Qu’est-ce qu’une plateforme de protection des applications cloud-native (CNAPP) ?

Les plateformes de protection des applications cloud-native (CNAPP) intègrent et centralisent des fonctions de sécurité habituellement disparates au sein d’une interface utilisateur unique. CNAPP correspond à la désignation Gartner de ce que Palo Alto Networks appelait CNSP (Cloud-Native Security Platform). Ces plateformes rassemblent des fonctionnalités de gestion de la posture de sécurité du cloud (CSPM), de protection des workloads cloud (CWPP), de gestion des droits sur l’infrastructure cloud (CIEM) et de sécurité CI/CD au sein d’une solution unifiée capable de sécuriser les applications cloud-native tout au long de leur cycle de vie.

Cette approche offre une visibilité transverse aux différents silos, ce qui permet aux équipes de sécurité, d’infrastructure cloud et DevOps de protéger l’ensemble de la stack applicative. À elle seule, une plateforme CNAPP peut protéger les applications en phase d’exécution (runtime), tout en intégrant la sécurité aux workflows de développement pour détecter et corriger les failles dès les premières étapes du cycle de vie de l’application.

Du code au cloud : l’importance d’une plateforme CNAPP

Le problème de nombreuses organisations vient de leur approche réactive de la sécurité cloud-native : elles traitent les problèmes au cas par cas au lieu d’aborder la sécurité du cloud de manière plus globale. Elles ont adopté des solutions ou des outils spécifiques à chaque problème, finissant ainsi par accumuler un patchwork de technologies qui engendrent encore plus de problèmes :

  • Les solutions spécialisées génèrent une surcharge de travail. La gestion d’une stack croissante d’outils devient un workflow en soi. Et comme la plupart des solutions ne peuvent pas communiquer entre elles sans exiger un effort considérable d’intégration, les équipes ne bénéficient que d’une visibilité et d’une protection limitées.

  • Il est impossible d’assurer une protection homogène. Des dizaines d’outils de sécurité peuvent effectuer des contrôles à des moments précis du cycle de vie des applications. Or, sans contrôles homogènes lors des phases de développement, de déploiement et d’exécution, les équipes de sécurité et de gestion des risques n’ont d’autre choix que de comparer des résultats disparates pour tenter de détecter les vulnérabilités et erreurs de configuration réelles.

  • Le manque d’intégration crée des angles morts. La plupart des équipes de sécurité cloud doivent analyser les menaces ciblant les services cloud, les workloads ou applications, les réseaux, les données et les autorisations. Or, faute d’outil unifié, des angles morts apparaissent à l’intersection de chacune des solutions déployées.

Les CNAPP apportent des avantages évidents face à ces différentes problématiques.

À environnements distribués, solutions intégrées

L’un des principaux arguments en faveur d’une plateforme de sécurité complète et intégrée est qu’en matière de sécurité du cloud, plusieurs équipes doivent remplir des missions granulaires et entrecroisées sur différents domaines fonctionnels.

Infrastructure

Les équipes doivent définir clairement le périmètre de leurs obligations dans le cadre d’un modèle de partage de responsabilité : des études révèlent ainsi que les organisations ont tendance à surestimer les dispositifs de protection et les alertes que leur CSP est censé fournir en leur nom. En outre, les besoins de certaines instances réseau, de stockage et de calcul se recoupent en matière de gestion de la posture de sécurité du cloud (CSPM). Toutefois, chacun de ces environnements nécessite également ses propres contrôles d’accès et autorisations, lesquels entrent dans le champ du système de gestion des droits sur l’infrastructure cloud (CIEM).

Workloads et applications

De même, les workloads et les applications sur cette infrastructure doivent être soumis à une gestion des vulnérabilités, à un suivi de la conformité, à l’application de politiques et à une protection du runtime. Il s’agit généralement de domaines sur lesquels les équipes de sécurité ou les équipes DevOps sont censées déployer des protections. Or, ces outils doivent être intégrés aux données provenant des pipelines CI/CD et s’étendre à l’environnement runtime des applications web et des API.

Réseaux

Les applications cloud-native nécessitent un réseau capable d’offrir une connectivité fiable et sécurisée. En ce sens, la sécurisation des communications réseau exige une prévention inline des menaces, de même qu’un accès basé sur le principe du moindre privilège pour les workloads qui accèdent à d’autres workloads.

 

Identités et autorisations

Sur la couche sous-jacente à tous ces domaines, les droits et autorisations pour l’infrastructure et les services cloud doivent garantir un bon équilibre entre besoin d’accès distribué et gestion des risques. L’objectif est ici d’empêcher les autorisations trop permissives ou obsolètes, susceptibles de réduire à néant tous vos autres efforts.

