Une approche plus efficace de la sécurité du cloud : NGFW pour CASB en ligne
Les applications cloud ont changé la façon dont les organisations font des affaires, introduisant au passage de nouveaux risques de sécurité. Ces applications sont faciles à mettre en place et à utiliser pour la collaboration et, par conséquent, le volume et la sensibilité des données transférées, stockées et partagées dans ces environnements cloud ne cessent d'augmenter. Simultanément, les utilisateurs se déplacent constamment vers des lieux physiques différents et utilisent plusieurs appareils, systèmes d'exploitation et versions d'applications pour accéder aux données dont ils ont besoin.
Il s'agit là de changements importants dans les habitudes de travail et la technologie, et les outils de sécurité traditionnels n'ont pas été en mesure de suivre le rythme. La volonté de combler ces lacunes en matière de sécurité a donné naissance à de nouvelles technologies et à de nouvelles façons de les décrire, notamment la catégorie des courtiers en sécurité d'accès au cloud (CASB).
Selon Gartner, "les CASB sont des points d'application des politiques de sécurité sur place ou dans le nuage, placés entre les consommateurs et les fournisseurs de services dans le nuage pour combiner et interjeter les politiques de sécurité de l'entreprise lors de l'accès aux ressources dans le nuage". Les CASB consolident plusieurs types d'application des politiques de sécurité."
Les CASB fournissent aux organisations trois fonctions clés de sécurité SaaS et ont connu de ce fait une évolution et une adoption rapides : (1) visibilité de l'utilisation du SaaS ; (2) contrôle granulaire de l'accès au SaaS, et (3) conformité et sécurité de vos données basées sur le cloud. Il existe différents modes de déploiement par lesquels un CASB peut fournir ses fonctions, notamment le mode inline et le mode API. Nous les examinerons plus en détail ci-dessous et mettrons en évidence une approche plus simple et plus efficace : NGFW pour CASB en ligne.
Répondre au besoin du CASB
La définition du CASB au moment de sa création avec l'utilisation du terme "broker" impliquait que les CASB se trouvaient sur le chemin de votre trafic cloud. Depuis, la technologie CASB a évolué et comprend aujourd'hui deux composants clés : le mode inline et le mode API. Examinons brièvement ces deux modes.
CASB en ligne
Le CASB en ligne peut être subdivisé en deux modes : le proxy direct et le proxy inverse. Avec le forward proxy, les fournisseurs de CASB doivent transférer le trafic cloud vers une appliance ou un service capable de fournir des fonctionnalités de visibilité et de contrôle des apps. Il est également important de noter que les capacités de forward proxy ne se limitent pas aux seuls proxys. De puissantes capacités de contrôle des applications nouvelle génération peuvent également être mises en œuvre à l'aide d'une appliance ou de services NGFW. Cette solution est idéale pour de multiples raisons, car de nombreux clients ont déjà déployé le NGFW en tant que passerelle internet pour les utilisateurs sur place ou à distance. Si les clients préfèrent utiliser un véritable Proxy (proposé par la plupart des fournisseurs de CASB), celui-ci introduit souvent des frais généraux de gestion supplémentaires et une certaine complexité. Il est important que les clients se demandent si leur NGFW existant répond déjà à leurs besoins en matière de CASB en ligne sans coût supplémentaire. Dans le cas d'un proxy inverse, les fournisseurs de CASB utilisent le SSO (ou parfois le DNS) pour réacheminer les utilisateurs vers un service CASB en ligne afin de garantir l'application des politiques.
CASB basé sur l'API
L'approche basée sur l'API permet aux fournisseurs de CASB d'accéder aux données du client au sein de l'application cloud sans être "entre" le trafic cloud. Il s'agit d'une approche hors bande permettant d'assurer plusieurs fonctions, notamment l'inspection granulaire de la sécurité des données sur toutes les données au repos dans l'application ou le service cloud, ainsi que la surveillance continue de l'activité des utilisateurs et des configurations administratives. L'expérience de l'utilisateur de l'application cloud est préservée car l'API n'est pas intrusive et n'interfère pas avec le chemin des données vers l'application cloud. En plus d'appliquer des politiques pour toute violation future, un CASB basé sur une API est le seul moyen de parcourir les données existantes stockées dans le cloud et de remédier à toute violation de la DLP et à toute menace. C'est d'autant plus important que les entreprises finissent par "sanctionner" une application avant d'avoir compris comment la sécuriser, et qu'il y a presque toujours du contenu existant qui doit être examiné. Nous aborderons le CASB basé sur les API de manière beaucoup plus détaillée dans un prochain article de blog.
Nous avons une approche plus simple : NGFW pour CASB en ligne
Un pare-feu nouvelle génération combine les fonctions d'inspection des utilisateurs, du contenu et des applications au sein des pare-feu pour permettre les fonctions CASB. La technologie d'inspection est alors capable de mettre en correspondance les utilisateurs et les applications afin d'offrir un contrôle granulaire sur l'utilisation des applications cloud - indépendamment de l'emplacement ou de l'appareil. Les fonctionnalités pertinentes pour le CASB au sein du NGFW comprennent le contrôle granulaire des applis (y compris les applis SaaS et sur place), le contrôle des fonctions spécifiques aux applis, le filtrage des URL et du contenu, les politiques basées sur le risque applicatif, le DLP, les politiques basées sur l'utilisateur et la prévention des logiciels malveillants connus et inconnus.
Les clients qui choisissent une approche basée sur le NGFW doivent disposer d'une certaine souplesse de déploiement, en utilisant l'un des scénarios suivants ou une combinaison de ceux-ci :
- NGFW en tant qu'appareil : Au-delà des appliances physiques qui peuvent déjà être en place, les pare-feu virtuels peuvent agir comme des passerelles dans le cloud pour assurer une couverture globale maximale aux utilisateurs à distance, en éliminant les frais généraux liés au déploiement de matériel supplémentaire. La plupart des clients ont déjà déployé ce composant pour les utilisateurs sur place.
- NGFW en tant que service cloud: Dans ce scénario, l'infrastructure de sécurité multi-tenant, basée sur le cloud, devrait être gérée et maintenue par le fournisseur de sécurité. Par exemple, le service Palo Alto Networks Prisma™ Access (anciennement GlobalProtect™ cloud service) permet aux clients d'utiliser les capacités préventives de la plateforme de sécurité de nouvelle génération Palo Alto Networks pour sécuriser les réseaux distants et les utilisateurs mobiles. Le service peut être une simple extension de leur déploiement NGFW existant pour empêcher l'exfiltration de données sensibles à travers toutes les apps, basées sur SaaS ou non. Les clients peuvent réduire la complexité et le coût de la gestion des déploiements mondiaux, et bénéficier d'une protection cohérente dans les environnements cloud.
De plus, lorsqu'une approche NGFW en ligne est utilisée dans le cadre d'une plateforme de sécurité de nouvelle génération intégrée et axée sur la prévention - comprenant un NGFW, un nuage de renseignements sur les menaces, un service de sécurité SaaS basé sur une API et une protection avancée des terminaux - les clients peuvent mettre fin aux fuites de données de leurs applications en nuage, réduire l'exposition aux menaces en contrôlant l'utilisation des applications autorisées et non autorisées, prévenir les menaces connues et inconnues dans le cadre du trafic autorisé et garantir que l'adoption de leurs applications en nuage reste conforme.
Une plateforme de sécurité de nouvelle génération permet en effet d'assurer une protection complète du cloud pour un coût total de possession inférieur à celui des CASB classiques.
Pour en savoir plus, consultez les ressources suivantes :
