Accueil Appliances CASB : la parade absolue pour protéger le Cloud hybride ?

Appliances CASB : la parade absolue pour protéger le Cloud hybride ?

Sommaire du dossier

En s’abonnant à plusieurs services SaaS ou mobiles, on expose ses données aux cyber-menaces. L’appliance CASB fournit à la DSI un point de contrôle central pour repérer et protéger ces usages.

 

Comment obtenir une visibilité de l’ensemble des services Cloud en place et à venir ? L’appliance CASB (Cloud Access Security Broker) protège les consommateurs de services Cloud en nettoyant les flux des prestataires de services. Les protections en place (authentification, parefeu, anti-malware, VPN, IDS/IPS) ne sont pas remplacées, mais complétées par ce nouveau segment de marché récent, qui contraint à faire évoluer les pratiques actuelles de sécurité.

Stéphane Geyres
Stéphane Geyres

Pour Stéphane Geyres, responsable de l’activité conseil et services en cybersécurité d’Accenture France, le socle technique des hébergeurs soutient des offres de services plus ou moins élaborés, avec des protections embarquées plus ou moins riches. « On constate toute une gamme d’équipements, d’interfaces et de processus fournis à distance. Au-dessus de leur infrastructure, les bons prestataires Cloud offrent un minimum de sécurité intégrée, reposant sur diverses approches méthodologiques et prestations de sécurité. Le client doit se poser deux questions : selon quels critères puis-je faire confiance au prestataire ? Et suis-je en mesure d’exploiter son infrastructure sans ajouter de problèmes de sécurité »

Identifier les services et données exposés

En pratique, la plateforme CASB s’installe sur un Cloud privé ou dans l’infrastructure des hébergeurs ; dans ce cas, le prestataire facture les services autour de 5 Euros par mois, par utilisateur. L’équipement procure un point de contrôle central capable de repérer et de protéger les usages SaaS et mobiles, en mode proxy ou via des interfaces de programmation (API).

Christophe Jolly
Christophe Jolly

« La migration vers le Cloud hybride est un mouvement de fond à contrôler. La nouvelle famille d’outils CASB offre l’occasion à la DSI de reprendre la main sur la messagerie électronique, les applications métiers et tout service migrant vers le Cloud, des données critiques les accompagnant », signale Christophe Jolly, directeur Sécurité de Cisco France.

Prenons un exemple concret. Avec la bureautique Cloud Office 365, l’entreprise doit ouvrir en grand son parefeu car de nombreux canaux applicatifs sont requis par Microsoft. « Le boîtier de sécurité tout-en-un, l’UTM (Unified Threat Managment) s’avère impuissant face aux trafics d’applications Cloud. Il va perdre de sa pertinence avec l’adoption croissante des applications SaaS », prévoit-il. L’appliance CASB vient donc en complément du pare-feu et de l’UTM. Elle permet le filtrage des flux Cloud entrants et réduit l’exposition aux risques du modèle hybride. L’entreprise a toujours besoin, a minima, d’un pare-feu et d’un routeur Internet.

Loïc Guézo
Loïc Guézo

« Notre principal enjeu du second semestre 2016 consiste à accompagner nos clients dans leur bascule vers Office 365 qui remet en cause l’infrastructure de sécurité privée. Les 22 et 23 juin, un ransomware de la famille Cerbère s’est propagé en visant exclusivement les utilisateurs Office 365 à partir d’une vulnérabilité zero-day dans le Cloud Microsoft. Au total, 18 millions de clients ont été susceptibles de recevoir cette attaque », évoque Loïc Guézo, directeur du développement de Trend Micro en Europe du Sud. L’éditeur propose d’intercaler entre le client final et le Cloud de Microsoft, son propre Cloud de sécurité regroupant les analyses de contenus, l’anti-malware, la réputation ou le chiffrement des fichiers.

Dès l’été 2015, Cisco a acquis OpenDNS pour compléter son offre d’un outil d’analyse de comportement et de filtrage DNS : « 96% des malwares se propagent ou se transforment par ce biais. Le couplage d’analyses des comportements DNS, des flux du Cloud et des URL précise ce qui se propage ; l’ensemble protège les services et les données réparties de l’entreprise », assure Christophe Jolly.