Codage et développement

Les développeurs et les équipes DevOps sont chargés de fournir un code de haute qualité, ce qui dans la plupart des cas est également synonyme de code sécurisé. Toutefois, c’est aux équipes de sécurité qu’il incombe de fournir les informations dont le DevOps a besoin pour créer du code sécurisé. Pour appliquer des mesures de sécurité le plus tôt possible dans le cycle de vie des applications, il vous faut des outils homogènes capables de couvrir l’ensemble de ce cycle.

Chaque équipe doit travailler en étroite collaboration pour garantir une application cohérente de ces protections. En ce sens, les plateformes CNAPP sont les outils intégrés qui contribuent à briser les silos qui séparent actuellement ces équipes.

Anatomie d’un besoin annoncé

Le développement d’applications cloud-native a atteint un tel niveau de maturité que certaines hypothèses peuvent désormais être plus ou moins considérées comme des faits acquis. L’un des premiers constats dans ce domaine a été la nature intrinsèquement diverse, disparate et distribuée des environnements cloud. Pour les professionnels chargés de gérer ces environnements dynamiques et complexes, le réflexe naturel a été de tenter d’imposer davantage de cohérence et d’uniformité. Or, la coordination d’un large éventail de produits spécialisés rend logiquement très difficile la gestion des risques.

Pour sécuriser les infrastructures et les applications cloud-native, les organisations doivent gagner en agilité et en adaptabilité, ce qui passe par davantage d’intégration. Elles doivent être en mesure de s’attaquer aux menaces dès l’étape de développement, puis d’assurer une sécurité continue tout au long du cycle DevOps, jusqu’au runtime dans les environnements de production. Cela passe par l’adoption d’outils spécialement conçus pour les environnements cloud-native, capables de fournir des informations de sécurité critiques au bon moment, à tous les stades du cycle de développement.

Pour nous, il ne fait aucun doute que Prisma Cloud répond en tous points aux exigences des plateformes CNAPP telles que définies par Gartner. Téléchargez le rapport gratuit pour découvrir par vous-même les recommandations détaillées.

