Comment Bracket Computing utilise l’isolation complète de la charge de travail pour sécuriser le cloud hybride sans perturber le flux de travail du développeur ?
Le modèle de fourniture en libre-service du cloud public apporte de nombreux avantages mais, bien sûr, sape le modèle traditionnel de provisionnement des serveurs informatiques. Maintenant que les développeurs peuvent allouer des ressources eux-mêmes avec la carte de crédit, les équipes de sécurité d’entreprise ont du pain sur la planche.
Comment les équipes de sécurité informatique peuvent-elles permettre à leurs organisations d’exploiter la flexibilité du cloud et d’atteindre une échelle pratiquement infinie tout en gardant le contrôle sur l’informatique et les données de l’entreprise ? Cet article explore les défis auxquels les entreprises sont confrontées dans l’application des politiques de sécurité sur le cloud hybride, ainsi que la solution architecturale proposée par Bracket Computing pour relever ces défis.
Les défis de cloud hybride
Les entreprises sont confrontées à trois principaux défis en adoptant des environnements de cloud hybride.
Premièrement, le cloud hybride signifie une complexité hybride. L’hétérogénéité des offres des fournisseurs de services de cloud crée une complexité énorme pour les équipes qui essaient d’interpréter et d’appliquer le même ensemble de stratégies de sécurité partout. Les agents et les dispositifs virtuels peuvent être difficiles à gérer, et les règles de segmentation peuvent créer des embouteillages ou autoriser trop d’acteurs. La portabilité des données et de la charge de travail aggrave ces risques, tout comme la probabilité accrue d’erreur humaine par exemple.
Pour les petites entreprises sans contraintes réglementaires et un environnement unique, cette complexité peut être atténuée. Mais pour les organisations informatiques qui ont besoin d’une gestion cohérente des clés, à travers les clouds, mais aussi dans plusieurs régions au sein d’un même fournisseur, ou de l’indépendance vis-à-vis des fournisseurs d’infrastructure, cette complexité est difficile à surmonter.
Deuxièmement, la protection est incomplète. Dans le centre de données, les stratégies de sécurité pour l’accès à l’identité, le réseau et le stockage sont généralement liées à l’infrastructure. Les stratégies réseau sont implémentées à l’aide de réseaux locaux virtuels (VLAN), de sous-réseaux et d’ACL liés à des adresses IP.
La protection des ressources repose généralement sur la limitation de l’accès réseau au matériel de stockage plutôt que sur la protection des données elles-mêmes. Mais au fur et à mesure que le datacenter devient de plus en plus hybride et que les entreprises perdent le contrôle de l’infrastructure, les défenses du périmètre et du réseau deviennent inadéquates. La micro-segmentation offre des protections supplémentaires, mais le réseau n’est qu’une partie d’une charge de travail d’entreprise.
Sans contrôle physique, la sécurité informatique doit trouver d’autres moyens d’établir un contrôle logique sur les charges de travail déployées sur le cloud.
Troisièmement, assurer un contrôle transparent et prouvable est un casse-tête. L’adoption du cloud hybride étend la portée des audits, car l’informatique doit gérer différentes postures de sécurité. Il est difficile d’établir une visibilité et de prouver le contrôle dans plusieurs environnements, avec une possibilité limitée pour le service informatique de savoir comment et où accéder aux données.
En outre, pour les entreprises sujettes à des préoccupations réglementaires spécifiques, HIPAA par exemple, le cryptage offert par le fournisseur soulève souvent des objections. Prouver le contrôle sur les données est essentiel pour la plupart des audits, mais difficile à assurer sur le cloud hybride.
Enfin, il est difficile de préserver la séparation des tâches entre les services informatiques et les organisations de développement sans rompre le modèle libre-service du cloud. La sécurité informatique doit, soit assurer une séparation rigoureuse des contrôles, interférer avec l’approvisionnement en libre-service des développeurs pour sécuriser les ressources ; soit permettre l’agilité au sein des équipes de développement mais risque d’être désactivée par les équipes configurant les ressources d’infrastructure.
La sécurité cloud transparente
Bracket Computing offre un logiciel complet d’isolation de la charge de travail conçu pour relever ces défis et permettre aux entreprises d’exécuter des charges de travail de manière sécurisée dans des environnements cloud hybrides avec un seul ensemble de contrôles de sécurité informatique avancés. Bracket fournit une micro-segmentation cryptée incluant le cryptage permanent des données au repos et en mouvement avec des clés contrôlées par le client, la surveillance de l’intégrité des données et de l’exécution et des capacités d’auditabilité, et d’investigation qui capturent la mémoire au moment de la violation.
Bracket fonctionne sur les clouds VMware locaux, ainsi que sur Amazon Web Services, Microsoft Azure et Google Cloud Platform. Le mécanisme d’application de la solution Bracket est une couche de virtualisation légère, appelée Metavisor, qui fournit non seulement des contrôles granulaires sur le réseau, le stockage et le calcul, mais permet à ces services de protection d’être insérés et audités de manière transparente, sans impact pour les développeurs ou les équipes d’exploitation du centre de données.