La sécurité informatique résulte d’une maîtrise de plusieurs risques techniques et métiers et de la confiance accordée par le client final. Pour réunir ces objectifs, de nouveaux tableaux de bord hybrides s’imposent. « Il faut disposer d’une vue générale de la menace, une vision complète des actifs connectés, être en mesure d’identifier toutes les ressources pouvant rejoindre le réseau, savoir analyser les flux en temps réel et aussi rétrospectivement lorsqu’une attaque a été plus vite que notre capacité à la détecter », recommande Christophe Jolly.

Repérer et bloquer les attaques

Tous les acteurs de la sécurité informatique tentent de s’adapter au modèle Cloud hybride en forte croissance. Les premières opérations de fusions-acquisitions ont déjà démarré. Cisco vient d’acquérir l’expert CloudLock pour 293 millions de dollars, tandis que Symantec s’est offert BlueCoat (4,65 milliards de dollars), lui-même acquéreur d’Elastica (280 millions de dollars) et de Perspecsys (pour un montant non communiqué). Microsoft a jeté son dévolu sur Adallom (320 millions de dollars).

 Elastica détecte les vulnérabilités des répertoires Cloud partagés.
Elastica détecte les vulnérabilités des répertoires Cloud partagés.

C’est que l’appliance CASB (Cloud Access Security Broker) contribue à lutter contre les vulnérabilités 0-day, le rançongiciel qui prend en otage les données personnelles des salariés ou des clients, le déni de services distribués (DDoS) et l’attaque persistante avancée (APT). Ces menaces cherchent à compromettre des serveurs d’entreprise, où qu’ils soient hébergés.

Philippe Rondel
Philippe Rondel

« Les cyber-attaques ciblant les entreprises ont augmenté de 61% au premier semestre 2016. En juin dernier, nous avons détecté 2 420 familles de logiciels malveillants uniques et actifs attaquant les réseaux d’entreprise, soit une augmentation de 61% par rapport à janvier 2016 », note Philippe Rondel, le directeur technique de CheckPoint Software France.

Tandis que de nouveaux mécanismes d’attaques avancées apparaissent quotidiennement, le RSSI a pour mission de les détecter et de prémunir l’entreprise contre leurs risques. Checkpoint fournit une protection des flux de l’environnement vCloud de VMware, des infrastructures OpenStack et des Clouds publics Azure de Microsoft et AWS d’Amazon via ses lames de sécurité embarquant des logiciels complémentaires d’experts CASB tels Avanan, FireLayers et Skyhigh. « Face au pare-feu applicatif, l’appliance CASB forme une famille distincte ; je vois deux marchés différents bien que certains acteurs vont chercher à couvrir les deux domaines ; mais il leur faut d’abord réunir les deux expertises », constate-t-il. Les pare-feux applicatifs dits de nouvelle génération complètent leur stratégie de défense.

L’appliance Sophos protège déjà les applications web et désormais aussi les flux Cloud via son complément Sandstorm (Cloud sandboxing). Pour sa part, la plateforme Radar de F-Secure, s’étoffe, via l’acquisition du danois nSense et ses scans de vulnérabilités.

Associer des facultés d’apprentissage

Lorsque les équipements de l’infrastructure réseau évoluent, les développeurs et les administrateurs doivent être en mesure de suivre ces évolutions pour les corréler et les comparer avec l’état de l’art de la sécurité. Une intelligence collaborative s’organise entre les éditeurs et leurs clients, impliquant des équipes CERT (Computer Emergency Response Team) pour signaler les nouvelles menaces en temps réel et identifier les environnements vulnérables. Progressivement, les outils de sécurité et d’interconnexion s’adaptent de façon continue, via de nouvelles règles et configurations distribuées en temps réel.

La vigilance du Cloud hybride concerne un périmètre réseau très large, qui évolue sans cesse. Des fonctions d’apprentissage automatique (machine learning) et des automatismes épaulent l’administrateur. L’appliance CASB est assimilée parfois au ‘big data de la sécurité’. Elle préfigure l’auto-réparation du réseau en réaction aux cyber-menaces, d’où qu’elles proviennent.

