Les centres de données d’entreprise actuels évoluent d’environnements
statiques internes vers un mix de cloud privés, publics et hybrides, et
les organisations sont tenues de renforcer leurs pare-feux et autres
appliances de sécurité (déployés en périphérie de réseau) pour inspecter
le trafic entrant et sortant. Le trafic interne, qui transite
latéralement, sur les réseaux internes et entre environnements cloud,
doit également être protégé.

Pour une sécurité optimale au sein des clouds privés, publics et
hybrides, les organisations doivent renforcer, voire redéployer leur
sécurité, pour mieux s’adapter à des environnements temps-réel
multisites et rapides. Voici quelques éléments à prendre en compte pour
atteindre un tel objectif :

Évolutivité

Le cloud computing permet de déployer et de fournir rapidement des
applications particulièrement évolutives. La sécurité doit être
élastique pour se dimensionner à l’infrastructure en elle-même, et
offrir une protection transparente et ce, sans ralentir les opérations.

Les environnements cloud actuels nécessitent des pare-feux ultra-rapides
qui assurent la protection des flux entrants et sortants des centres de
données, ainsi que la sécurité des réseaux en périphérie des clouds
privés. Des pare-feux virtualisés sont également nécessaires pour
protéger les flux entrants et sortants des clouds publics. Enfin, ce
sont des pare-feux virtualisés qui sont requis pour sécuriser le trafic
interne et latéral, à savoir les données et transactions entre
équipements constitutifs d’un cloud. Les pare-feux et appliances de
sécurité réseau hautes-performances doivent assurer une évolutivité
verticale, pour répondre aux besoins en volume et performances, mais
aussi latérale pour identifier et sécuriser les données issues des
objets connectés et des terminaux, sur l’ensemble du réseau / des
centres de données multisites, et ce, jusqu’au cloud.

Segmentation

Avec les gains d’efficacité résultant de la mutualisation des ressources
informatiques, de stockage et réseau, rendue possible grâce aux
technologies de virtualisation et de réseau SDN, les environnements
cloud sont de plus en plus agrégés jusqu’à permettre une consolidation
des centres de données dans leur globalité. Le niveau de protection des
ressources critiques et du réseau interne reste faible, face à un hacker
ou une menace de type ATP qui franchit la périphérie du cloud via une
seule application vulnérable. Pour maîtriser ce risque, les
organisations doivent cloisonner les départements métiers et les
applications. Les réseaux doivent être segmentés de manière intelligente
en des zones de sécurité fonctionnelles qui permettent le contrôle du
trafic interne.

Une segmentation de bout en bout offre une visibilité précise sur le
trafic du réseau multisite. Cette visibilité identifie et permet de
mettre en quarantaine les dispositifs infectés, pour ainsi maîtriser la
prolifération des logiciels malveillants. Une segmentation de bout en
bout utilise des pare-feux de segmentation interne sur l’ensemble des
centres de données, sites principaux et succursales, et sécurise la
micro-segmentation pour les SDN et les environnements cloud.

“Awareness”

Au-delà de l’évolutivité et de la segmentation, l’infrastructure de
sécurité doit automatiquement prendre en compte les changements en
temps-réel (principe d’awareness) au sein de l’environnement cloud et
s’y adapter, ce qui garantit une protection transparente. Il ne suffit
pas de détecter le trafic malveillant ou de neutraliser les logiciels
malveillants à l’aide des dispositifs de sécurité. Les événements de
sécurité doivent également être intégrés dans un SIEM ou tout autre
outil analytique, pour recueillir et corréler les données, mais aussi
orchestrer automatiquement toute modification des règles et niveaux de
sécurité, dès la détection d’un incident ou d’un événement de sécurité.
Chaque composante de sécurité doit pouvoir fonctionner de manière
intégrée et synchronisée, avec une visibilité et un contrôle optimisés.

Extensibilité

Les solutions doivent s’adosser à une plateforme extensible, dotée d’API
configurables (REST et JSON par exemple) et autres interfaces, pour une
intégration dynamique avec les multiples hyperviseurs, contrôleurs SDN,
console d’administration cloud, outils d’orchestration, centres de
données de type software-defined et environnements clouds. La sécurité
s’adapte ainsi automatiquement à une architecture réseau et à des
menaces qui évoluent.

Quels sont les critères d’une solution de sécurité cloud pertinente ?

Lors de l’évaluation d’une solution de sécurité cloud, voici quelques
questions à se poser pour éclairer son choix.

– La solution est-elle évolutive ? Une stratégie exhaustive de sécurité
doit être élastique, en matière de « profondeur » (performances et deep
inspection) et de périmètre (couverture de bout en bout).

– La solution est-elle “aware” ? Vous devez pouvoir suivre les flux de
données sur et en dehors du réseau, les mouvements au sein du périmètre
réseau et les accès aux données.

– La solution est-elle réellement sécurisée ? Les différents outils qui
protègent votre réseau doivent collaborer pour définir un système
intégré qui fournit une visibilité et un contrôle unifiés.

– La solution favorise-t-elle la prise de décision ? Vous devez disposer
de données de veille sur les menaces et d’une plateforme d’orchestration
centralisée : la sécurité s’adapte ainsi dynamiquement aux nouvelles
menaces identifiées et fournit de manière synchronisée des éléments
décisionnels, sur l’ensemble du réseau multisite.

La solution est –elle ouverte ?

Des API pertinentes et ouvertes
permettent aux partenaires technologiques de s’intégrer avec
l’infrastructure de sécurité, ce qui pérennise les investissements et
favorise une adaptation dynamique aux changements.

Parmi les autres fonctionnalités intéressantes :

– Une sécurité de type Software-defined : privilégiez une plateforme
unifiée de sécurité, avec un système d’exploitation unique qui assure
l’orchestration et l’automatisation de la sécurité sur les
environnements physiques, virtualisés et cloud.

– Intégration : les solutions de sécurité doivent pouvoir s’intégrer
avec les environnements vSphere et NSX de VMware, ainsi qu’avec les
clouds publics comme AWS et Azure, pour assurer un provisioning à la
demande, une tarification à l’utilisation, une élasticité automatique et
un traitement analytique unifié qui améliore la protection et la visibilité.

– Visibilité et contrôle à partir d’une interface unique : votre
plateforme de sécurité doit bénéficier d’une administration centralisée
avec visibilité unifiée sur les politiques et événements de sécurité
liés aux environnements physiques, virtualisés et cloud.

Conclusion

L’évolution des réseaux et la digitalisation progressive des processus
métiers sont sources de défis complexes qui pèsent sur la sécurité
réseau traditionnelle. Parallèlement, l’adoption rapide des clouds
privés, publics et hybrides invite à repenser la sécurité du Cloud.

La nouvelle génération des solutions de sécurité cloud fait preuve
d’élasticité et d’agilité. Ces solutions doivent aller au-delà de leur
nature statique en étoffant leurs fonctions de sécurité et en segmentant
les environnements cloud. C’est à ce titre que les organisations
tireront parti d’une infrastructure évolutive et sauront anticiper les
vecteurs d’attaques utilisés par les menaces connues et émergentes.