L’architecture Bracket est définie par les quatre attributs suivants :
1. La sécurité est fournie de manière transparente via une virtualisation légère
Les stratégies de sécurité doivent être appliquées de manière transparente dans les environnements cloud. Tout comme les utilisateurs ne sont pas au courant de TLS/SSL dans les navigateurs, les développeurs ne devraient pas remarquer la sécurité au travail. L’utilisation de la virtualisation pour appliquer les stratégies offre cet avantage, contrairement aux agents et aux appareils virtuels qui peuvent être mal configurés, entraîner des pénalités de performance, être désactivés par des logiciels malveillants qui accèdent à l’hôte ou créer des chokepoints.
Au lieu de s’appuyer sur une méthode de livraison traditionnelle, Bracket a développé une technologie de virtualisation légère, appelée Metavisor, pour fournir des contrôles de manière transparente, sans aucune modification du système d’exploitation invité ou des applications. En cours d’exécution entre le système d’exploitation invité et l’hyperviseur cloud, le Metavisor virtualise uniquement les E/S, plutôt que la totalité de la charge de travail. Cela lui permet de s’éloigner lorsque les applications sont en cours d’exécution. Mais, lorsqu’un appel est effectué sur le système de stockage ou le réseau, le Metavisor intercepte l’appel en insérant des services de sécurité. Cela permet aux charges de travail de production de fonctionner en toute sécurité et sans pénalité de performance significative.
Comme le Metavisor réside dans un espace de mémoire séparé du système d’exploitation invité, il fournit la transparence et l’immuabilité d’une solution réseau tout en exploitant une relation biunivoque avec l’hôte.
2. La sécurité est attachée à des charges de travail complètes et non à l’infrastructure
Bracket permet aux entreprises d’écrire des politiques de micro-segmentation et de calculer sur la base des balises Bracket associés à des ressources, qu’il s’agisse de données, de liens réseau ou d’instances. Les balises sont déjà utilisées sur AWS et d’autres plates-formes cloud, de sorte que l’utilisation des balises Bracket s’intègre bien dans les flux de travail du cloud existants.
Ces balises restent avec des actifs s’ils sont copiés ou déplacés. Un exemple de politique écrite sur des balises peut être :
Les environnements marqués 'dev' peuvent communiquer uniquement avec d'autres environnements marqués 'dev'.
Écrites de cette manière, les politiques peuvent être générales comme ci-dessus, ou extrêmement granulaires, écrites pour contrôler des ports, des hôtes de bases de données ou des volumes spécifiques. Cela permet à la sécurité informatique d’appliquer des stratégies qui permettent un contrôle logique des charges de travail en l’absence de contrôle physique, le tout sans perturber le flux de travail du développeur.
3. La sécurité est appliquée cryptographiquement en fonction des balises
Le cryptage des données en stockage et en mouvement est toujours activé. Une fois les ressources marquées, Bracket utilise Metavisor pour appliquer de manière cryptographique les stratégies associées à ces balises. Bracket gère et délivre les clés de chiffrement autorisées par les stratégies, et inclut la possibilité de déchiffrer des disques ou des objets, de démarrer des instances ou de parler aux voisins. Lorsqu’une clé est demandée, les politiques sont vérifiées et la clé est transmise au Metavisor, qui implémente les politiques appropriées et autorise l’accès aux données. Cela permet d’appliquer des règles automatisées et sans erreur, avec l’avantage supplémentaire d’un cryptage permanent qui n’entrave pas les développeurs et n’altère pas leur flux de travail.
Dans tous les environnements, mais en particulier dans le cloud hybride, l’informatique doit gérer les risques liés aux logiciels malveillants, aux initiés malveillants et aux erreurs. Les stratégies cryptées protègent les entreprises contre les menaces, en satisfaisant les exigences réglementaires pour les services financiers, les soins de santé et d’autres grandes entreprises.
4. La sécurité est implémentée de manière cohérente dans tous les environnements
Les organisations informatiques ne configurent pas les environnements sur site de manière hétérogène, par exemple en utilisant des pare-feu Cisco exclusivement dans un centre de données, et des produits Check Point et Palo Alto Networks dans les deux autres. Pourtant, les entreprises gèrent plusieurs ensembles de contrôles pour appliquer les politiques de sécurité dans les environnements hybrides. Cela engendre des complications qui non seulement créent une erreur humaine et augmentent les risques, mais rendent également l’audit difficile.
La solution de Bracket permet aux contrôles de l’entreprise d’être appliqués de manière cohérente partout où les développeurs travaillent, minimisant ainsi les coûts opérationnels de l’informatique. Il permet la visibilité sur l’ensemble d’un système d’entreprise, avec NetFlow et les journaux d’accès aux données qui s’intègrent parfaitement dans les processus d’audit de l’entreprise.
L’adoption du cloud hybride continuera de croître, stimulée par les besoins des entreprises en termes de flexibilité et d’évolutivité. Sans la capacité d’imposer un seul ensemble de contrôles dans les environnements, les équipes de sécurité informatique devront faire face à des problèmes de complexité et de conformité importants.
Avec une solution d’isolation de charge de travail complète comme celle de Bracket, la sécurité peut garantir l’évolutivité des solutions basées sur le cloud, le contexte hôte des solutions basées sur des agents et l’attrait plat des appareils virtuels. C’est une architecture qui permet aux entreprises de tirer parti du cloud hybride, en renforçant le contrôle informatique sans perturber les flux de travail des développeurs.
