Comment évaluer les CASB pour des déploiements multi-clouds
Pour faire un choix éclairé, il est indispensable d’avoir précisément identifié les besoins de son organisation et ses objectifs de sécurité. Sans quoi, d’importants éléments de contexte manquent.
Avoir plus d’une chose n’implique pas nécessairement plus de complexité ou de temps à investir. Parfois, oui, mais cela n’a rien de systématique. Par exemple, cuire un muffin ne prend pas plus longtemps que la cuisson d’une douzaine d’entre eux. Bien sûr, s’ils les douze muffins sont différents, leur préparation demande considérablement plus de temps et de travail.
Il existe un parallèle direct entre cet exemple et la façon dont on sélectionne les contrôles de sécurité, à l’instar des passerelles d’accès Cloud sécurisé (CASB) ou les passerelles pour les environnements multi-cloud. Dans certaines situations, l’intégration de nouvelles offres SaaS n'ajoute que peu de temps et de complexité à un déploiement CASB. Mais ce n’est donc pas toujours le cas.
Le diable se cache dans les détails. Il est important de comprendre où et pourquoi ces cas varient, car cela peut aider à décider comment utiliser des CASB, en termes d’architecture, et, par conséquent, quels facteurs doivent être pris en compte pour évaluer les options offertes par le marché.
Modes de fonctionnement des CASB
Les outils de CASB sont conçus pour superposer des fonctionnalités de sécurité supplémentaires aux services cloud, à commencer par le SaaS : authentification, chiffrement ou surveillance. Ces outils visent à compenser l’absence de fonctionnalités nativement offertes par le service Cloud, mais requises pour contrôler les risques, satisfaire aux exigences de conformité réglementaire ou interne.
Les CASB fonctionnent généralement de deux façons : soit en mode proxy, soit par intégration avec des API. Le premier mode de fonctionnement consiste à s’interposer entre le navigateur Web et le service SaaS. Selon les fonctionnalités visées, cela peut être considéré comme intrusif dans la navigation normale sur le Web. Par exemple, en contrôlant l'accès aux options SaaS ou en déterminant si les utilisateurs peuvent accéder à certaines offres SaaS, un CASB peut fonctionner d'une manière directement analogue à celle d’un proxy HTTP classique : il pourra encapsuler le trafic Transport Layer Security vers la destination sans terminer la session TLS.
Certaines fonctions, comme le chiffrement, exigent que les CASB injectent ou modifient activement le contenu lorsqu'il circule entre le navigateur et le service SaaS, par exemple, pour permettre le chiffrement des données envoyées par le navigateur. Un autre outil peut terminer la session TLS au niveau du proxy et lancer une nouvelle session TLS à l'arrière-plan entre celui-ci et la destination.
En revanche, le modèle d'intégration par API utilise les fonctionnalités natives d’une offre SaaS pour atteindre le même objectif, mais en construisant les fonctionnalités additionnelles sans intrusion dans le flux réseau.
Cette différence d’architecture est l'un des facteurs les plus importants à prendre en compte en termes de complexité pour supporter plusieurs offres SaaS. Car l’étendue des fonctionnalités pouvant être construites à partir des API varient considérablement d’un service SaaS à l’autre.
Choisir une approche
Quelle est la meilleure approche pour du multi-cloud SaaS ? Cela dépend du contexte. Si le déploiement multi-cloud recouvre un petit échantillon d’offres différentes pouvant toutes être prises en charge par API, il est possible de privilégier cette approche. Mais s’il s’agit de couvrir un éventail complexe de dizaines ou de centaines de petites offres SaaS plus ou moins spécialisées, il se peut que le modèle proxy s’impose comme unique alternative viable. Et bien sûr, entre ces deux extrêmes, il y a l’approche hybride, combinant API pour certains services SaaS, et modèle proxy pour d’autres.
Il est essentiel de tenir compte des besoins en matière d’usages et de sécurité lors de l'évaluation des produits CASB. Le modèle proxy offre souvent plus de flexibilité, du fait de son indépendance des API exposées par les services SaaS. Mais il n’a rien d’idéal. Par exemple, Microsoft le déconseille pour Office 365, et le Cert US a émis une alerte au sujet de l'interception HTTPS, car les produits qui interrompent délibérément la connexion TLS peuvent, dans certains cas, compromettre la sécurité du modèle TLS, par exemple, en ne vérifiant pas l'état de révocation du certificat.
Pour prendre une telle décision, il convient être un client éclairé. Il est donc nécessaire d’avoir une vision complère de ses propres usages, jusqu’aux offres SaaS que l’on veut sécuriser. Et cela commence par dresser un inventaire de ce qui est utilisé en interne et de la manière dont ça l’est. Ensuite, il convient d’identifier ses objectifs de sécurité. C’est de la compréhension de ce contexte que découlera le choix.