Plate-forme de protection de la charge de travail dans le nuage (CWPP) telle que définie par
Gartner est une "solution de sécurité centrée sur la charge de travail qui cible les exigences de protection uniques" des charges de travail dans les environnements d'entreprise modernes.
Les charges de travail dans les environnements modernes ont évolué pour inclure des serveurs physiques, des machines virtuelles (VM), des conteneurs et des charges de travail sans serveur.
Ces charges de travail, qui fournissent le calcul sous-jacent, le transport (réseau) et le stockage des données nécessaires à la fonctionnalité de l'application, ont évolué. Comme l'illustre la figure 1, elles se réduisent et se concentrent sur une tâche plus petite et plus spécifique qui se prête à l'application globale.
Ces charges de travail résident souvent sur site, dans des environnements de type colocation tels que des centres de données tiers ou dans le nuage public.
Enfin, en fonction de son type et de l'application qu'elle supporte, une charge de travail peut être persistante ou non. Alors qu'un serveur est censé rester en place et fonctionner pendant des années, les machines virtuelles peuvent être activées sur une base mensuelle ou hebdomadaire et les conteneurs peuvent n'être utilisés qu'une seule fois et être mis au rebut.
La capacité d'appliquer une protection à des charges de travail de plus en plus réduites qui peuvent être sur site ou dans le nuage et qui peuvent ou non persister dans l'environnement signifie que la nature même des techniques et des solutions pour les sécuriser doit changer.
C'est pourquoi le CWPP a évolué pour se distinguer des plateformes de protection des points finaux (EPP). Elle est spécifiquement axée sur la protection des charges de travail, quel que soit leur type ou leur emplacement. Une solution CWPP bien conçue fonctionnera également de manière transparente avec une solution CSPM (Cloud Security Posture Management).
Pourquoi le PPECF est-il important ?
Le passage d'applications patrimoniales à des applications natives pour l'informatique en nuage n'est pas automatique. Les entreprises ne peuvent pas "copier et coller" dans le nuage une application qui est actuellement sur site. Voici quatre raisons pour lesquelles la plateforme de protection de la charge de travail dans le nuage (CWPP) est importante :
- La plupart des entreprises disposent d'applications et d'infrastructures patrimoniales qui empêchent un transfert complet des fonctionnalités vers l'informatique dématérialisée.
- La plupart des entreprises utilisent délibérément plusieurs fournisseurs de cloud, en fonction de leurs besoins spécifiques. Par conséquent, la plupart des entreprises travaillent dans un environnement hybride et multi-cloud, que ce soit en raison des circonstances ou de leur conception. Il est donc difficile pour les professionnels de la sécurité de savoir, de voir et de gérer où se trouvent les applications et les données dans un environnement fragmenté.
- Aujourd'hui, les développeurs d'applications s'emparent du code à partir de divers endroits comme GitHub, exploitent les charges de travail pour créer une application et la publier directement auprès de leur public cible de consommateurs. Cette approche, appelée opérations de développement (DevOps), est un cycle d'"innovation et de développement continus" (CI/CD) qui permet de répondre rapidement aux besoins des clients et d'améliorer cette réponse et l'expérience de leurs clients et partenaires en quelques semaines ou quelques jours.
- Le compromis entre processus et rapidité et l'amélioration constante des applications signifient que la sécurité n'est plus une barrière stricte pour la production d'applications. Les professionnels de la sécurité ne peuvent plus appliquer de contrôles au moment de l'exécution de l'application comme ils le faisaient auparavant. Le risque pour les données et les applications dû à la nature changeante des charges de travail, au manque de visibilité et de contrôle, et à la montée en puissance de l'environnement DevOps "toujours actif" fait du CWPP une solution de sécurité importante dans l'entreprise moderne.
Comment fonctionne le CWPP ?
Une solution complète de plateforme de protection des charges de travail dans le nuage (CWPP) devrait vous permettre de découvrir les charges de travail qui ont été déployées dans vos environnements sur site et dans le nuage public. Vous devriez pouvoir ajouter la possibilité de gérer toutes les charges de travail non gérées que vous découvrez.
Du point de vue de la sécurité, vous devez être en mesure d'évaluer la vulnérabilité de la charge de travail en la comparant à un ensemble pertinent de règles. En fonction des résultats de l'évaluation des vulnérabilités, vous devez être en mesure d'appliquer des mesures de sécurité telles que la protection de l'intégrité, l'immuabilité ou la liste blanche, la protection de la mémoire et la prévention des intrusions au niveau de l'hôte. Notez que, du point de vue de la sécurité pure, la protection contre les logiciels malveillants est moins critique. Il se peut toutefois que la protection contre les logiciels malveillants soit étroitement liée aux réglementations qui régissent votre secteur d'activité et qu'elle soit nécessaire.
Il y a plusieurs autres considérations à prendre en compte.
Incorporer dans le pipeline CI/CD
Étant donné que les protections de la charge de travail ne peuvent pas toujours être appliquées au moment de l'exécution comme une partie naturelle et idéalement invisible du développement de l'application. En déplaçant la sécurité vers la gauche du processus d'application, vous pouvez accroître son omniprésence et son efficacité.
S'aligner sur les solutions du CSPM
Le CWPP devrait être étroitement aligné sur la gestion de la sécurité dans l'informatique dématérialisée (CSPM), voire idéalement faire partie de la même solution. Alors que CWPP évalue les charges de travail et fournit les moyens de les sécuriser, CSPM est conçu pour faire de même pour les comptes cloud dans lesquels ces charges de travail sont déployées. Les deux solutions s'intègrent très naturellement l'une à l'autre et devraient donc faire partie de la même expérience utilisateur.
