INVITÉ En collaboration avec Trend Micro

Cinq éléments clés pour une sécurité multi-cloud efficace

par Daniel Schmutz, Head of Channel & Marketing Suisse & Autriche chez Trend Micro

Bon nombre d’entreprises ont recours à une stratégie multi-cloud. L'utilisation de plusieurs plateformes cloud présente de nombreux avantages opérationnels et économiques. Il est cependant essentiel de les protéger efficacement – notamment pour des raisons de conformité.

Daniel Schmutz, Head of Channel & Marketing Suisse & Autriche chez Trend Micro. (Source: zVg)
Daniel Schmutz, Head of Channel & Marketing Suisse & Autriche chez Trend Micro. (Source: zVg)

Pour sécuriser efficacement les environnements multi-cloud, une approche de sécurité standardisée et indépendante de la plateforme est nécessaire.A quoi ressemble une telle stratégie de sécurité?

 

1. Responsabilité partagée

La sécurité est la responsabilité commune des entreprises et des fournisseurs de services cloud (CSP). En règle générale, le modèle de responsabilité partagée (voir graphique) indique que le CSP est responsable de la sécurité du cloud, tandis que le client est responsable de la sécurité dans le cloud.

 

2. D’une sécurité basée sur le périmètre à une sécurité basée sur l'hôte

Une approche moderne de la sécurité du cloud doit être basée sur l'hôte. Au lieu de bloquer le trafic au périmètre de l’infrastructure, on recourt à la micro-segmentation pour définir le trafic autorisé à un niveau granulaire, telle qu’une machine virtuelle individuelle. On peut dès lors simplement étendre ou réduire ce qui doit être automatisé.

Si le lancement simple de nouveaux workloads est un atout important du cloud public, il constitue aussi une menace potentielle. Pour éviter le shadow IT, il est primordial de disposer d'une vue globale de l'ensemble de l'environnement, y compris des charges de travail tournant chez les fournisseurs de cloud public.

 

3. Patching virtuel

Pour protéger efficacement tous les serveurs dans une infrastructure multi-cloud, une sécurité centralisée basée sur l'hôte est de mise. Exploitant des technologies de détection et de prévention des intrusions, le "patching virtuel" s’avère nécessaire pour pallier les vulnérabilités en attendant qu'un patch (logiciel) soit disponible. Ainsi, les entreprises sont toujours bien protégées.

 

4. Sécurité au niveau applicatif

Les solutions de sécurité cloud modernes peuvent détecter des modifications du logiciel. Une fois le module de contrôle applicatif activé, toutes les modifications logicielles sont journalisées et des événements sont générés lorsqu'un logiciel nouveau ou modifié est détecté dans le système de fichiers. Si des modifications sont détectées sur l'hôte, le logiciel peut être autorisé ou bloqué et l'ordinateur ou le serveur peuvent éventuellement être verrouillés.

Les applications peuvent également être protégées au niveau du réseau par un système de prévention des intrusions. Le module analyse le trafic entrant et sortant pour détecter et bloquer les activités suspectes. Ce qui empêche l'exploitation des vulnérabilités connues ou "zero day" et permet également de protéger les applications web.

 

5. Consignes et automatisation

Les consignes constituent un outil important dans la sécurité du cloud. Pour tirer le meilleur parti d'une solution multi-cloud, il est important d'automatiser autant que possible les processus de commande, de configuration ou de mise à niveau de services. Non seulement pour accélérer le déploiement des différents environnements, mais aussi pour optimiser l’auto-scaling et l’auto-réparation. L'automatisation basée sur les consignes permet d’appliquer automatiquement la consigne d’entreprise actuelle et de munir les environnements des règles de sécurité en vigueur.

Une stratégie multi-cloud peut contribuer de manière significative à l'innovation et à la création de valeur. Les entreprises doivent toutefois s'assurer que les mesures appropriées ont été prises et que le contrôle du cloud est maintenu.

 

----------

La responsabilité ne repose pas ­entièrement sur le fournisseur cloud

Qui doit se soucier de la sécurité des données stockées dans le cloud? Celui qui opère l’environnement cloud ou celui qui y a déplacé ses données? Tous les deux, répond Michael Unterschweiger, Regional Director Suisse & Autriche chez Trend Micro. Interview: Coen Kaat

 

Qui est responsable des données quand elles sont dans le cloud? Le client ou le fournisseur cloud?

Pour clarifier la question, le modèle de responsabilité partagée s’est imposé pour les clouds publics et hybrides. Il suppose que les clients et les fournisseurs de services cloud partagent la responsabilité de la sécurité: le fournisseur de services cloud est responsable de la sécurité de l’infrastructure cloud. A savoir la sécurité physique du matériel et la sécurité de base des logiciels servant aux tâches de calcul et de stockage au niveau de la couche de virtualisation. Le client est, quant à lui, responsable de la sécurité au sein du cloud. Par exemple, la protection des applications, les mises à jour et le patching des systèmes d'exploitation hébergés, l'authentification, le chiffrement des données ou la configuration des pare-feux.

 

Le modèle de responsabilité partagée semble idéal, mais est-il aussi clairement défini dans la pratique?

La délimitation fonctionne généralement très bien. Cela tient notamment au fait que les grands fournisseurs de services cloud souhaitent que leurs clients puissent protéger leurs applications et leurs données aussi simplement que possible. Les clients disposent de solutions de sécurité modernes cloud-native, telles que Trend Micro Deep Security, directement sur les marketplaces des prestataires, qu’ils peuvent ensuite déployer et utiliser très facilement.

 

A quel point les données stockées dans le cloud sont-elles en sécurité?

Les clouds des grands fournisseurs sont très sécurisés. Il est dans leur intérêt de maintenir un niveau de protection élevé et de se conformer à des règles de sécurité strictes. La crainte fréquente à l’égard du cloud public est donc infondée. Même les clouds privés peuvent être sécurisés efficacement avec des solutions de sécurité modernes pour les infrastructures sur site.

 

En quoi les solutions de cloud public et de cloud hybride diffèrent-elles en termes de sécurité?

Alors que les responsabilités partagées s'appliquent dans le cloud public, les gestionnaires d’infrastructures sur site sont eux-mêmes responsables de leur sécurité. Cela dit, les solutions de sécurité cloud actuelles peuvent aisément être déployées sur des infrastructures hybrides et adaptées de manière flexible aux workloads existants. Cela ne fait aucune différence pour le client. Un autre avantage du cloud hybride est la possibilité de conserver des données et des applications sensibles dans son propre centre de données, par exemple pour répondre aux exigences de conformité. Parallèlement, d'autres processus peuvent bénéficier de la plus grande flexibilité du cloud public.

 

Que doit faire un utilisateur pour sécuriser ses données et ses processus dans le cloud?

La règle fondamentale est de s’occuper de la sécurité. La plus grande erreur, malheureusement encore trop fréquente, est de penser que la responsabilité incombe seulement au fournisseur de services cloud. Il est tout simplement faux de penser qu’un cloud public ou hybride est un package "sans soucis". Il convient d’abord de définir ses propres besoins en matière de sécurité et d’élaborer un concept comprenant à la fois son propre domaine de responsabilité et celui du fournisseur cloud. Sans omettre de respecter les exigences de conformité spécifiques à l’entreprise et à son secteur d’activité. Le déploiement de la sécurité est relativement simple avec des solutions modernes. A chaque étape, des partenaire – intégrateurs ou un fournisseurs de services managés – peuvent fournir un soutien précieux.

 

Webcode
DPF8_137114