Vidéo – Sécurisation des environnements cloud-native avec Prisma Cloud

Plateforme CNAPP : les questions fréquentes

La sécurité des microservices consiste à protéger les services individuels et faiblement couplés qui composent une application. Chaque microservice requiert ses propres mécanismes d’authentification, d’autorisation et de chiffrement pour sécuriser les communications interservices et empêcher les accès non autorisés. Les équipes de sécurité mettent en place des maillages de services et appliquent des politiques pour gérer le trafic et garantir une sécurité homogène de tous les microservices, réduisant ainsi la surface d’attaque dans les environnements containerisés.
La gestion de la posture de sécurité du cloud (CSPM) consiste à automatiser l’identification et la réduction des risques sur les infrastructures cloud. Les outils CSPM recherchent en permanence les erreurs de configuration, appliquent des politiques de sécurité et garantissent la conformité aux standards sectoriels. Ils offrent une visibilité sur les assets cloud et leurs configurations, ce qui permet aux équipes de maintenir une posture de sécurité solide dans les environnements cloud dynamiques.
Une plateforme de protection des applications cloud-native (CNAPP) est une suite intégrée garante d’une sécurité complète des applications cloud-native. Gestion de la posture de sécurité du cloud (CSPM), protection des workloads cloud (CWPP), sécurité des applications… une plateforme CNAPP centralise diverses fonctionnalités destinées à protéger les environnements cloud tout au long du cycle de vie logiciel. Elle traite les risques du code jusqu’au runtime autour de trois axes : détection des menaces, gestion des vulnérabilités et suivi de la conformité.
Un CASB (Cloud Access Security Broker) agit comme un intermédiaire entre les utilisateurs et les fournisseurs de services cloud pour l’application des politiques de sécurité. Les CASB offrent une visibilité sur l’utilisation des applications cloud, la protection des données, la prévention des menaces et le niveau de conformité de nombreux services cloud. Ils permettent aux organisations d’étendre les contrôles de sécurité de leur infrastructure on-prem jusqu’au cloud.
Une plateforme de protection des workloads cloud (CWPP) permet de sécuriser les workloads qui s’exécutent sur des machines virtuelles, des containers et des fonctions sans serveur, tant dans des environnements cloud publics que privés et hybrides. Les CWPP assurent la protection du runtime, la surveillance de l’intégrité des systèmes, les contrôles du réseau et la gestion des vulnérabilités pour protéger les workloads contre les menaces et garantir la conformité.
La DSPM, ou gestion de la posture de sécurité des données, utilise des outils et des pratiques destinés à identifier et à réduire les risques pour les données dans les environnements cloud. Les solutions DSPM automatisent la découverte des data stores, classent les données sensibles, puis évaluent et appliquent des politiques de protection des données. Elles offrent une visibilité sur les schémas d’accès aux données, détectent les anomalies et aident à maintenir la conformité aux réglementations sur la protection des données.
L’AI-SPM, ou gestion de la posture de sécurité par intelligence artificielle, s’appuie sur des algorithmes de machine learning pour améliorer l’identification et la réduction des risques de sécurité. Les outils AI-SPM analysent de vastes jeux de données pour repérer les comportements inhabituels, détecter les menaces et anticiper d’éventuelles vulnérabilités. Ces outils apprennent et évoluent au fil du temps pour renforcer les mesures de sécurité et améliorer les stratégies de réponse.
La protection des applications englobe l’ensemble des mesures de sécurité mises en place pour protéger les applications contre les menaces tout au long de leur cycle de vie : déploiement de pare-feu d’applications, chiffrement des données, bilans de sécurité réguliers, correction des vulnérabilités pendant la phase de développement, etc. Ces stratégies de protection garantissent l’intégrité des applications et la confidentialité des données qu’elles traitent.
La surveillance continue consiste à examiner en permanence les contrôles de sécurité, les vulnérabilités et les données de Threat Intelligence pour garantir l’intégrité et la sécurité des systèmes informatiques. Elle fait intervenir des outils automatisés qui alertent en temps réel sur les incidents de sécurité, accélérant ainsi la réponse aux menaces potentielles. Une surveillance continue est indispensable à une lecture précise de la situation et à une bonne gestion de la posture de sécurité dans les environnements cloud dynamiques.
La Threat Intelligence décrit une activité consistant à collecter et à analyser des informations sur les menaces existantes ou émergentes pour faciliter et fiabiliser les décisions de sécurité. En exploitant les données provenant de diverses sources, les organisations peuvent anticiper, identifier et neutraliser les menaces de sécurité potentielles avant qu’elles n’impactent leurs opérations.
La protection du runtime consiste à sécuriser les applications pendant leur phase d’exécution, par une surveillance active et une neutralisation des attaques en temps réel. Analyse comportementale, protection de la mémoire, surveillance des processus pour détecter et bloquer les activités malveillantes… toutes ces mesures sont mises en œuvre pour éviter toute compromission des applications en cours d’exécution.
L’automatisation de la conformité consiste à recourir à des technologies capables de rationaliser l’application des politiques et autres exigences réglementaires. Les outils automatisés évaluent les systèmes par rapport aux critères de conformité définis, signalent les écarts et facilitent la résolution des problèmes pour maintenir une conformité continue. En réduisant les efforts manuels et les erreurs qui en découlent, l’automatisation de la conformité permet d’établir un cadre de gouvernance robuste.
La gestion des vulnérabilités décrit une approche de gestion proactive des risques de cybersécurité. Elle consiste à identifier, catégoriser, prioriser et corriger les vulnérabilités logicielles. Les outils de gestion des vulnérabilités s’inscrivent dans une démarche d’amélioration continue. Pour ce faire, ils analysent les environnements pour détecter d’éventuelles failles et déployer des correctifs et autres actions correctives permettant de neutraliser les menaces potentielles.
La sécurité des fonctions sans serveur (de l’anglais « serverless ») se concentre sur la protection d’architectures IT au sein desquelles les développeurs déploient des fonctions individuelles sans gérer les serveurs sous-jacents. Les mesures de sécurité incluent des contrôles d’autorisation au niveau des fonctions, une surveillance de la sécurité basée sur les événements et la sécurisation de l’environnement runtime contre les menaces. L’infrastructure étant gérée par le fournisseur cloud, les stratégies de sécurité ciblent principalement les vulnérabilités contenues dans le code, garantissant ainsi un traitement et une transmission sécurisés des données.
La sécurité des API assure la protection des interfaces exposant les fonctionnalités des applications contre les utilisations abusives et les attaques. La sécurisation des API agit sur plusieurs leviers : authentification robuste, contrôles des accès, chiffrement et surveillance des activités pour protéger les échanges de données. Concrètement les mesures mises en place incluent l’utilisation d’OAuth pour l’autorisation, la définition de plafonds de débit pour éviter les abus, et l’utilisation de passerelles API pour filtrer le trafic et détecter les menaces, garantissant ainsi la résilience des API face aux attaques.