Les pare-feu de cloud public sont des appareils virtuels de sécurité du réseau déployés dans le cloud public. Ils offrent en général des fonctionnalités similaires à celles des pare-feu matériels. Toutefois, dans les déploiements cloud hybrides, ils se démarquent nettement de leurs équivalents sur site en termes d'évolutivité, de disponibilité et d'extensibilité. Également appelés « pare-feu virtuels », ces appareils portent le nom de « pare-feu de cloud public » lorsqu'ils sont exploités dans ces environnements.
De l'importance des pare-feu de cloud public
La sécurité des applications cloud obéit à un modèle de responsabilité partagée entre le client et le fournisseur de services cloud (CSP). Concrètement, le CSP protège l'infrastructure (matériel, logiciels, réseau, installations, etc.) qui exécute ses services, tandis que le client, lui, doit sécuriser les systèmes d'exploitation, les plateformes, les contrôles d'accès, les données, la propriété intellectuelle, le code source, et les contenus hébergés sur cette infrastructure (voir figure 1). De même, de nombreux CSP proposent des pare-feu en option, mais il appartient au client de configurer les politiques de pare-feu et de surveiller les menaces.
Figure 1 : Modèle de sécurité partagé pour les environnements cloud
À mesure que les entreprises migrent leurs applications existantes du data center vers le cloud, beaucoup d'entre elles continuent d'utiliser des pare-feu sur site pour sécuriser leurs ressources cloud. Si cette approche a l'avantage de la familiarité et d'une efficacité prouvée, elle est néanmoins difficile et coûteuse à monter en charge. Cela nécessite un investissement initial conséquent en matériels et en logiciels, auquel s'ajoutent les coûts d'installation, de maintenance et de mise à niveau des équipements sur site. Par ailleurs, de nombreuses entreprises hésitent encore à investir dans les systèmes redondants nécessaires pour garantir la haute disponibilité de leurs pare-feu. Quant aux structures internationales, elles trouvent compliqué d'étendre leur sécurité interne à des applications dispersées aux quatre coins du globe.
Avantages des pare-feu de cloud public
Les pare-feu de cloud public font bien plus que pallier les lacunes des pare-feu sur site. Hébergés sur l'infrastructure du CSP, ils s'appuient sur les investissements de ce dernier (système de CVC redondant, services réseau, systèmes de sauvegarde automatisés, etc.) pour garantir une très haute disponibilité et éviter toute perte de données en cas de panne sur un site.
À mesure qu'une entreprise étend sa présence dans le cloud, ces pare-feu ajoutent des instances virtuelles en tout transparence, sans que cela n'exige une quelconque maintenance ou installation de matériel. Même les menaces dévoreuses de bande passante (les attaques DDoS, par exemple), peuvent être neutralisées de manière rapide et efficace à l'aide de pare-feu de cloud public.
Contrairement à leurs équivalents sur site, les pare-feu de cloud public sont déployés à proximité des ressources qu'ils protègent. Une telle configuration évite les pertes de bande passante liées aux « backhauls » vers le data center et permet de réduire, voire d'éliminer, les frais que les CSP imposent sur le trafic transitant entre plusieurs régions. Et grâce aux accords d’interconnexion entre la plupart des grands CSP, même le périmètre du CSP ne constitue plus une barrière.
Fonctionnement des pare-feu de cloud public
À l'image des pare-feu sur site, les pare-feu de cloud public identifient et contrôlent les applications, accordent des accès aux utilisateurs sur la base de politiques définies, et empêchent les menaces connues et inconnues de pénétrer dans le périmètre du réseau. Ils offrent une visibilité sur les applications de tout un environnement multicloud pour aider les entreprises à prendre de meilleures décisions en matière de politiques et de procédures de sécurité. Côté développement, l'automatisation et le système de gestion centralisée permettent aux équipes d'intégrer la sécurité au cycle de vie des applications. Elles veillent ainsi à ce que les fonctionnalités de sécurité évoluent au rythme des stratégies de développement cloud-native et des principes DevOps (intégration et déploiement continus (CI/CD), par exemple).
Compte tenu du niveau de sophistication croissant des menaces, les compromissions du périmètre sont inévitables. En général, une cyberattaque commence par compromettre le poste de travail d'un utilisateur, puis se propage latéralement sur le réseau pour obtenir des privilèges d'accès au fur et à mesure de sa progression, exposant ainsi des données et applications critiques. Les pare-feu de cloud public les plus performants intègrent des stratégies de segmentation et de microsegmentation qui isolent les applications et les données critiques dans des segments sécurisés pour bloquer les mouvements latéraux des menaces et simplifier la mise en conformité.
Les pare-feu de cloud public sont plus efficaces lorsqu'ils sont conçus et configurés pour s'interfacer en toute transparence avec les solutions de sécurité natives du fournisseur. C'est pourquoi il est recommandé aux entreprises d'opter pour les pare-feu de cloud public de fournisseurs de sécurité ayant codéveloppé leurs solutions avec les CSP en question.
Cas d'usage
Comme nous venons de le voir, les pare-feu de cloud public sont extrêmement polyvalents. Voici quelques cas d’usage courants :
- Protection des applications et données critiques – Les pare-feu de cloud public isolent vos applications et données critiques dans des segments sécurisés en s'appuyant sur le principe du Zero Trust pour contrôler les accès. Quant aux politiques basées sur des zones, elles permettent de définir des contrôles d’accès en fonction des applications et des utilisateurs pour protéger le trafic est-ouest entre les machines virtuelles.
- Extension de la sécurité aux sites distants – Les entreprises déploient des pare-feu de cloud public pour sécuriser leurs sites distants. Comme nous l'avons évoqué, la nature virtuelle des pare-feu de cloud public leur permet d'être déployés presque partout dans le monde, un atout particulièrement intéressant pour les entreprises internationales.
- Sécurisation des environnements définis par logiciel – Les pare-feu de cloud public sécurisent les environnements définis par logiciel, notamment les réseaux SDN et SD-WAN. Les entreprises peuvent ainsi garantir une sécurité réseau homogène à tous les niveaux de leur structure, isoler les points de vente et autres systèmes critiques, et protéger en temps réel le trafic sur les SD-WAN.
- Protection des ressources des clouds privés – Les pare-feu de cloud public répondent également aux besoins de sécurité des clouds privés (ressources informatiques à la demande dans l'environnement privé d'une entreprise). Dans ce cas de figure, les pare-feu virtuels permettent de maximiser les investissements dans des environnements hautement virtualisés et de réduire les provisionnements manuels chronophages.
Pour plus d'informations sur les pare-feu de cloud public, rendez-vous sur notre site web.