Qu’est-ce qu’une plateforme de protection des applications cloud-native (CNAPP) ?
Les plateformes de protection des applications cloud-native (CNAPP) intègrent et centralisent des fonctions de sécurité habituellement disparates au sein d’une interface utilisateur unique. CNAPP correspond à la désignation Gartner de ce que Palo Alto Networks appelait CNSP (Cloud-Native Security Platform). Ces plateformes rassemblent des fonctionnalités de gestion de la posture de sécurité du cloud (CSPM), de protection des workloads cloud (CWPP), de gestion des droits sur l’infrastructure cloud (CIEM) et de sécurité CI/CD au sein d’une solution unifiée capable de sécuriser les applications cloud-native tout au long de leur cycle de vie.
Cette approche offre une visibilité transverse aux différents silos, ce qui permet aux équipes de sécurité, d’infrastructure cloud et DevOps de protéger l’ensemble de la stack applicative. À elle seule, une plateforme CNAPP peut protéger les applications en phase d’exécution (runtime), tout en intégrant la sécurité aux workflows de développement pour détecter et corriger les failles dès les premières étapes du cycle de vie de l’application.
Du code au cloud : l’importance d’une plateforme CNAPP
Le problème de nombreuses organisations vient de leur approche réactive de la sécurité cloud-native : elles traitent les problèmes au cas par cas au lieu d’aborder la sécurité du cloud de manière plus globale. Elles ont adopté des solutions ou des outils spécifiques à chaque problème, finissant ainsi par accumuler un patchwork de technologies qui engendrent encore plus de problèmes :
Les solutions spécialisées génèrent une surcharge de travail. La gestion d’une stack croissante d’outils devient un workflow en soi. Et comme la plupart des solutions ne peuvent pas communiquer entre elles sans exiger un effort considérable d’intégration, les équipes ne bénéficient que d’une visibilité et d’une protection limitées.
Il est impossible d’assurer une protection homogène. Des dizaines d’outils de sécurité peuvent effectuer des contrôles à des moments précis du cycle de vie des applications. Or, sans contrôles homogènes lors des phases de développement, de déploiement et d’exécution, les équipes de sécurité et de gestion des risques n’ont d’autre choix que de comparer des résultats disparates pour tenter de détecter les vulnérabilités et erreurs de configuration réelles.
Le manque d’intégration crée des angles morts. La plupart des équipes de sécurité cloud doivent analyser les menaces ciblant les services cloud, les workloads ou applications, les réseaux, les données et les autorisations. Or, faute d’outil unifié, des angles morts apparaissent à l’intersection de chacune des solutions déployées.
Les CNAPP apportent des avantages évidents face à ces différentes problématiques.
À environnements distribués, solutions intégrées
L’un des principaux arguments en faveur d’une plateforme de sécurité complète et intégrée est qu’en matière de sécurité du cloud, plusieurs équipes doivent remplir des missions granulaires et entrecroisées sur différents domaines fonctionnels.
Infrastructure
Les équipes doivent définir clairement le périmètre de leurs obligations dans le cadre d’un modèle de partage de responsabilité : des études révèlent ainsi que les organisations ont tendance à surestimer les dispositifs de protection et les alertes que leur CSP est censé fournir en leur nom. En outre, les besoins de certaines instances réseau, de stockage et de calcul se recoupent en matière de gestion de la posture de sécurité du cloud (CSPM). Toutefois, chacun de ces environnements nécessite également ses propres contrôles d’accès et autorisations, lesquels entrent dans le champ du système de gestion des droits sur l’infrastructure cloud (CIEM).
Workloads et applications
De même, les workloads et les applications sur cette infrastructure doivent être soumis à une gestion des vulnérabilités, à un suivi de la conformité, à l’application de politiques et à une protection du runtime. Il s’agit généralement de domaines sur lesquels les équipes de sécurité ou les équipes DevOps sont censées déployer des protections. Or, ces outils doivent être intégrés aux données provenant des pipelines CI/CD et s’étendre à l’environnement runtime des applications web et des API.
Réseaux
Les applications cloud-native nécessitent un réseau capable d’offrir une connectivité fiable et sécurisée. En ce sens, la sécurisation des communications réseau exige une prévention inline des menaces, de même qu’un accès basé sur le principe du moindre privilège pour les workloads qui accèdent à d’autres workloads.
Identités et autorisations
Sur la couche sous-jacente à tous ces domaines, les droits et autorisations pour l’infrastructure et les services cloud doivent garantir un bon équilibre entre besoin d’accès distribué et gestion des risques. L’objectif est ici d’empêcher les autorisations trop permissives ou obsolètes, susceptibles de réduire à néant tous vos autres efforts.
Codage et développement
Les développeurs et les équipes DevOps sont chargés de fournir un code de haute qualité, ce qui dans la plupart des cas est également synonyme de code sécurisé. Toutefois, c’est aux équipes de sécurité qu’il incombe de fournir les informations dont le DevOps a besoin pour créer du code sécurisé. Pour appliquer des mesures de sécurité le plus tôt possible dans le cycle de vie des applications, il vous faut des outils homogènes capables de couvrir l’ensemble de ce cycle.
Chaque équipe doit travailler en étroite collaboration pour garantir une application cohérente de ces protections. En ce sens, les plateformes CNAPP sont les outils intégrés qui contribuent à briser les silos qui séparent actuellement ces équipes.
Anatomie d’un besoin annoncé
Le développement d’applications cloud-native a atteint un tel niveau de maturité que certaines hypothèses peuvent désormais être plus ou moins considérées comme des faits acquis. L’un des premiers constats dans ce domaine a été la nature intrinsèquement diverse, disparate et distribuée des environnements cloud. Pour les professionnels chargés de gérer ces environnements dynamiques et complexes, le réflexe naturel a été de tenter d’imposer davantage de cohérence et d’uniformité. Or, la coordination d’un large éventail de produits spécialisés rend logiquement très difficile la gestion des risques.
Pour sécuriser les infrastructures et les applications cloud-native, les organisations doivent gagner en agilité et en adaptabilité, ce qui passe par davantage d’intégration. Elles doivent être en mesure de s’attaquer aux menaces dès l’étape de développement, puis d’assurer une sécurité continue tout au long du cycle DevOps, jusqu’au runtime dans les environnements de production. Cela passe par l’adoption d’outils spécialement conçus pour les environnements cloud-native, capables de fournir des informations de sécurité critiques au bon moment, à tous les stades du cycle de développement.
Pour nous, il ne fait aucun doute que Prisma Cloud répond en tous points aux exigences des plateformes CNAPP telles que définies par Gartner. Téléchargez le rapport gratuit pour découvrir par vous-même les recommandations détaillées.
Vidéo – Sécurisation des environnements cloud-native avec Prisma Cloud