assurer que les applications de l’organisation offrent une expérience numérique supérieure.

[Sur le même thème : Comment les WAF peuvent bloquer et atténuer les 10 principales menaces recensées par l’OWASP]

Coûts imprévus – Il est essentiel, le cas échéant, de pouvoir contrôler les coûts lorsqu’il s’agit d’allouer dynamiquement des services d’accélération et de protection applicative dans des environnements hétérogènes. Pourquoi ? Parce que les organisations qui se déploient dans des environnements de Coud public doivent souvent faire face à des coûts imprévus liés à la mise à l’échelle des services rendue nécessaire par une utilisation accrue.

Automatisation – L’automatisation du déploiement rapide de services ou la mise à l’échelle dynamique des ressources applicatives deviennent essentielles dans un environnement de Cloud public où les tarifs sont structurés autour de l’utilisation/consommation de ressources. Les composants de cette chaîne d’approvisionnement ont tous besoin de l’automatisation pour transformer les processus manuels en étapes automatisées qui ne demandent pas de compétences.

Disponibilité des services – La disponibilité est essentielle pour traiter les demandes des utilisateurs et assurer des mises à l’échelle automatiques pour les entreprises qui souhaitent automatiser les opérations backend. Cela signifie qu’elles doivent être en mesure d’ajouter et de supprimer des services à la demande sans aucune intervention manuelle pour l’attribution de licences et de retirer de la capacité une fois qu’elle n’est plus utilisée. Cela permet de gagner du temps et de l’argent.

Blocage – Cette situation peut se présenter si un fournisseur de Cloud offre des fonctionnalités de sécurité applicative et d’évolutivité, mais pas un autre. Par ailleurs, le manque de standardisation entre les Clouds peut amener l’organisation à faire appel à des services de conseil technique à valeur ajoutée.

Fonctionnalités critiques

Toute solution destinée à répondre aux enjeux mentionnés précédemment doit offrir les éléments suivants pour migrer, sécuriser et gérer les applications dans le cloud :

  • Un ensemble complet de technologies de sécurité applicative pouvant s’intégrer facilement
  • Une solution et des fonctionnalités communes aux différents environnements physiques, virtuels et Cloud
  • Des indicateurs de performance clés (KPI) dans les différents environnements et une facilité de résolution des problèmes dans tous les environnements
  • Enfin, l’adoption du multicloud ne doit pas se faire au détriment du coût, qui est précisément un motif d’adoption du cloud

Sécurité applicative intégrée : la solution privilégiée doit s’accompagner d’un ensemble complet de modules de protection applicative afin d’offrir la meilleure couverture de sécurité possible dans toutes les surfaces de menaces applicatives, à savoir :

  • Un Firewall Applicatif Web pour assurer une protection contre les attaques basées sur le Web (les 10 principales menaces recensées par l’OWASP et au-delà).
  • Un gestionnaire de bots pour assurer une protection contre les menaces automatisées basées sur des bots malveillants.
  • Une protection d’API complète pour protéger les API et offrir une visibilité complète sur les menaces ciblant les API.
  • Un flux de renseignements sur les menaces pour se protéger contre les pirates inconnus et actifs.

Un déploiement plus rapide : la solution doit pouvoir être déployée, gérée et maintenue simplement sans besoin d’experts. Par exemple, si vous avez plusieurs parties prenantes comme les NetOps, les SecOps et les DevOps, la solution doit être facile à déployer dès le premier jour, probablement par les NetOps. Au deuxième jour, les équipes DevOps et SecOps se servent des règles de sécurité prédéfinies comme un modèle en libre-service. Vous devriez faire appel à des experts de la sécurité pour créer ces modèles simples d’utilisation. Le troisième jour et les suivants sont consacrés à l’optimisation et à la mise au point des règles déployées. Veillez à déployer des solutions qui autorisent l’apprentissage.

[Sur le même thème : Répartir des charges de travail applicatives entre plusieurs clouds et centres de données]

Standardisation et cohérence : contrôler des applications sur site ne présente pas de difficultés particulières. En revanche, dans un contexte multicloud, il est important de déployer les mêmes règles de façon cohérente. La solution consiste à mettre en place un plan de contrôle centralisé pour gérer et mettre à jour les règles dans tous les environnements.

Capacité d’action : il est important d’assurer le suivi des indicateurs KPI et de la posture de sécurité. Ces informations doivent être exploitables et vous permettre d’agir. Par exemple, si vous enregistrez un trop grand nombre de faux positifs, vous devez être en mesure d’affiner une règle sans devoir recourir à des experts de la sécurité.

Optimisation des coûts : le monde tend déjà vers un contrôle des coûts centralisé et à des remises sur volume. Quelles que soient les différentes technologies de protection applicative que vous employez, veillez à obtenir une élasticité tarifaire qui vous permette de réutiliser une capacité désaffectée dans un autre environnement sans frais supplémentaires.

La sécurisation d’un déploiement hybride ou multicloud ne doit pas nécessairement être complexe ou coûteuse pour les organisations. Avec une solution et des outils adaptés, l’environnement sur site et les Clouds public et privé peuvent apporter une valeur ajoutée à votre entreprise.

Previous articleRadware nommé leader de la protection DDoS par Forrester
Next articleSécurité et DevOps : un lien à entretenir
Prakash Sinha is a technology executive and evangelist for Radware and brings over 29 years of experience in strategy, product management, product marketing and engineering. Prakash has been a part of executive teams of four software and network infrastructure startups, all of which were acquired. Before Radware, Prakash led product management for Citrix NetScaler and was instrumental in introducing multi-tenant and virtualized NetScaler product lines to market. Prior to Citrix, Prakash held leadership positions in architecture, engineering, and product management at leading technology companies such as Cisco, Informatica, and Tandem Computers. Prakash holds a Bachelor in Electrical Engineering from BIT, Mesra and an MBA from Haas School of Business at UC Berkeley.

LEAVE A REPLY

Please enter your comment!
Please enter your name here