Notes d'Experts

Retrouvez l'ensemble des Notes d'Expert

Cloudification

Cloudification Derrière ce terme barbare se cache de multiples façons de transformer le système d’information. Mais que cette transformation soit unique ou multiple elle  est présente dans toute les entreprises ou organisations. Parfois voulue et maîtrisée, parfois subie, la cloudification est un sujet à traiter par toutes les DSI et aussi et surtout par tous les responsables sécurité.

 

 

Bien gérée, elle permettra aux Directions du SI de satisfaire ses clients internes, en termes d’agilité et de réactivité ; Subie, elle ne sera qu’une perte de contrôle et une mise en concurrence par les métiers entre leur DSI et ces services cloud.

Dans cette étape critique, les responsables sécurité jouent un rôle crucial. En campant sur leur position et en s’opposant à cette cloudification, ils entraineront un désamour des utilisateurs vis-à-vis de leur DSI. En validant un catalogue de services suffisamment sécurisé, ils reprendront le contrôle et éviteront une grande partie du « Shadow IT » devenu si commun dans les entreprises.

Comme nous l’évoquions plus haut, cette cloudification est multiple et les solutions de sécurité à apporter sont aussi diverses :

SaaS (Software as a Service)

En tant que clients de ces services, vous ne pouvez bien sûr pas agir sur la sécurité de  l’infrastructure ou du logiciel, vous ne pouvez que vous assurez (au mieux) par contrat ou audit que les mesures nécessaires sur ces aspects sont mises en place. Toutefois il est possible d’agir sur d’autres éléments :

  • L’une des premières briques bien souvent implémentée est la gestion d’identité et le SSO (Single Sign On). Grâce à des standards comme SAML, la vie de l’utilisateur est simplifiée et l’entreprise maitrise à nouveau les personnes qui accèdent aux services référencés.
  • La confidentialité est une inquiétude naturelle. Inquiétude que le Service Provider accède à la donnée ou que les comptes, accessibles sur Internet, soient compromis (brute force, phishing ou faille dans l’infrastructure). Le chiffrement de la donnée est donc une brique essentielle. Des offres comme Capsule Docs permettent de chiffrer les documents en amont avant de stocker ces informations dans le cloud.
  • Il faut reconnaitre que lorsqu’on ne parle plus de documents mais de données pures, stockées dans des bases de données formatées par le fournisseur de SaaS, il devient très difficile de faire du chiffrement ou du moins du chiffrement entièrement géré par le client (gestion externe au SaaS des clés de chiffrement etc..). De nombreuses limitations fonctionnelles apparaissent alors et des progrès significatifs sont attendus dans les années à venir dans ce domaine de la part des fournisseurs de SaaS
  • Une offre de CASB (Cloud Access Security Broker) peut vous aider à fournir ces différents services de sécurité pour les  Services Cloud que vous référencez. Prenons l’exemple d’Avanan qui permet d’unifier les accès et d’apporter les briques de sécurité Check Point nécessaires, comme le DLP, le Sandboxing ou le chiffrement de documents.
  • Dans tous les cas assurez-vous de reprendre le contrôle et de n’autoriser que les populations précises à utiliser des services référencés, afin d’éviter le « Shadow IT ». On pense bien sûr au Firewall Next Generation pour accomplir ce genre de tâche mais cela resterait incomplet si vous n’êtes pas en mesure d’appliquer les mêmes filtrages sur les postes mobiles à l’extérieur de l’entreprise, que ce soit par  un agent installé sur le poste ou grâce à un filtrage dans le cloud (Security as a Service) qui pourra aussi prendre en compte les Smartphones et les tablettes.

On le voit donc ici, la cloudification, en l’occurrence de la sécurité, peut également  améliorer le niveau de sécurité des entreprises.

IaaS (Infrastructure as a Service)

Rien de tel pour tirer parti des solutions Cloud et s’intégrer facilement, qu’une solution de sécurité basée à 100% sur le logiciel et indépendante de tout matériel comme les Asics ou FPGAs. Cela fait maintenant de très nombreuses années que Check Point Software Technologies utilise les architectures multi-cores pour offrir des performances inégalées en trafic réel, sur nos appliances, sur  des serveurs banalisés ou sur des Virtual Machines (vSEC). Ainsi nul besoin de simuler/remplacer les Asics et de créer une deuxième solution pour le cloud, différente des appliances.

  • Cloud Privé

Maintenant que le pas a été franchi et que la virtualisation est bien en place dans les DataCenters, Il reste une marche à gravir: passer au Cloud Privé, c’est-à-dire intégrer à la fois le SDN (NSX, ACI etc…) et d’administrer tout cela à l’aide d’un outil centralisé : l’orchestrateur.

La sécurité, elle aussi, doit pouvoir tirer parti du SDN et s’intégrer afin d’offrir de la micro-segmentation dynamique et devenir un service porté par le SDN. Elle doit pourvoir aussi être pilotée par les outils d’orchestration soit de manière native, soit grâce à des APIs.

  • Cloud Public

L’objectif est de mettre en place, ici, des bulles ou Virtual Private Cloud permettant à chaque client de sécuriser son propre périmètre dans une masse de ressources de computing générique mis à disposition. Cette intégration dans des Cloud comme Amazon Web Services (AWS), Microsoft Azur ou vCloud Air de VMware, doit permettre de gérer les spécificités techniques de chaque Cloud tout en offrant un niveau de sécurité uniforme.

Ainsi le Datacenter pourra facilement être étendu avec le même niveau de sécurité et cette extension peut être apportée par le VPN monté entre une appliance Check Point on-premise et une Virtual Gateway dans le cloud. Ces même virtual gateways permettront d’accueillir les connexions distantes des utilisateurs en SSL ou IPsec.

L’architecture unifiée

Il n’est pas rare que des entreprises utilisent à la fois un cloud privé (pour leurs ressources les plus sensibles) mais également un ou plusieurs cloud publics (en fonctions des projets ou des décisions de la DSI ou des métiers). Et même si vous optez pour un Cloud Hybride, vous devez pour autant fournir un niveau uniforme de sécurité ainsi qu’une vision unique de ce système d’information étendu : il vous faut donc déployer des solutions adaptées à chacun de ces environnements, uniformes d’un point de vue des fonctions de sécurité mais surtout administrées centralement.

Ainsi, les objets appris dynamiquement dans un environnement NSX ou ACI pourront être utilisés par la politique de sécurité appliquée dans un Cloud Azure, par exemple et vice-versa. Ainsi non seulement vous apporterez l’agilité rechercher en migrant vers le cloud mais en plus vous obtiendrez cette agilité de bout-en-bout. De plus, ce management unique vous apporte une réversibilité souvent oubliée, mais tellement plus simple quand les mêmes concepts sont appliqués et que la même politique peut être appliquée sur différents clouds.

© 2019 Check Point. All Rights Reserved. Designed By CheckPointFrance