cloudapplications natives sont conçues spécifiquement pour le déploiement et l’exploitation dans un environnement cloud. Ils se composent de petits microservices indépendants, tels que des fonctions et des conteneurs sans serveur , et utilisent des services fournis par les fournisseurs de cloud et les partenaires tiers via des API, tout en tirant parti du cloud pour une stabilité, une mise à l’échelle et une récupération automatisées. La création d’applications cloud natives permet aux équipes de développement de se concentrer sur la mise en œuvre d’architectures optimisées pour l’évolutivité du cloud.
Les applications cloud natives ont une nouvelle structure distincte qui affecte la façon dont les attaquants abordent ces applications, ce qui modifie le paysage des menaces. Alors que les attaquants modifient leur approche et se tournent vers des attaques de génération VI, les professionnels de la sécurité et les développeurs doivent adapter en conséquence la façon dont ils défendent les applications cloud natives.
Ils doivent consacrer plus de temps et de ressources à ces nouvelles menaces afin de mieux les prévenir pour leur organisation. Les ressources doivent être allouées de manière stratégique, mais il faut d'abord comprendre quelles sont les menaces les plus probables dans ce nouveau paysage de menaces.
Les services de calcul dans les applications cloud natives sont conçus pour être éphémères et ont tendance à avoir une courte durée de vie. C’est l’un des nombreux attributs qui rendent les applications cloud natives intrinsèquement plus sûres. Les attaquants n'arrivent pas à s'implanter facilement sur le long terme dans votre système et doivent donc changer de tactique. L'une des stratégies qui en a découlé est le Groundhog Day Attack, dans lequel un attaquant lance une attaque beaucoup plus courte qui vole, par exemple, quelques numéros de cartes de crédit, puis recommence. Les attaquants tirent parti de la mise à l’échelle automatique de l’application cloud native pour contourner le caractère éphémère de celle-ci.
Une autre approche est l’attaque en amont , ou empoisonnement du puits , dans laquelle les attaquants visent à obtenir une plus grande persistance à long terme dans votre application. Les applications cloud natives ont tendance à comprendre de nombreux modules et bibliothèques. Une seule fonction sans serveur peut inclure des dizaines de milliers de lignes de code provenant de sources diverses autres que le travail de vos développeurs. Les attaquants s'efforcent d'inclure du code malveillant dans leurs projets courants. Ensuite, après avoir empoisonné le puits, le code malveillant de votre application cloud peut appeler à la maison, obtenir des instructions et faire des ravages.
Heureusement, les applications cloud natives ont tendance à être plus difficiles à attaquer. Mais en tant que nouveau type d'architecture, elle présente de nouveaux défis en matière de sécurité et les développeurs doivent agir pour atténuer les risques. Voici quelques bonnes pratiques pour sécuriser les applications cloud natives :
En plus de vous assurer que vos services d’API Web et de protection des application (WAAP) sont avancés pour répondre aux exigences de la nouvelle génération, une autre bonne pratique de sécurité cloud native consiste à appliquer également la sécurité du périmètre au niveau de la fonction. Portez une attention particulière aux fonctions déclenchées par un type de source différent.
Lorsque vous utilisez l'IAM au niveau de la granularité des fonctions, IAM devient un outil AppSec. Passez du temps à créer des rôles minimaux et adaptés à chacune de vos fonctions. De plus, assurez-vous que chacune de vos fonctions s'exécute avec le plus petit ensemble de privilèges possible, afin de minimiser les dégâts causés par les trous.
On en parle depuis plusieurs années et ça ne va pas disparaître de sitôt. C'est un gros problème auquel les entreprises doivent faire face et il leur faudra des années pour y parvenir, car il s'agit d'un changement de philosophie générationnel. »
Il est important que les équipes comblent les lacunes dès le début, même si cela va à l’encontre du comportement normal de l’entreprise, car le cloud natif nécessite une approche différente dans la façon dont les organisations gèrent la sécurité et le développement. Cela représente une véritable opportunité pour les départements de faciliter ce changement et d'avoir un véritable impact.
Les opérations doivent créer des pipelines qui permettent aux développeurs de travailler à la vitesse du serverless tout en déployant des applications de manière réaliste et sécurisée.
Ce ne sont là que quelques-uns des nombreux éléments de sécurité auxquels il faut penser lors de la migration vers des applications cloud natives et des microserveurs. De nouveaux outils sont conçus chaque jour pour aider à optimiser cette transition et à améliorer la visibilité, l’observabilité, la sécurité et la prévention des menaces. Pour plus d’informations sur la façon d’aborder la sécurité cloud native, reportez-vous au guide Sécurité du cloud Solutions de Check Point Software.