Aujourd’hui, les concepteurs d’applications cloud sont également des ingénieurs en sécurité. Qui n’a pas vu cela venir, considérant que la sécurité au niveau applicatif n’est plus un choix ? De même, nous pressons les développeurs de développer des applications à grande échelle, indiquant qu’ils finissent par être des ingénieurs d’exploitation et des ingénieurs de base de données ainsi que des ingénieurs de sécurité, ce qui est effrayant.
La réalité que la majorité des développeurs ne sont pas en sécurité professionnels n’est pas perdu pour moi. Cela a en fait conduit à des pratiques de développement où les concepteurs reçoivent une formation, des outils et des processus pour développer et déployer des applications cloud plus sûres et sécurisées. De toute évidence, quiconque a réellement essayé d’exécuter ce genre de modification culturelle a en fait découvert qu’il ne peut pas être réalisé en quelques semaines. Cela prend des mois et parfois des années.
Les idées émergentes peuvent aider les choses. Les plates-formes de protection des applications natives du cloud (CNAP) peuvent analyser en continu le travail et les configurations pour trouver et résoudre les problèmes de sécurité. Ils le font tout au long du développement d’applications, des tests d’applications et du déploiement d’applications.
CNAP, à la base, regroupe deux types de plates-formes de sécurité. La toute première est la plate-forme de gestion de la posture de sécurité dans le cloud (CSPM), que les entreprises de développement utilisent actuellement pour détecter les erreurs de configuration de surface et d’autres vulnérabilités. Le deuxième est les plates-formes de protection des charges de travail dans le cloud (CWPP), qui utilisent une application logicielle d’agent pour protéger le travail.
Les politiques de sécurité CNAP sont utilisées pour toute charge de travail de manière centralisée. Cela inclut les applications basées sur des microservices, les applications basées sur des conteneurs ou les applications héritées, qui sont toutes en cours de redéveloppement ou de développement de nos jours.
Les procédures de sécurité centrales utilisent des applications logicielles représentatives pour mettre en œuvre des politiques de sécurité prédéfinies. De plus, ils analysent en permanence les applications et les environnements d’applications à la recherche de problèmes de sécurité qui dépassent les politiques définies. Ces politiques ne sont généralement pas spécifiées par les concepteurs, mais par l’équipe de sécurité du cœur de métier.
Qu’est-ce que tout cela signifie ? Plus simplement, il s’agit d’une analyse continue des problèmes de sécurité à l’aide de politiques centralisées directement liées à la sécurité et à la gouvernance. Une analyse de sécurité continue peut reconnaître les API qui restent ouvertes mais doivent être fermées pour des facteurs de sécurité, par exemple. Ou un cryptage qui n’est pas effectué lorsque les données sont déplacées des applications vers les bases de données.
En règle générale, de petites choses peuvent causer d’énormes problèmes.
C’est bien compris que plus vous créez et publiez des applications rapidement, plus la surface d’attaque qu’elles ont généralement est grande. L’analyse de sécurité constante devrait vous permettre de continuer à lancer des applications basées sur le cloud tout en restant en sécurité – au moins, en ce qui concerne la façon dont les politiques sont définies.
Mes recommandations sont d’examiner cette technologie si vous faites des progrès basés sur le cloud et souhaitez le faire rapidement. À l’heure actuelle de la ruée post-pandémique vers les plates-formes cloud, cela peut être quelque chose que vous négligez ou que vous n’avez pas encore compris la menace associée.
Je ne suis jamais impressionné par les acronymes (CSPM, CNAP, etc. on) qui apparaissent sur la scène. Ils sont généralement construits sur des idées existantes bien comprises, et celles-ci ne sont pas différentes. Je suis, cependant, toujours heureux d’utiliser une bonne idée, peu importe son nom. L’analyse de sécurité basée sur des règles est une vérité et votre équipe de développement doit en tenir compte.
Toute l’actualité en temps réel, est sur L’Entrepreneur
