Enquête sur la cloud security : l'automatisation et la simplification sont à privilégier

Enquête ESG sur la Cloud Security : l'automatisation et la simplification sont privilégiées

Editorial Lacework

June 2, 2021

Enquête ESG sur la cloud security : L'automatisation et la consolidation des plateformes sont désormais à privilégier aux produits ponctuels.

Source : ESG, une division de TechTarget, enquête sur les tendances dans la cloud security, janvier 2021

To secure applications in the cloud, the underlying infrastructure and orchestration layers like Kubernetes, digital businesses must confront new security challenges from both an architectural and organizational standpoint. New threat models must be addressed, while the roles of security and DevOps teams converge (known affectionately as DevSecOps), leading to what we like to call the “Shared Irresponsibility Model.” The old legacy approach to securing monoliths, from the technology to the security teams, simply does not work for the cloud.

ESG a récemment interrogé 383 professionnels de l'informatique et de la cybersécurité aux États-Unis et au Canada pour découvrir comment la transition vers le cloud a continué d'affecter la sécurité parmi les entreprises basées sur le cloud. Les résultats sont clairs : la nature dynamique du cloud et des environnements conteneurisés crée des angles morts omniprésents, ce qui rend la sécurisation des environnements cloud particulièrement difficile, et les lacunes de maturité du programme DevSecOps entraînent des incohérences, des erreurs de configuration et un manque de visibilité critique.

Pas moins de 88 % de tous les professionnels interrogés pensent que leur programme de cybersécurité doit évoluer pour protéger leurs cloud workloads natifs et publics.

Ils ont besoin d'un moyen cohérent de sécuriser les environnements et les produits ponctuels ne sont pas à la hauteur. Les clients qui utilisent une infrastructure moderne ont besoin d'une plateforme de cloud security consolidée et bien intégrée et doivent adopter une approche DevSecOps, car la sécurité est maintenant la responsabilité des équipes chargées des produits.

Principaux points à retenir de l'enquête sur la cloud security

Voici quelques-unes des informations les plus intéressantes de l'enquête :

Les produits ponctuels causent des problèmes et ils sont onéreux.

L'utilisation de plusieurs produits ponctuels entraîne un coût et une complexité considérables, et empêche de mettre en œuvre des politiques centralisées. La sécurité ne peut pas être cloisonnée lorsqu'elle concerne les équipes, les workloads, les politiques et les outils. Les clients ont besoin d'une plateforme de sécurité unifiée, intégrée et consolidée.

Figure 1 - Enquête sur les applications et l'infrastructure cloud modernes et sécurisées
Figure 1 : Les cinq principaux défis liés à la cloud security 

74 % déclarent que le manque de visibilité rend la surveillance difficile

Sans visibilité, pas d'analyse et pas de solution. Sans accès au réseau physique et compte tenu de la nature dynamique des applications cloud-native et de l'infrastructure élastique, le manque de visibilité de la cloud security est important.

Anyone writing code has a critical role to play in the security posture of their workloads, and this makes misconfigurations easy to make and difficult to find. Effective cloud security posture monitoring can detect anomalies indicative of account takeovers resulting from Issues such as privileged cloud credentials, especially user credentials with administrative access to cloud, orchestration and service accounts.


Figure 2 : Clés pour améliorer la visibilité de la sécurité des applications cloud-native

Les erreurs de configuration les plus fréquemment signalées dans le cloud sont des erreurs humaines toutes simples provenant d'un faible niveau de connaissances en matière d'IAM, comme l'utilisation de mots de passe par défaut ou le manque d'authentification multifacteur. Parmi les autres menaces, citons les workloads externes soumis au port scanning, les comptes trop permissifs ciblés par des acteurs malveillants et l'accès non autorisé aux services. Ces erreurs de configuration se terminent mal, car elles peuvent entraîner des compromissions de données et l'introduction de logiciels malveillants, y compris de cryptomineurs et de ransomwares.