Sergio Loureiro
Sergio Loureiro

« Il s’agit de maîtriser des environnements hétérogènes dans lesquels l’entreprise a du mal à connaître son niveau de risques exact, confirme Sergio Loureiro, le PDG de l’éditeur Français SecludIT, expert en diagnostics de sécurité. Dans ce contexte, notre but consiste à donner de la visibilité aux DSI. Nous attribuons des notes de risques liés à la cybersécurité d’environnements complexes avec de la virtualisation, du Cloud et des systèmes hérités du passé car les serveurs physiques vont subsister encore longtemps. »

La stratégie de défense de SecluID consiste à reproduire le mode opératoire d’attaquants pour identifier les points faibles d’une architecture Cloud hybride. Le logiciel Elastic Dectector examine les machines virtuelles, sans agent, afin de fournir des rapports de failles détaillés, triés par criticité, ainsi que des conseils de remédiation. Finis les tests d’intrusion annuels ou semestriels ; ils sont désormais exécutés continuellement.

Imperva pointe les incidents et anomalies des serveurs et postes clients.
Imperva pointe les incidents et anomalies des serveurs et postes clients.

Adopter une stratégie de protection hybride

Les usages Cloud hybride sont récents, mais touchent tous les secteurs déjà, y compris la finance. « La question du Cloud hybride se pose aussi dans le domaine bancaire où c’est un moyen d’avancer plus vite, d’accéder à de nouvelles fonctionnalités. Le choix de l’hybride commence avec le besoin de débordement, pour activer provisoirement une capacité supplémentaire, disponible rapidement. Toute la complexité réside dans la communication entre les infrastructures, pour obtenir les mêmes niveaux de sécurité partout », observe Sylvain Bosquier, consultant chez Harmonie Technologie, un cabinet expert en cyber-sécurité.

Sylvain Bosquier
Sylvain Bosquier

Sur des infrastructures hétérogènes, on ne pourra jamais obtenir 100% de fonctionnalités identiques. C’est donc au travers de contrats que l’entreprise va chercher à obtenir des garanties vis à vis de ses hébergeurs.

Les contraintes réglementaires guident la stratégie de protection du Cloud hybride. Le régulateur de chaque secteur impose des règles de stockage et des structures de vérification. Par exemple, l’hébergeur de santé doit disposer de datacenters en France pour stocker les données patients des établissements de soin, sans réplication au-delà de l’Europe. « Lorsqu’on établit un contrat avec un prestataire externe, on essaie d’intégrer de telles clauses pour qu’un auditeur puisse aller vérifier où les données résident. C’est plus difficile à négocier avec les géants du web. Mais lorsque les datacenters sont présents dans les bons pays, l’externalisation des données est évaluée et acceptée plus vite. » Encore faut-il, au préalable, vérifier le niveau de sensibilité des informations : « Les données sensibles doivent au moins être chiffrées vis à vis du prestataire externe. Mais ce n’est pas forcément la panacée. En effet, si le prestataire Cloud assure le stockage et certains traitements, il faudra déchiffrer les données avant de les traiter ou les rendre anonymes auparavant ».

L’appliance réagit de façon dynamique

Laurent Petroque
Laurent Petroque

L’appliance CASB évite de multiplier les consoles de configuration de la sécurité ; elle consolide et renforce les règles de sécurité entre les consommateurs de services Cloud et leurs prestataires. « Une coordination entre les appliances de sécurité déployées sur site et dans le Cloud est mise en œuvre via une signalisation spécifique. Dès qu’un début d’attaque est détecté dans le Cloud, l’information circule de façon dynamique ce qui permet de prendre des mesures au niveau des routeurs », précise Laurent Pétroque, manager avant-ventes chez F5 Networks France.

Le dimensionnement de l’appliance dépend du débit et des trafics de données. Installé sur le site de l’entreprise, l’équipement doit être assez musclé pour résister aux attaques qui inondent parfois les liens entrants. Les débits proposés par F5 Networks vont de la ligne spécialisée à 25 Mbps jusqu’à 100 Gbps ; ils sont assortis d’un modèle de facturation à l’usage.

« les règles de sécurité sont transformées sous forme de listes d’accès pour isoler ou bannir toute menace du réseau. »

Olivier Melwig, Juniper Networks

Checkpoint confirme l’importance de tracer chaque évolution de l’infrastructure hybride. « Une nouvelle passerelle, une nouvelle zone démilitarisée, 5 ou 10 VM ajoutées : tout changement doit être documenté. Les interactions entre orchestrateurs et outils de gestion de la sécurité rendent plus dynamiques les équipements. On peut cloisonner des parties de l’environnement et exiger la validation préalable d’un manager », ajoute Philippe Rondel. L’identification de malwares dormants reste cependant délicate en environnement Cloud hybride. Il convient d’isoler le malware dès qu’il tente de se propager et d’identifier la menace à l’aide d’un bac à sable où sont examinés les fichiers et messages douteux. En fonction du niveau d’alerte, on pourra mettre en quarantaine plusieurs sources de trafic IP provisoirement : « La vision SDSN (Software-defined Secure Networks) de Juniper Networks s’adapte bien au Cloud hybride. Elle passe par des outils de détection d’attaques qui renforcent la politique de sécurité au plus près de l’incident ; les règles de sécurité sont transformées sous forme de listes d’accès pour isoler ou bannir toute menace du réseau », illustre Olivier Melwig, Directeur technique Juniper Networks.