Lier la solution CWPP à l'infrastructure
La solution CWPP doit être reliée de manière transparente au reste de votre infrastructure de sécurité. Alors que le CWPP se concentre sur la protection des charges de travail qui exécutent des applications, Data Loss Prevention (DLP) se concentre sur la protection des données que les applications utilisent et stockent. D'un point de vue différent, un centre d'opérations de sécurité (SOC) peut considérablement enrichir sa vision des attaques complexes s'il peut détecter celles qui proviennent du nuage ou qui s'y étendent. Et tant que le SOC ne sera pas en mesure de détecter et de remédier aux menaces et vulnérabilités liées à l'informatique en nuage, les enquêteurs seront partiellement aveugles à certains types d'attaques.
Quels sont les principaux avantages du CWPP ?
La plateforme de protection des charges de travail dans le nuage (CWPP) offre une solution pour traiter les aspects uniques de la sécurité zéro confiance pour les charges de travail dans le nuage, notamment :
- Charges de travail : serveur, VM, conteneur et sans serveur ; sur site ou dans le cloud ; persistant ou non persistant.
- Contraintes de sécurité : Au moment de l'exécution ou au cours du processus de développement
- Environnements hybrides : Passage de l'informatique sur site à l'informatique dématérialisée
- Environnements multi-cloud : Utilisation par les entreprises de plus d'un fournisseur de services en nuage
- Découverte et visibilité : Pouvoir trouver et gérer les charges de travail dans un environnement hybride et multicloud.
Une solution CWPP complète se prête à son tour à l'accélération du développement d'applications "cloud-native" et à l'exploitation de la "puissance du cloud". Les principaux avantages sont les suivants :
- Coût : Réduction des coûts initiaux, réduction du coût du matériel, réduction des frais de maintenance et d'exploitation.
- Flexibilité : Augmentez ou réduisez la capacité de l'application en fonction de la demande.
- Amélioration du service à la clientèle : Répondez mieux et plus rapidement aux demandes des clients, ce qui vous permet d'augmenter votre chiffre d'affaires.
- Facilité d'utilisation : levez-vous, utilisez-le de n'importe où et collectez des données analytiques à partir des applications.
- Sécurité : Responsabilité partagée et évolution de la sécurité des nuages
Skyhigh Cloud Workload Protection Platform (CWPP) (plate-forme de protection de la charge de travail dans le nuage)
La solution CWPP de Skyhigh s'inscrit dans le cadre d'un effort plus large visant à sécuriser les applications cloud-natives. Pour ce faire, nous adoptons une approche résolument différente. Nos objectifs ultimes sont les suivants :
- Concentrez-vous sur les résultats de l'entreprise plutôt que sur les solutions techniques aux différents éléments du problème.
- Assurez une protection complète des menaces et des données sur l'ensemble des charges de travail, des environnements et des fournisseurs de services en nuage.
- Réduisez les frais généraux de gestion en synthétisant les flux de travail des utilisateurs dans un continuum plutôt que de les séparer par fonction ou par type de charge de travail.
Du point de vue de la sécurité, la solution CWPP de Skyhigh permettra d'atteindre ces objectifs en s'appuyant sur cinq piliers fondamentaux :
- Découverte et classification basée sur les risques :
Vous ne pouvez pas protéger ce que vous ne pouvez pas voir. La découverte des charges de travail, indépendamment de leur nature ou de leur emplacement, est la première clé de la gestion des risques. L'étape suivante consiste à classer les vulnérabilités des comptes et des charges de travail en fonction des risques encourus par votre organisation. Si vous pouvez rapidement comprendre ces risques les uns par rapport aux autres, vous pouvez rapidement établir des priorités pour la remédiation, réduisant ainsi le risque global le plus rapidement possible.
- Déplacement de la posture de gauche et de la vulnérabilité :
En intégrant la sécurité dans le pipeline CI/CD et en permettant aux développeurs de l'incorporer facilement dans leurs processus normaux de développement d'applications, et en veillant à ce que les applications soient sécurisées avant même d'être publiées, on réduit le risque d'introduire de nouvelles vulnérabilités et on minimise les menaces pour l'organisation.
- Contrôle de la politique de confiance zéro :
La solution CNAPP de Skyhigh soutenue par CWPP se concentre sur les politiques de réseau et de charge de travail Zero Trust. Cette approche vous permet non seulement d'obtenir des analyses sur qui accède à votre environnement et comment - un élément important de votre stratégie SOC - mais elle garantit également que les personnes et les services ont les permissions appropriées pour effectuer les tâches nécessaires.
- Protection unifiée contre les menaces :
Le CWPP unifie la protection contre les menaces entre les charges de travail dans le nuage et sur site. Il synthétise également les protections des charges de travail et les autorisations de compte dans la même motion. Enfin, en connectant la protection des applications natives du cloud à XDR, vous bénéficiez d'une visibilité totale, d'une gestion des risques et d'une remédiation dans l'ensemble de vos infrastructures sur site et dans le cloud.
- Gouvernance et conformité :
La solution idéale pour protéger les applications natives du cloud inclut la capacité de gérer les accès privilégiés et de traiter la protection contre les menaces à la fois pour les charges de travail et les données sensibles, quel que soit l'endroit où elles résident.