Additionally, the impact to SLAs indicates a need to automate updating infrastructure-as-code (IaC) templates via cloud security posture management (CSPM) controls.


Figure 3 : Données sur les incidents de sécurité cloud-native

41 % affirment que l'automatisation de l'introduction de contrôles et de processus via l'intégration avec le cycle de vie du développement logiciel et les outils CI/CD est une priorité absolue

Les innovateurs du cloud déploient de plus en plus leurs workloads à l'aide d'infrastructure en tant que code (IaC), comme Terraform et Cloudformation, et ils cherchent également des moyens d'automatiser le déploiement de leurs outils de sécurité facilement aux côtés des workflows CICD de leurs équipes de développement.


Figure 4 : L'impératif d'automatisation favorise l'intégration de la sécurité dans le DevOps

50 % des personnes interrogées ont indiqué que leur entreprise avait l'intention de tout consolider sur une plateforme intégrée au cours des 12 à 24 prochains mois

La consolidation vers des plateformes de sécurité intégrées et cloud-native est en cours

Les entreprises basées dans le cloud ont besoin d'un contrôle centralisé sur les innombrables services, workloads, configurations, API et infrastructures qui sous-tendent leur activité. Les plateformes intégrées offrent une approche centralisée de la sécurisation des applications cloud-native hétérogènes déployées sur des clouds, clusters et équipes distribués. Une source unique et intégrée de vérité en matière de sécurité garantit la cohérence entre les équipes de développement et de sécurité pour faciliter la surveillance et la sécurisation des applications et de l'infrastructure.

 

Contrôles de sécurité privilégiés pour la protection des applications et de l'infrastructure cloud-native
Figure 5 : Contrôles de sécurité privilégiés pour la protection des applications et de l'infrastructure cloud-native

LA BONNE NOUVELLE !

À mesure que les cas d'utilisation du DevSecOps s'étendent à l'ensemble du cycle de vie, davantage d'applications cloud-native seront protégées. Parfois, les choses se compliquent avant de devenir plus faciles, mais la vérité est que la sécurisation du cloud a le potentiel d'être beaucoup plus évolutive, plus automatisée, plus intelligente et plus complète que jamais auparavant.

Des bonnes pratiques DevOps en matière de sécurité commencent enfin à être mises en œuvre tout au long du cycle de vie des applications, de la phase de développement à la livraison et à la production, en passant par l'élaboration et l'intégration, ce qui se traduira par une augmentation du nombre d'applications cloud-native protégées grâce aux pratiques DevSecOps.

Pratiques de sécurité automatisées via l'intégration avec le DevOps

Figure 6 : Pratiques de sécurité automatisées via l'intégration avec le DevOps 

Conclusion - Récapitulatif

En conclusion, l'avenir est prometteur pour la cloud security. La grande majorité des leaders du numérique basés dans le cloud savent qu'il y a encore du travail à faire pour assurer la protection totale de leur infrastructure et de leurs workloads dans le cloud, mais en adoptant les bonnes pratiques et les stratégies présentées dans l'enquête, ils peuvent également arriver à mettre en place une approche DevSecOps efficace.

Pour récapituler :

  • Les produits ponctuels entraînent plus de problèmes, plus de coûts et plus de complexité.
  • L'automatisation est nécessaire pour faire évoluer la sécurité en même temps que le cloud.
  • Les erreurs de configuration sont courantes et insidieuses, mais elles peuvent être gérées grâce à une meilleure visibilité et des processus automatisés.
  • La sécurité doit être intégrée tout au long du cycle de développement et intégrée aux outils et workflows CICD.
  • Une plateforme de sécurité unifiée est nécessaire afin d'offrir un langage commun et centralisé aux équipes (DevOps et sécurité) et d'intégrer les systèmes.

Pour consulter les résultats complets de l'enquête, accédez à cette page.