Skyhigh trace l’évolution des usages SaaS et isole les activités à risques.
Skyhigh trace l’évolution des usages SaaS et isole les activités à risques.

Utiliser le Cloud pour protéger le Cloud

Huit clients de Qualys sur dix prévoient de migrer vers une forme de Cloud, d’ici à 2020. L’agent Cloud de l’éditeur est disponible sur Microsoft Azure, en mode public et privé. « Face aux fuites de données, les hébergeurs souhaitent pouvoir prouver qu’ils ont bien fait le nécessaire pour se prémunir du risque. Nous fournissons une vision à 360 degrés de tout ce qui se passe dans l’environnement de nos clients », retrace Eric Perraudeau le directeur général de Qualys France. Le fondement de la sécurité consiste à savoir précisément ce que l’on expose, d’où la mise à disposition gratuite du module d’inventaire Asset View de Qualys. L’éditeur rapproche cet état des lieux d’une surveillance des applications et des ports ouverts, menée via son propre Cloud. Qualys propose déjà six services SaaS pour suivre la conformité des règles de sécurité, mener des tests PCI DSS, examiner les applications web, protéger contre les cyber-menaces, détecter les vulnérabilités et remplir des questionnaires d’évaluation des risques. Des rapports complets sont ainsi accompagnés de preuves, d’éléments déclaratifs et de constats concrets sur les serveurs, les couches réseaux, la téléphonie, les périphériques, les systèmes, frameworks et applications Cloud. Le niveau de conformité attribué intègre les contrôles d’accès physiques aux bâtiments hébergeant les serveurs, ou encore les examens de vulnérabilité réellement pratiqués. Six autres services sont en cours de développement : « Nous allons ajouter la gestion d’indicateurs de compromission, précisant que telle machine se comporte comme une machine compromise lorsque son pare-feu local est désactivé ou que des connexions suspectes ont démarré. Avant 2017, nous saurons déployer automatiquement des patchs de sécurité », prévoit-il.

Profiter d’une console unique d’administration

Qu’il s’agisse de nettoyer des flux Cloud ou de renforcer des services métiers, la première protection retenue par les PME consiste souvent à s’abonner à un service SaaS de sécurité. Les entreprises de taille intermédiaire et les grandes organisations acquièrent plus volontiers une appliance à installer sur site ou chez l’hébergeur ; cette formule permet de gérer des débits plus importants et d’appliquer une politique de sécurité cohérente sur toutes les infrastructures traversées. Les deux approches s’avèrent complémentaires ; d’ailleurs, elles sont de plus en plus combinées.« Depuis deux à trois ans, les accès mobiles au système d’information, les services SaaS et l’exposition des services applicatifs de l’entreprise obligent à protéger les données un peu partout, de façon distribuée », confirme Romain Quinat, le responsable marketing et communication de Nomios, intégrateur et conseil en sécurité créé il y a douze ans.

Romain Quinat
Romain Quinat

Selon lui, le nerf de la guerre consiste à disposer d’une console unique pour suivre la sécurité de chaque infrastructure au service de l’organisation. Dans ce contexte, il encourage une granularité très fine d’administration : « avec l’équipement de Palo Alto Networks, par exemple, on peut pousser une politique de sécurité jusqu’au niveau de la VM, qu’elle tourne sur un Cloud privé ou public. Cela exige une coopération technique approfondie et des partenariats forts entre éditeurs et prestataires Cloud », signale-t-il.

Sylvain Bosquier (Harmonie Technologie), recommande pour sa part une sécurité intégrée dès le début du projet, présente à tous les étages de l’organisation ainsi que sur chaque couche de l’infrastructure hybride. Une approche sensée qui suppose toutefois « d’être présent au plus haut niveau de la gouvernance pour porter les bons messages et pour faire appliquer partout les meilleures pratiques de sécurité ».