Le Gartner publie son “hype cycle” 2017 des technologies de sécurisation des usages dans le cloud

de | 10 septembre 2017

Le Gartner a publié son analyse sur le développement et l’adoption des technologies de sécurisation des usages du cloud, Hype Cycle for Cloud Security in 2017. Les technologies qui me semblent pertinentes aujourd’hui ou en rupture demain : Immutable Infrastructure, Container security, Key Management as a Service, Software-Defined Perimeter, Private Cloud Computing, Cloud Access Security Broker, microsegmentation (Software-Defined Segmentation), IDaaS et le Cloud Security Assessments.

Niveau de maturité 1 : “Innovation trigger”

Immutable Infrastructure (adoption à horizon 5 ans) : une évolution d’un service du système d’information ne passera plus par le changement de sa version actuelle qui nécessite le maintien d’anciens composants. Grâce à l’automatisation, il suffira de déployer automatiquement les composants ainsi que l’application puis de (re)router le trafic vers celui-ci. La version précédente de l’application ainsi que ses composants seront supprimés du système d’information dans la foulée. Cette approche permet de réduire le maintien d’ancienne version voire obsolète de composants dans le système d’information.

Container security (adoption à horizon 2 ans) : le recours aux technologies de containerization, notamment à travers docker, pose la sécurité de l’ensemble des composants qui constituent le conteneur. Ce point est notamment prégnant lorsque le conteneur est proposé par des tiers dans le cadre d’activités de développement externalisées ou dans des marketplaces. Qui et comment la sécurité a été prise en compte ? Qui et comment la sécurité des composants logiciels du conteneur est entretenue ? Pour quelle durée ?

Niveau de maturité 2 : “Pic d’espérance”

Key Management as a Service -KMaaS- (adoption à horizon 5 ans) : les PKI (Public Key Infrastructure) ou IGC (Infrastructure de Gestion de clé) ont toujours été un cauchemar à mettre en oeuvre dans les organisations afin d’assurer une confiance de leurs transactions, digitalisées (Architecture complexe, développements spécifiques, comptabilité des applications et des navigateurs, etc.). Souscrire à ce type de service permet de disposer d’une PKI ad-hoc, mais nécessite une adaptation des services/application du système d’information, qui explique probablement la durée d’adoption à 5 ans.

Software-Defined Perimeter -SDP- (adoption à horizon 5 ans) : cette technologie permet de mettre en oeuvre un modèle d’architecture basé sur des tunnels chiffrés entre le client et des passerelles SDP. Un contrôleur SDP assure l’authentification des clients et transmet aux passerelles SDP les autorisations du client. Les contrôleurs SDP sont décentralisés comme un fournisseur d’identité dans une fédération d’identité. La passerelle SDP protège les applications et permet l’accès à ces dernières sur la base des autorisations transmises par le contrôleur SDP. Plusieurs passerelles SDP peuvent être déployées et contrôlées par un contrôleur SDP. Les passerelles pouvant protégées des applications on-prem’s ou dans le Cloud (je prépare une publication sur le sujet, notamment avec l’arrivée de la spécification v2 de cette technologie)

Niveau de maturité 3 : “Désillusion”

Private Cloud Computing (adoption à horizon 2 ans) : les avancées dans la virtualisation notamment avec le Software Defined Network et la microsegmentation (cf. technologie suivant) sont des leviers à la mise en oeuvre de ce type de cloud. Par ailleurs, la maturité des organisations qui ont souscrit à des services dans le cloud public, notamment de type IaaS ou PaaS, permet de bien appréhender ce type de transformation du datacenter… pour le moment rien sur le cloud hybride !!!!!

Cloud Access Security Broker -CASB-(adoption à horizon 2 ans) : les CASB permettent de contrôler les accès aux services souscrits dans le cloud avec une granularité très fine : authentification simple ou multi-facteurs, autorisations, chiffrement des données à la volée avant stockage dans le Cloud, visibilité dans les usages des services, etc. Aucun CASB n’est capable aujourd’hui d’adresser l’ensemble des services dans le cloud (le constat d’aujourd’hui), les organisations devront souscrire à plusieurs CASB pour adresser de manière exhaustive l’ensemble des services auxquels elle a souscrit.

Microsegmentation -Software-Defined Segmentation- (adoption à horizon 2 ans) : cette technologie permet d’assurer le filtrage des flux à la sortie et à l’entrée des machines virtuelles. L’avantage cette technologie est qu’elle permet de limiter le nombre de VLAN à mettre en oeuvre dans le datacenter, mais aussi les parefeux physiques, la fonction de ces derniers ramenée à la protection périmétrique… reste à l’organisation de faire confiance à une sécurité gérée au niveau du logiciel qui en cas de compromission, compromettrait l’ensemble de l’architecture virtualisée dont le Private Cloud Computing.

Identity IDaaS (adoption à horizon 5 ans) : les principales fonctionnalités proposées par un service IDaaS sont l’authentification, la gestion de l’authentifiant, la gestion des rôles, la création/mise à jour/suppression automatique des accédants aux services dans le cloud souscrits par l’organisation le suivi des accès aux services dans le Cloud. L’IDaaS accélère la mise à disposition d’un service dans le cloud aux utilisateurs de l’organisation. Il assure notamment l’authentification unique des accès vers différents solutions dans le Cloud (multi-cloud). De plus en plus d’organisations utilisent l’IDaaS pour adresser leurs applications internes, tuant ainsi l’IAM Managed Services qui n’a plus de sens.

A mon sens une convergence entre le SDP, l’IDaaS et Enterprise Mobile Management (EMM) se fera dans un futur proche… sujet d’une prochaine publication.

Niveau de maturité 4 : “Illumination”

Cloud Security Assessments (adoption à horizon 5 ans) : la maturité des organisations dans l’adoption des usages dans le cloud leur permet de mettre en place des référentiels pour évaluer la sécurité du fournisseur de services dans le cloud. L’évaluation de la sécurité est nécessaire pour s’assurer que la sécurité de l’hébergement des données de l’organisation. Par ailleurs, de nouvelles certifications adaptées aux services dans le cloud voient le jour. Par exemple : Cloud Security Alliance, CSA STAR – Security, Trust & Assurance Registry.

Cf. ma publication sur la sécurité du et dans le cloud

Niveau de maturité 5 : “Productivité”

Application Security as a Service (adoption à horizon 2 ans) : les dispositifs de sécurité réseaux (parefeux, sonde de détection d’intrusion, etc.) ne sont pas efficaces contre les attaques sur les applications, attaques qui utilisent des flux légitimes dans le réseau. A ce titre, il est nécessaire de s’assurer que les applications mises en ligne “ne souffrent pas” de vulnérabilités exploitables par un tiers malveillant. Par ailleurs, il est essentiel de tester périodiquement la sécurité des applications afin d’identifier de nouvelles vulnérabilités à corriger rapidement. Les fournisseurs d’Application Security as a Service proposent des outils en ligne d’analyse d’applications (exécution, code sources, etc.) développées dans différent langages, les plus récents tel que node.js ou encore GO afin de détecter des failles de sécurité exploitables.

Source : Gartner Releases the Hype Cycle for Cloud Security in 2017 http://www.gartner.com/newsroom/id/3797963

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *