Comment les CASB s’étendent pour sécuriser l’IaaS
Les passerelles d’accès cloud sécurisé ont commencé à étendre leur périmètre fonctionnel pour s’adapter aux offres d’infrastructure en mode service. L’expert Rob Shapland se penche sur les effets de ces efforts.
L’accroissement considérable de l’utilisation des plateformes cloud d’IaaS dans les entreprises, qu’il s’agisse d’Azure, d’AWS ou de GCP, souligne un nouveau manque potentiel de visibilité pour les administrateurs chargés de surveiller la sécurité réseau entre environnements Cloud privés et publics.
Les passerelles d’accès Cloud sécurisé (CASB) se sont traditionnellement concentrées sur la gestion de la sécurité des outils en mode SaaS, en fournissant une console centrale apportant visibilité et contrôle sur différents services Cloud.
Récemment, les principaux acteurs du secteur, comme Skyhigh Networks et Bitglass, ont réalisé que l’adoption de l’IaaS progressait plus vite que celle du SaaS et ont étendu leurs offres pour couvrir les principaux fournisseurs d’infrastructure en mode service.
Généralement, les outils proposés par les fournisseurs d’IaaS pour auditer et contrôler les accès et les identités sont très bons. Toutefois, lorsqu’une organisation déploie des données dans des environnements Cloud multiples, il devient laborieux de consulter les diverses consoles et rapports ou de surveiller les activités. Les offres de CASB permettent de passer par une unique console.
Profitant de l’expérience acquise avec le SaaS, les nouvelles offres des fournisseurs de CASB s’ouvrent donc à l’IaaS. De quoi permettre aux organisations de surveiller les données stockées dans le Cloud, mais aussi qui et quelles applications y accèdent.
Améliorer la sécurité de l’IaaS
La sécurité du Cloud consiste à savoir où les données sont stockées. Les données clés, dans cette perspective, sont celles dont la fuite intentionnelle ou accidentelle aurait le plus d’impact. Sans comprendre qui a accès à ces données, tant au niveau de l’infrastructure qu’à celui de l’application, il devient difficile d’appliquer des politiques de sécurité pour protéger les données.
Les attaques venant de l’intérieur doivent être tout particulièrement contrôlées en restreignant l’accès aux données à ceux qui en ont besoin. Les CASB, étendus à l’IaaS, peuvent apporter là une aide considérable.
Ceux-ci permettent d’appliquer des contrôles granulaires à l’accès aux données et étendent le DLP à l’IaaS. Ils peuvent également fournir des éléments de contexte sur l’accès. Par exemple, ils permettent de limiter la création d’espaces de stockage d’Amazon S3 à certains utilisateurs à partir de terminaux où d’emplacement prédéfinis.
Les CASB permettent aussi d’étendre les services et outils d’IAM à l’IaaS, pour y apporter là encore des éléments de contexte. Par exemple, ils peuvent renforcer les exigences d’authentification pour les accès à partir de terminaux inconnus. Cela permet de renforcer le contrôler des organisations sur leurs déploiements IaaS, et de les intégrer plus étroitement à leurs politiques de sécurité. De quoi aider au respect des obligations réglementaires.
Les fournisseurs d’IaaS proposent d’excellents outils au sein des consoles de leurs environnements respectifs, mais les CASB qui couvrent l’IaaS offrent une administration consolidée des contrôles de sécurité. Et pour les organisations ayant déjà déployé un CASB pour leurs applications SaaS, l’étendre aux déploiements IaaS n’est qu’une suite logique.