Comprendre la spécificité de la sécurité des applications cloud natives : un prérequis pour une protection pérenne et adaptée

Une stratégie de sécurité cloud native doit reposer sur la capacité à comprendre la nature dynamique de ces applications mais aussi les limites des approches de sécurité traditionnelles.

Les déploiements cloud natifs à grande échelle obligent les entreprises à mettre en œuvre diverses technologies de sécurité s’appuyant sur un modèle DevSecOps et "shift left", de l’automatisation intelligente, une approche CSPM (Cloud Security Posture Management) pour identifier et monitorer les ressources cloud ou encore des outils CWPP (Cloud Workload Protection Platforms) pour assurer la protection des workloads. 

Ces diverses technologies et méthodologies mettent à mal le quotidien du RSSI qui est mis au défi d’identifier quels composants essentiels appliquer pour une solution de sécurité cloud native efficace. A cela s’ajoutent un flux croissant de vulnérabilités provenant des pipelines CI/CD, une avalanche d'alertes et des problèmes de configuration émanant des différents environnements de production. 

Des recherches récentes d’Aqua Nautilus ont montré qu’il fallait moins de 20 minutes à un cyber assaillant pour compromettre un workload cloud natif vulnérable ! Face à cette situation plus que complexe, une stratégie de sécurité cloud native efficace doit reposer en premier lieu sur la capacité à bien comprendre non seulement la nature dynamique de ces applications particulières mais aussi les limites des approches de sécurité traditionnelles.

Comment les caractéristiques intrinsèques du cloud natif influent sur la sécurité

Le cloud natif a bouleversé le développement applicatif moderne avec l’introduction des méthodologies agiles, l'automatisation, le recours aux codes open source ou encore le développement d’applications en micro services, opérés généralement par des conteneurs, des fonctions Serverless ou les deux à la fois.  Depuis que les déploiements cloud natifs comptabilisent des milliers de conteneurs et de fonctions en production, les organisations s’appuient de plus en plus sur l’outil d’orchestration Kubernetes pour automatiser le déploiement, la mise à l'échelle et la gestion de ces applications conteneurisées.

Mais le monde Kubernetes est particulier et les outils de sécurité traditionnels n’ont pas été conçus pour ces environnements hautement dynamiques. En effet, dans les applications cloud natives, les workloads sont éphémères, ils peuvent être adaptés par un orchestrateur selon les besoins et arrêtés à tout moment. Kubernetes lui-même apporte son lot de complexité en matière de rôles utilisateur, de mise en réseau, de stockage et d'utilisation des ressources. Et à l'instar des clouds publics, il peut entrainer des problèmes de configuration importants.

Pour minimiser les risques et l’exposition globale, il est nécessaire de mettre en place de la visibilité et un contrôle complets sur l’ensemble des composants open source - afin d’identifier et de corriger les failles de sécurité en amont de la mise en production des applications. A cela doivent s’ajouter des tests de sécurité sur l’ensemble du cycle de vie CI/CD, tout en s'assurant que les contrôles soient à même de suivre les workloads dynamiques, où qu'ils soient, pour les protéger à tout moment.

CNAPP - une approche intégrée et holistique de la sécurité cloud native

Le  Gartner  préconise de considérer la sécurité et la conformité comme un continuum à travers le développement et les opérations. Une plateforme CNAPP apportera aux entreprises une réponse concrète, si elle est réellement cloud native, c’est-à-dire capable d'analyser, de suivre, de surveiller et de contrôler tous types de workloads (conteneurs, fonctions serverless et VM), tout en couvrant la stack complète de l'infrastructure cloud native : Kubernetes, outils d'infrastructure-as-code (IaC), multiples fournisseurs de clouds publics... Elle doit également activer de la sécurité sur l'ensemble du cycle de vie CI/CD et s'intégrer à une vaste palette d'outils DevOps modernes pour permettre une protection temps réel. Seules les solutions CNAPP comportant des politiques de runtime offrant une protection précise et en temps réel des conteneurs, VM et fonctions, seront capables de bloquer les attaques en cours d’exécution.

Des enjeux qui requièrent une intégration profonde et des contrôles embarqués

Déployer des solutions de sécurité spécifiquement adaptées au cloud natif est aujourd’hui un impératif pour les RSSI. Mais pour être réellement efficaces, elles doivent offrir une multitude de fonctionnalités unifiées : analyse des artefacts en shift left, CSPM, gestion de la posture de sécurité de Kubernetes (KSPM), évaluation des templates IaC, gestion des droits de l'infrastructure du cloud (CIEM) et plateforme de protection des workloads cloud (CWPP). Offrir également des contrôles dès la phase de développement jusqu'à la production et quel que soit l’infrastructure où les applications sont déployées – on premise, dans le cloud public ou dans un environnement hybride. Elles doivent enfin être capables de détecter et de stopper les attaques, et pas uniquement de fournir une visibilité sur les problématiques de configuration et les vulnérabilités.

Pour accélérer leur développement cloud natif et leur transformation numérique tout en bénéficiant d'une protection optimale, les entreprises n’ont d’autre alternative que de protéger leurs applications en temps réel, et ce dès leur construction.